Názor ke článku Soukromí v DNS prakticky od hugochavez - "ad3/ ...o DNSCurve toho zatim moc nevim.." V tom...

  • 2. 2. 2017 2:16

    hugochavez (neregistrovaný)

    "ad3/ ...o DNSCurve toho zatim moc nevim.."
    V tom pripade vrele doporucuju brilantne vedenou prednasku navic prokladanou vtipem od uznavaneho kryptografa jmenem Daniel Bernstein (autor napr EC25519)
    High-speed high-security cryptography: encrypting and authenticating the whole Internet
    https://www.youtube.com/watch?v=ljt1cxUcZMM

    slides ktery tam pouziva jsou k sosnuti zde:
    https://events.ccc.de/congress/2010/Fahrplan/attachments/1773_slides.pdf

    Prvni polovinu venuje rozboru slabin DNSSEC protokolu a moznych scenaru jeho zneuziti k amplification DDOS utoku, potom navrhuje reseni =prave DNSCurve + novy komunikacni protokol CurveCP.
    Ten jeho napad vyeliminovat CA a verejny klic webu rovnou napalit natvrdo do URL je genialni, trochu se to podoba napadu od Bruce Schneiera kde pri pouziti dostatecne dlouheho URL s dobrou entropii je mozne vyeliminovat heslo, protoze obtiznost uhodnuti hesla je srovnatelna s obtiznosti uhodnuti jedinecne URL :o)

    "ad1/ ....o Unboundu na Turrisu s vypnutym forwardovanim dotazu, pak mate pravdu a v tu chvili je Unbound v roli recursive DNS. V pripade zapnuteho forwardingu (viz administrace Foris), coz je mimochodem doporuceno CZ.NICem (kvuli rychlosti odezvy apod.), pote jsou DNS dotazy rekurzivne vyrizovany DNSkem ISP."
    Nevim teda jak je Unbound implementovan na Turrisu, ale duvodem proc si lid instalujou doma Unbound DNS server je prave to aby se vyhnuli "profilovani a zlovuli ci ruznym black-listum" od sveho ISP ci nejakeho chytraka po ceste. Neni mi jasne proc by forwardovani-a tim degradace Unboundu na preposilace dotazu" melo byt "doporucene reseni" a uz vubec mi neni jasne jakou vyhodu by to melo ohledne "rychlosti odezvy" pred vybudovanim VLASTNI CACHE na vlastnim LANu....?
    Ja kdyz si udelam DNSbenchmark tak je vzdycky jasne nejrychlejsi muj vlastni lokalni Unbound, kdy napr. domeny ktere jsou nacachovane serviruje rychlosti 1ms az nemeritelno....
    Navic Unbound ma funkci "pre-fetching" takze si klice a zaznamy SAM updatuje tesne predtim nez vyprsi TTL, cimz je cache ze ktere serviruje vzdy aktualni a OKAMZITE ready.