Názor k článku Dan Kaminsky a jeho útok na DNS servery od Ondřej Surý - Bohužel se toho o nym base security v...

Bohužel se toho o nym base security v podání djb dá zjistit ještě méně než o genocidě Arménů v Turecku... takže mě kdyžtak opravte... nicméně nepředpoklám, že by google měl speciální filtr na djb a jeho nym based security, takže hádám, že oba vycházíme z té jediné stránky s názvem forgery.html a případně občasných drobných zmínkách.

Pokud jsem djb správně pochopil, tak by se jednalo o to, že by doménové jméno nevypadalo 'www.root.cz', ale např. www.128309ADCA12A.root.cz (nebo jinak poskládané, ale pro ilustraci to doufám stačí). Tzn. když by bylo potřeba vyměnit klíč a doménové jméno znovu podepsat, tak by došlo k tomu, že by ta adresa najednou nebyla www.128309ADCA12A.root.cz ale www.9876AD9BEF.root.cz (opět jen příklad). Důsledky doufám vysvětlovat nemusím. To byla první námitka.

Druhá námitka je doufám očividná - bylo by to stejné jako návrh výše v diskuzi, aby se používaly IP adresy. Stejně nesrozumitelné. A to jak pro www, tak pro emailové adresy...

Ale možná vycházím ze špatného předpokladu. Pokud ano, tak by mě zajímalo, kde to djb popisuje detailněji.

Ad první odstavec) V DNSSECu je distribuce klíčů hierarchická stejně jako DNS. Na DNSSECu je pěkné právě to, že nemění model důvěry.

Ad druhý odstavec) Věřím, že certifikačním autoritám by se váš návrh moc líbil.

Ad třetí odstavec) Bohužel vaše věta o tom, že se to nepovedlo za deset let, je blábol pramenící pouze z vaší neznalosti problematiky.

Mé doporučení zní - vyřaďte djb z vašeho soukromého panteonu a nad jeho návrhy zkuste přemýšlet.