[LACNIC/Seguridad] [lacnog] Thomas Ptacek: Against DNSSEC

Fernando Gont fgont en si6networks.com
Mar Ene 26 22:12:58 BRST 2016


On 01/26/2016 10:06 AM, Nicolas Antoniello wrote:
> Hola Ivan,
> 
> Entiendo tus argumentos y comparto gran parte de ellos. De todas formas
> creo que no hay cosas "inevitables" en esto al punto de entregarnos a
> que son así y chau... 

IPv6.

Es el resultado de mas de 30 años de ingenieria. Uno esperaria que luego
de tanto tiempo y al tener que realizar una transicion tan costosa,
estuvieramos haciendo algo mas que simplemente ganar mas direcciones.

Paso mucho tiempo. Se tomaron decisiones equivocadas. IPv6 es inevitable.



> Las mismas personas (por lo que contas) cambian de
> lado y de punto de vista varias veces a medida que van repensando las
> cosas (y supongo que los intereses también).
> Supongo que hay espacio para mejorar DNSSEC, TLS o lo que sea y debemos
> seguir insistiendo para ello.

Esto no es tan simple.

En es esperar que partiendo de una maquina que navega (un barco, por
ej.,), vuele. LO que podemos hacer es pintarlo, taparle algunos
agujeros, y arreglar las cosas simples, mas no las fundamentales. Un
baco nunca va a convertirse en un avion, y menos aun en un transbordador
espacial.

Y asi y todo, hasta las cosas mas simples son complicadas. Hace mas de 8
años que vengo laburando en estandarizacion de IPv6, y cada milimitro
que he logrado mejorar tomo, en gral. cantidades inmensas de energia y
tiempo.

Sin ir mas lejos, 6man actualmente esta tabajando en rfc2460bis, con la
idea de mover IPv6 a full standard... cuando honestamente y a mi
criterio, no cumple con el criterio para que eso suceda.


Yo me he cansado de reenviar por estas listas trabajos con mejoras para
IPv6... y, salvo en casos puntuales, en las discusiones siempre estuve solo.

Mi me contaba esta "fabula":

"Juntaronse los ratones
para librarse del gato,
y despues de un largo rato
de disputas y opiniones,
dijeron que acertarian
en ponerle un cascabel,
que andando el gato con el
librarse mejor podrian.
Salio un raton barbicano,
colilargo, hociquirromo,
y encrespando el grueso lomo,
despues de hablar culto un rato,
dijo quien de ustedes ha de ser el que se atreva
a poner el cascabel al gato“

   -- Lope de Vega


Y si yo te tuviera que contar el trasfondo de como se logron "parchear"
las cosas que se parchearon... Muchas de ellas (la mayoria) tienen
historias como para contar.



> Creo que la innovación y el avance se basa justamente en eso, avanzar
> sobre los aciertos pero también sobre los errores, y no sobre descartar
> apresuradamente opciones en pro de la que creemos hoy que es mejor. Si
> no, retrocedemos en lugar de avanzar.

Para mi, para realmente avanzar en cualquier campo, hay que lograr ser
critico de lo realizado. Y cuando hablo de ser critico me refiero a
tener la capacidad de identificar que fue un acierto y que no, y cambiar
el rumbo todo lo que sea necesario, en basi al analisis de lo realizado.

La realidad es que en general uno no encuentra mucho espiritu critico
que digamos.

Laburar en seguridad es, para mi, justamente evaluar tecnologias con
espiritu critico. Y cuando lo haces en el ambito en el cual se produce
esa tecnologia (en donde justamente se pueden generar cambios), en
general no ganas amigos. La gente siente su ego lastimado cuando
encontras problemas en algo que hizo.

Esta es mi experiencia en la mayor parte del trabajo que he realizado.
Se me ha enojado gente hasta por presentar cosas como:
<https://www.ietf.org/id/draft-ietf-v6ops-ipv6-ehs-in-real-world-02.txt>, que
lo unico que hace es simplemente deci que es lo que ocurre en el mundo
real. :-)

Alguien de "esta comunidad" tambien en su momento me acuso (off-list) de
"hacerle mucho mal a i-pe-uve-seis" :-) ... Cuando basicamente en todo
el trabajo que he hecho sobre IPv6, siempre he propuesto como mejorar
los problemas que encontré...

Hablar de problemas en IPv6, por ejemplo, en general es como para
ganarse enemigos. Porque lo que se espera es que se hable de que es
super bueno, de que la transicion es facil y barata, etc.

A la gente hay que decirle las cosas como son: ipv6 no es bonito ni
barato. Es inevitable. Punto.

-- 
Fernando Gont
SI6 Networks
e-mail: fgont en si6networks.com
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492







Más información sobre la lista de distribución Seguridad