.cz prechádza v zabezpečení DNS na eliptické krivky, .sk DNS zabezpečené stále nie je

Značky: DNSbezpečnosťČesko.sk

DSL.sk, 31.5.2018

Správca českej domény najvyššej úrovne .cz, CZ.NIC, opäť ako jedna z prvých domén najvyššej úrovne nasadzuje novú technológiu a v júni prejde u technológie DNSSEC zabezpečujúcej DNS ako vôbec u prvej domény najvyššej úrovne z algoritmu RSA na algoritmus ECDSA založený za kryptografii eliptických kriviek.

CZ-NIC o tom informuje v tomto oznámení.

Technológia DNSSEC zvyšuje bezpečnosť DNS tým, že umožňuje záznamy digitálne podpisovať a overiteľné podpisy zasielať spolu s DNS odpoveďou.

DNS klient respektíve rekurzívny DNS server prekladajúci domény na IP adresy tak môže bezpečne overiť, že odpoveď pochádza z oficiálneho DNS servera pre doménu a nebola žiadnym spôsobom podvrhnutá.

CZ-NIC nasadil DNSSEC v .cz už v roku 2008, podľa avíza niekoľko mesiacov pred nasadením zrejme ako tretia krajina v Európe. Doteraz samozrejme používal RSA kľúče, pričom správu hlavného kľúča aj s jeho uchovávaním v trezore a používaním na notebooku bez disku a sietí popísal pred piatimi rokmi.

Teraz prechádza na ECDSA z niekoľkých dôvodov. Porovnanie RSA a ECDSA je komplikované, v otázke bezpečnosti je za RSA 40-ročná minulosť bez identifikovania problému a veľmi jednoduchý princíp, ECDSA je používaný kratšie, parametre algoritmu sú pre potrebu zvolenia krivky komplikovanejšie ale na druhej strane má aj pri menších dĺžkach kľúčov a podpisov väčšiu bezpečnosť.

Práve menšia veľkosť je veľkým pozitívom pre nasadenie v DNSSEC, keď kratšie pakety sú menej vhodné na DDoS útoky zosilnením pomocou DNS a napríklad rýchlejšie prechádzajú niektorými IPv6 sieťami.

Problémom ale samozrejme bude, že staršie DNS rekurzívne servery môžu podporovať DNSSEC ale nie ECDSA algoritmus. CZ-NIC sa ale rozhodol ECDSA nasadiť, keďže ho intenzívne využívajú aj domény druhej úrovne v .cz a užívateľ často tak či tak podporu ECDSA teda potrebuje. Konkrétne je ECDSA používaný už takmer polovici českých zabezpečených domén.

K prechodu na ECDSA príde v rámci výmeny hlavného KSK kľúča zóny .cz postupne podľa súčasného harmonogramu od 4. do 8. júna.

V doméne .sk DNSSEC stále podporovaný nie je. Správca domény SK.NIC podporu sľubuje dlhodobo a má byť jednou z výhod nového systému, na ktorý sa prešlo v minulom roku. Zatiaľ podporované ale stále nie je a na svojich stránkach SK.NIC podporu sľubuje v "ďalšej fáze".

Či DNSSEC podporuje rekurzívny DNS server, ktorý používate, respektíve aj detailne ktoré algoritmy konkrétne podporuje je možné overiť na tejto stránke.




Najnovšie články:



Diskusia:

robím herbáre zo šupiek cibule, pozn.: Od: vajko | Pridané: 31.5.2018 9:59 nam to postaci mat zabezpecene na kosostvorec :] Odpovedať Známka: 8.6 Hodnotiť:

Ne: konečne Od: syntaxterrorX XX | Pridané: 31.5.2018 10:48 Postaci!? V porovnani s rombustizaciou elipsy je kvadratura kruhu priekazne riesitelna z hlavy. Odpovedať Známka: 0.0 Hodnotiť:

