[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC
Fernando Gont
fgont en si6networks.com
Mar Ene 26 05:46:00 BRST 2016
On 01/26/2016 03:51 AM, Programa STIC wrote:
[....]
>
> "Between actually adding in a bit more entropy in the request through
> 0x20 and port randomization, and more importantly cleaning up the glue
> policy for recursive resolvers (which Unbound did), you close the door
> on off-path attackers: both making races harder AND eliminating the
> "race until win" property.
>
> In fact, several have viewed the glue policy cleanup which gets to the
> root cause of the Kaminski problem as detrimental specifically because
> of the desire to force DNSSEC adoption."
>
> La idea de que Vixie, y lo que otros denominaron públicamente el "DNSSEC
> Cartel", quería impulsar a toda costa el despliegue de DNSSEC, parecería
> que es compartida por varias expertos de protocolos de red y académicos,
> además de por algunos practicantes de la seguridad informática.
Lo que medio "no entiendo" es... Vixie se supone que es promotor de
DNSSEC? -- Porque de los mails que hay en los threads que reenviaste, su
linea es, mas o menos "DNSSEC es una garch*".
Sin ir mas lejos, hasta articulos como este
<http://www.circleid.com/posts/defense_in_depth_for_dnssec_applications/> onda
que no sugieren que el tipo que esta "invitiendo dinero en desplegar
dnssec" esta invirtiendo su dinero bien....
--
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492
Más información sobre la lista de distribución Seguridad