id: Гость   вход   регистрация
текущее время 04:05 29/03/2024
создать
просмотр
ссылки

Распределённый "DNS" на доверии и хешах


Показался небезынтересным материал (рассуждения) http://habrahabr.ru/blogs/domains/104715/


В-общем известные вещи, взгляд под чуть(?) другим углом.


Интересны мнения, замечания и т.д. уважаемого pgpru-сообщества ;)


UPD1: Замечание: речь не идет об анонимности как таковой. Скорее, а распределенности, устойчивости, защищенности от цензуры и т.д.


UPD2, ссылки к теме (все на pgpru):



 
На страницу: 1, 2 След.
Комментарии
— Гость (25/09/2010 01:20)   <#>
Есть на pgpru.com один такой материал... я бы его назвал более общо: "как принимать решения". Та заметка столь фундаментальная, ясная и чёткая, что я бы скорей отнёс её к области логики "как надо правильно и последовательно думать, а также самоанализироваться". В контексте обсуждаемого — увы: я не вижу обстоятельного рассмотрения ни одного из тех 5ти пунктов, зато сразу вижу ряд явных ляпов в тексте*. Если перейти к неконструктиву (а то что это я сегодня такой серьёзный?), то куда нам до "элитарных блогов/сообществ", у нас даже регистрации там не имеется, равно как и желания оную заполучить.

На серьёзный чисто теоретический прорыв это не тянет, т.к. очень слабая проработка вопроса. На практический не тянет по ещё более очевидным вещам. Механизмы /etc/hosts уже частично решают задачу.

Разумнее доверять не домену, а PGP-ключу админа сайта, который его подписал (точнее, сертификату, который подписан ключом админа). Certificate Patrol в итоге эту задачу решает. Для "широких масс" такое решение не годится, а для узких, типа нашего сайта — вполне, но широкие массы и не будут заморачиваться с PGP-ключами, а тогда о чём весь сыр-бор? Кроме всего этого, есть масса стандартных способов сделать "свой интернет в интернете": /etc/hosts, DNSSEC, свои "корневые" DNS-сервера и свои VPN-тунели (при надобности).

*
подписывает подпись на записе о сайе
Чаво?!
нет тех IP, которые можно блокировать, тех организаций, что разделегируют
Ну, хостинг-то всё равно на каком-то IP, который известен всем, в том числе и властям. Пока они будут переносить его на новый хостинг, сайт будет в дауне, даже если сохранит доменное имя.
— Гость (25/09/2010 16:12)   <#>
Буква N в DNS это name – имя. Когда одному имени разные, но контактирующие между собой группы людей будут сопоставлять разные вещи, это приведёт к неприятным последствиям.

[offtopic?]
Агада о строительстве Вавилонской башни:
Смешал Господь язык их так, что один не понимал речи другого. Один скажет другому: "принеси воды", а тот несет песку; "подай топор" — подает лопату. Рассвирепеет тот и раскроит ему череп.
[/offtopic]
— Гость (25/09/2010 16:42)   <#>
Важное уточнение: к неприятным последствиям обычно приводит не само по себе сопоставление одному имени разных вещей, а нераспознавание и неотслеживание такой ситуации. Поэтому и нужны подписи.
— Гость (26/09/2010 17:53)   <#>
к неприятным последствиям обычно приводит не само по себе сопоставление одному имени разных вещей, а нераспознавание и неотслеживание такой ситуации.
И это не только в ИБ имеет место быть :)
— poptalk (01/05/2012 18:24)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
(Я думаю, мой вопрос подходит к этой теме.) Когда-то я читал научную статью про DNS, в котором доменное имя защищено электронной цифровой подписью. Доменное имя там не совсем обычное, оно состоит из публичного ключа шифрования и произвольных данных. Также этот DNS хранится в DHT, то есть он устойчив к изъятию сервера. Этот DNS уже где-то реализован? Как зарегистрировать в нём свой сайт? Можно ли прикрутить его к nslookup в Unix?
— Гость (01/05/2012 19:49)   <#>
Доменное имя ... состоит из публичного ключа шифрования
Скрытые сервисы Tor? :)
— poptalk (02/05/2012 14:44)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Скрытые сервисы Tor? :)

Нет, скрытый сервис Tor не нужен. Нужно именно то, что я сказал.
— Гость (11/06/2012 06:53)   <#>
Когда-то я читал научную статью про DNS, в котором доменное имя защищено электронной цифровой подписью.
Не оно?
— poptalk (11/06/2012 14:10)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
Вы имеете в виду DNSSEC? Я не вникал в устройство DNSSEC, но по всем видимости оно не подходит. Мне важно, чтобы данные хранились на независимых серверах; а DNSSEC иерархическая, как главный скажет, так все сделают. Но если кто-то знаком с DNSSEC и знает, как применить DNSSEC в моём случае, я с благодарностью выслушаю.

Остальные требования были лишь следствиями. Если информация хранится на независимых серверах, как убедиться, что сервера не подменяют DNS-записи? DNS-записи должны быть подписаны ЭЦП. Если нет центра, кто будет решать споры о доменных именах? Доменные имена должны быть большими числами, тогда все имена одинаково красивы (точнее, некрасивы :) ).
— Гость (11/06/2012 22:15)   <#>

Это верно, но главный не сможет подделать чужие подписи, потому клиенты сразу увидят нестыковку. Откуда берутся у клиентов ключи для сверки всех подписей в цепочке (в DNSSEC) — не доразобрался.

Вам это не нравится, но последовательное решение вашей проблемы — onion-адреса в Tor. Там DNS — просто обрезанный хэш сертификата сервера. Имеется продуманный протокол анонимности расположения серверов. Гарантируется отсутствие механизма удаления onion-адресов на уровне протокола (ну разве что сервер сломать и его сертификат похитить). Единственная простая атака против скрытого сервиса — DoS. В обычном интернете если не смогут отобрать DNS, отберут сам IP.
— poptalk (11/06/2012 22:45)   профиль/связь   <#>
комментариев: 271   документов: 13   редакций: 4
последовательное решение вашей проблемы — onion-адреса в Tor

Понятно, спасибо.
— SATtva (13/06/2012 10:39)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
а DNSSEC иерархическая, как главный скажет, так все сделают.

Это верно, но главный не сможет подделать чужие подписи, потому клиенты сразу увидят нестыковку. Откуда берутся у клиентов ключи для сверки всех подписей в цепочке (в DNSSEC) — не доразобрался.

Строго по иерархии — сверху вниз, как и рекурсивные DNS-запросы. Ключи корневой зоны поставляются с резолвером, они заверяют ключи доменов первого уровня, которые заверяют ключи доменов второго уровня, а те могут заверять ключи третьего уровня, и т.д. Если верхняя зона хочет подделать нижестоящие ключи, она может это сделать (да-да, как с УЦ X.509, нет в жизни счастья).
— Гость (13/06/2012 19:13)   <#>
Интересно. Но поидее можно написать приложение, которому задать ключи всех уровней руками, и тогда подделать уже будет нельзя.
— SATtva (13/06/2012 19:53)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Это ничем не отличается от certificate pinning в случае SSL.
— Гость (14/06/2012 12:14)   <#>
Certificate pinning работает, когда сайт поддерживает SSL, а таких меньшинство. Именно поэтому возможность ручной проверки всех подписей в цепочке была бы интересной.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3