Re: Ne: konečne Od: vajko | Pridané: 31.5.2018 11:43 Keby som si mal vybrat ci so sveta zmizne cholera, AIDS alebo Tvoje komentare, zvolil by som Tvoje komentare... Odpovedať Známka: 5.3 Hodnotiť:

ničivý teoretik Od: syntaxterrorX XX | Pridané: 31.5.2018 12:14 Evidentne najma lebo interpunkcia v moznostiach volby uz priekazne byt nemusi... Odpovedať Známka: -0.5 Hodnotiť:

Re: ničivý teoretik Od: vajko | Pridané: 31.5.2018 13:52 Hmm... odprihasal by som, ze mi niekto zmenil zo na so. Ak nie tak pardon za preklep. Odpovedať Známka: 4.3 Hodnotiť:

Re: Ne: konečne Od reg.: Leader80 | Pridané: 31.5.2018 14:19 seriozne som sa uz zacal zamyslat napisat firefox addon ktory odmaze slovo "priekazne" alebo rovno syntaxerrorove komentare... Odpovedať Známka: 8.9 Hodnotiť:

Re: Ne: konečne Od: vajko | Pridané: 31.5.2018 14:23 Prosim sprav to. S radostou budem pouzivat ten addon. Odpovedať Známka: 8.3 Hodnotiť:

Re: Ne: konečne Od: ggrg | Pridané: 31.5.2018 16:31 neviem, co sa vam nepaci. niekedy su to chlopotiny, obcas to ale pasuje. Challenge je to preskumat a hodnotit, teda pokial je na to intelektualna energia pri tolkej praci:) Odpovedať Známka: 4.3 Hodnotiť:

DNSSEC v sk-nic? Od: WisdomDealer | Pridané: 31.5.2018 9:59 sk-nic je banda totalnych debilov a technickych analfabetov, ktora sidli v pivnici, spolu s prvou akoze slovenskou certifikacnou autoritou, takze DNSSEC je len rozpravka. Staci sa pozriet na vyplod chorej mysle, ktora navrhla admin rozhranie a system uhrad domen. Odpovedať Známka: 5.5 Hodnotiť:

Re: DNSSEC v sk-nic? Od: trololoman | Pridané: 31.5.2018 12:31 Potvrdzujem tvoje slová, sk-nic sú neschopné vylízané píče. A pridám aj jednu konkrétnu skúsenosť. Zmenil som pred 2 rokmi právnu formu zo živnosti na sro. Mám na firmu doménu na sk aj cz. A predstavte si že tí češi keď mi mali fakturavať za doménu, si sami všimli že pôvodné VAT na živnosť už neexistuje a ozvali sa že či sa dačo zmenilo. Jediným mailom som im oznámil že som zmenil živnosť za sro a napísal im nové údaje. Tým to bolo všetko vybavené, oni zapísali nové údaje k vlastníkovi domény a poslali mi fa s akt. údajmi. Keď som chcel to isté spraviť s sk doménou, tak som najprv deň strávil študovaním všelijakých dokumentov na pojebanom sknic webe aby som nakoniec zistil že sa to vlastne takto jednoducho zmeniť u nich ani nedá. Tak som sa im na to vysral, a oni mi naďalej posielajú faktúry so starými neplatnými údajmi (doteraz nič nezistili), ja to zaplatím zo svojho a do účtovníctva to nedávam, tie 2€ dph ma aj tak nespasia. Odpovedať Známka: 6.0 Hodnotiť:

Re: DNSSEC v sk-nic? Od: alllyzu | Pridané: 31.5.2018 15:36 - jj registrátorskú zmluvu mi rušili asi mesiac - po druhé - keď som chcel zákazníkovi zmeniť údaje vlastníka domény ktorá bola jeden deň v stave expired s neplatným ičom nemal som inú šancu ako uhradiť faktúru s neplatným IČO (tj. neplatnú fa) - proste Augiášov chliev. Odpovedať Známka: 8.2 Hodnotiť:

Re: DNSSEC v sk-nic? Od reg.: M.Miiicho | Pridané: 1.6.2018 9:46 Však preto sa im hovorí už desaťročia "sk-nič" :D Odpovedať Známka: 3.3 Hodnotiť:

