Tak to zablokujme v DNS. Nebo ne?

Poměrně nedávno se v prostorách FIT ČVUT uskutečnila schůzka zástupců ministerstva financí s internetovou komunitou. Jako člověk, který stál u zrodu iniciativy prichazicenzor.cz, jsem pochopitelně nemohl chybět a velmi jsem se těšil, kam se uvažování zástupců ministerstva posunulo. Dlužno podotknout, že argumentace se logicky příliš nelišila od vyjádření vlády pro Ústavní soud, kterou včera na Lupě velmi pěkně rozebíral David Slížek. Přítomné hosty především z ISP komunity pochopitelně nejvíce zajímalo, jakým způsobem tedy budou muset blokovat.

DNSCurve – alternativní návrh k DNSSECu

Enfant terrible DNS scény opět zasahuje. Daniel J. Bernstein přichází z vlastním návrhem řešení kryptografické autentizace DNS záznamů. Tento návrh si můžete v originále přečíst na stránkách projektu DNSCurve.

Ve stručnosti se jeho návrh dá shrnout do několika bodů:

  1. Všechny NS záznamy budou speciálně pojmenované
  2. Speciální pojmenování bude obsahovat šifrovací klíč
  3. Rekurzivní DNS bude komunikovat s autoritativním pomocí tohoto šifrovacího klíče
  4. Šifrovaná komunikace bude obalená a schovaná do TXT RDATA

Návrh obsahuje pár zajímavých myšlenek (použítí Elliptic Curve Kryptografie), v zásadě ale vidím několik nedostatků tohoto návrhu:

  1. Informace o tom, že se má začít šifrovat k rekurzivnímu DNS, jde nešifrovaně. Návrh neobsahuje Pevné body důvěry (Trust Anchors).
  2. V případě, že bychom DNSCurve použili i na root servery a všichni začali DNSCurve používat, tak by došlo k paradoxní situaci, kdy by veškeré DNS pakety chodily obalené do DNS TXT. Což mi lehce připomíná IP over DNS protokol.
  3. Bernstein píše o tom, jak je Elliptic Curve algoritmus milionkrát složitější na rozlousknutí a zjevně z tohoto důvodu nedefinuje mechanismy, jak měnit klíče. Bude to však pravda i za dalších několik let?
  4. Nevím jestli název nameserveru uz51gmc1jjicekrm676rorncvjpale915vhd94bj2fddj1be1ntbg5.nic.cz bude patřit mezi něco, co je srozumitelné pro pouhého smrtelníka a zda administrátoři budou s nadšením hledat problémy, když se něco pokazí.

Můj názor je takový, že vzhledem k výše uvedeným faktům a kontroverznosti autora návrhu, který naštval snad úplně všechny, se návrh nikterak nerozšíří. Příjemnou věcí je ovšem to, že DNSCurve nikterak nekoliduje s DNSSECem a administrátor serveru bude mít na výběr.

Ondřej Surý

Aktualizace:

Z diskuze na namedroppers a dnsop se objevilo pár dalších problémů.

  1. Zdá se, že Elliptic Curve algoritmy jsou problémové z hlediska amerických patentů.
  2. Protože DNSCurve šifruje, tak je velmi pravděpodobné, že se na něj budou vztahovat americká exportní omezení.

DNSSEC v .gov

Kancelář pro plánování a rozpočet Bílého domu vydala nařízení, podle kterého musí správce domény .gov do ledna roku 2009 nasadit technologii DNSSEC a dále připravit plány na nasazení DNSSECu pro všechny systémy, kterých se týká doménový prostor pod TLD doménou .gov. Originální článek vyšel například zde.

Na tomto faktu by nebylo v zásadě nic tak zajímavého, kdyby:

a) se nejednalo o vládní doménu – administrativa Spojených Států se zajímá o ochranu DNS prostoru

b) nebylo nasazení povinné – zatímco všechny ostatní TLD domény, k nimž se brzy připojí i naše česká doména .cz, fungují na principu dobrovolnosti; všechny poddomény v doméně .gov budou muset implementovat DNSSEC povinně.

V každém případě bude zajímavé sledovat, jak se jim nasazení zdaří, za jak dlouho budou schopni začít podepisovat všechny poddomény a kdy budou mít nasazeny rekurzivní DNS, které si rozumí s DNSSECem.

Ondřej Surý