Root.cz  »  Bezpečnost  »  Šifrované SNI lepí díru do soukromí, jako první ho bude umět Firefox  »  Názory  »  Názor

Názor k článku Šifrované SNI lepí díru do soukromí, jako první ho bude umět Firefox od Vít Šesták - > Tak proč pořád píšete o certifikátech, když...

  • Článek je starý, nové názory již nelze přidávat.

  • 6. 10. 2018 0:26

    Vít Šesták

    > Tak proč pořád píšete o certifikátech, když diskutujeme o veřejných klíčích?

    Psal jsem, že by se hodilo <i>něco na způsobem</i> Certificate transparency. Říkejme tomu třeba DNSSEC transparency.

    > Odstraníme, protože nepotřebujeme vědětm komu patří který veřejný klíč. Informace z DNS "server pro tento název se prokáže znalostí privátního klíče příslušného k veřejnému klíči XY" je pro ověření serveru plně dostačující.

    Tedy je neodstraníme (aspoň ne to zásadní – identitu), jen to přesuneme jinam.

    > Dělá to tedy někdo jiný, než vlastník domény

    V obou případech do toho bude zapojen i někdo jiný než vlastník domény, třeba provozovatelé DNS… Přechodem na DNSSEC se důvěry ve třetí strany nezbavíme, jen si některé něci ulehčíme…

    > bude prostě kontrolovat DNS záznamy svého vlastního serveru - nic jiného k tomu nepotřebuje.

    Jak často to musím kontrolovat? Umí DNSSEC zabránit selektivnímu poskytnutí jiných informací jednomu subjektu? Například budu mít klíč k TLD, který zneužiju k MITM a následnému poskytnutí jiných klíčů vybrané části lidí.

    > certificate transparency umožňuje vlastníkovi domény kontrolovat ty jiné subjekty

    Včetně provozovatelů DNS. Skrze CT se dozvíte, že byl vydán certifikát, který být vydán neměl, nezávisle na tom, jestli se tak stalo skrze špatnou CA nebo skrze útok na DNS.

    > Když ale bude používat veřejný klič v DNS zóně, bude to jenom vlastník domény kdo tam ten klíč může umístit, takže nepotřebuje žádnou transparentnost, protože by kontroloval jenom sám sebe.

    Mám pocit, že jádro sporu spočívá v tom, že každý máme jiný model útočníka. Já předpokládám, že se útočník může snažit unášet i relevantní DNS servery, případně je vlastnit. Nepovažuju to sice za tak běžnou situaci, abych tomu chtěl bránit (zvlášť když by se to réšilo poměrně blbě), ale aspoň bych se o takovém útoku chtěl dozvědět. Vy zřejmě předpokládáte nenapadnuté a 100% důvěryhodné DNS, tím pak nějaké DNSSEC transparency smysl nedává.

Zprávičky

Další zprávičky
Napište zprávičku

Komerční sdělení

Dále u nás najdete

Začátek adventu je ten pravý čas, kdy začít s vánoční výzdobou

Edge zkouší nový trik na uživatele Chromu

Youtubeři a influenceři se musí registrovat

SSD už také mají obrovskou kapacitu – až 122 TB

„Nemáme na tom zájem“. Opozice brzdí TV poplatky

Firmy mají řešit byznys, ne hledat účtenky, razí Fidoo

Obsah vytvořený pomocí AI vidíte každý den. Jen to nevíte

Pokud potřebujete půjčit, nemusíte prodávat bitcoiny. Stačí je zastavit

Jak Mikýř vyděsil Novu, ale nakonec vydělaly obě strany

Je možné vyhrát nad Temu? Prodejci her se to podařilo

Nejen Coca-Cola, ale i Lidl má červený vánoční kamion

Prokletí slavného spisovatele: duševní poruchy a sebevraždy

Co dělat, když vám zavřou dodavatele IT služeb?

Děti, které nemají praktika, mohou jít do nemocničních ordinací

Lumbální punkce sice vypadá děsivě, ale nebolí

Vánoční slevy operátorů? Daleko za očekáváním

V aplikaci Záchranka je rozcestník péče pro nevyléčitelně nemocné

Vyznejte se v kuřatech. Takhle se liší selské od venkovského

Bezplatný Microsoft PC Manager vylepšen

Novu nebude tvořit AI. A umělé moderátory v ČRo nečekejte

ŠKOLENÍ: Jak bezpečně spravovat a provozovat linuxové servery?
VÍCE INFO