Bravo Od: MaoBK | Pridané: 31.5.2018 10:03 .cz je ukazka ako by mali sluzby so zaujmom statu byt prevadzkovane. Poklona. .sk je, nooo, oneee, ako by som to, ..., BIZNIS. Ale rovnaka paralela je aj pri DVB-T, a urcite aj inde. Odpovedať Známka: 7.3 Hodnotiť:

Re: Bravo Od: Mirkooo | Pridané: 31.5.2018 13:32 sk-nic ale už nevlastnia ani slováci, nie? Pár mesiacov dozadu tu bol článok, že sa sk-nic predalo Britskej spoločnosti CentralNic za 26 miliónov. Odpovedať Známka: 3.3 Hodnotiť:

Re: Bravo Od: Mxxl | Pridané: 31.5.2018 14:05 no však keď máš biznis, zisk ide postupne v priebehu dlhej doby (ak ide ten biznis tak ako má).. keď predáš biznis, máš obrovský zisk hneď Odpovedať Známka: 6.0 Hodnotiť:

Re: Bravo Od: ....... | Pridané: 31.5.2018 15:39 Lenže Slováci sú priamo zodpovední ze to, že predali svoju národnú doménu šuflikantom v UK. Zrejme boli jediní čo vedeli pomastiť na správnom mieste - veď ponuku apartmánov na Floride a chát v Alpách treba využiť - veď zodpovední a ich deti žijú len raz, všakže. Odpovedať Známka: 6.0 Hodnotiť:

Re: Bravo Od: kecalek | Pridané: 31.5.2018 18:45 A kto odklepol predaj? Stačí sa pozrieť do Pažravej nad Dunajom - sedí tam! Terajší premiér Pellegríni. Odpovedať Známka: 6.7 Hodnotiť:

ničivý teoretik Od: syntaxterrorX XX | Pridané: 31.5.2018 21:24 Ono ale drzanie sa kablov zubami nechtami za kazdu cenu v konecnom dosledku tiez nemusi byt priekazne najvyhodnejsim riesenim. Odpovedať Známka: -3.3 Hodnotiť:

lollol Od: Sasho | Pridané: 31.5.2018 10:04 Zasa trepes blbosti.. Odpovedať Známka: -6.7 Hodnotiť:

sk.sk Od: nemlehet | Pridané: 31.5.2018 11:14 Prečo by nás mala zaujimať doména ktorú vlastní súkromná firma? Odpovedať Známka: 6.2 Hodnotiť:

Jejbr Od: Jdiei | Pridané: 31.5.2018 11:49 Najprv som cital epilepticke krivky a hned sa mi vybavila dost roztrasena krivka s penou okolo. Odpovedať Známka: 6.7 Hodnotiť:

Re: Jejbr Od: kekeket | Pridané: 31.5.2018 13:11 ja penim zo zenskych kriviek Odpovedať Známka: 8.3 Hodnotiť:

Re: Jejbr Od: Cpt. Obvious | Pridané: 31.5.2018 13:30 Aj ja :D že epileptické krivky :D Odpovedať Známka: 5.0 Hodnotiť:

Re: Jejbr Od: hovado | Pridané: 31.5.2018 16:34 ...ty fajnsmeker Odpovedať Známka: 3.3 Hodnotiť:

Re: Jejbr Od: fin1 | Pridané: 1.6.2018 11:45 Kozmeker? Odpovedať Hodnotiť:

Rekurzivne... Od: Chuj | Pridané: 31.5.2018 13:45 Rekurzivne dns servery? To je nejaky kajnsmetke... Nie je to reverzne? Odpovedať Známka: -5.0 Hodnotiť:

Re: Rekurzivne... Od: sensei-san | Pridané: 31.5.2018 14:00 Nie. https://tools.ietf.org/html/rfc1035#page-7 Odpovedať Známka: 6.0 Hodnotiť:

Re: Rekurzivne... Od: fgs | Pridané: 31.5.2018 15:20 Perverzne? Odpovedať Známka: 5.0 Hodnotiť:

Pridať komentár