Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
DNSSEC: продолжение на клиентских машинах
Достаточно давно я писал (в том числе, на страницах dxdt.ru) и рассказывал, что главный шаг на пути развёртывания DNSSEC – это массовое внедрение поддержки проверки подписей DNS на клиентские машины, а вовсе не подписывание корневой зоны. Понятно, что без подписи корня нет смысла продвигать DNSSEC на клиентов Интернета, потому что теряется возможность центрального контроля адресации в разросшейся Сети. Но важен как раз следующий шаг – новые резолверы на клиентских машинах (а не на серверах DNS), которые, например, не позволят интернет-провайдерам подмешивать всякую ерунду в DNS-ответы своим клиентам.
Собственно, теперь, когда зону успешно подписали, о втором шаге рассказывает уже ICANN: в официальном блоге пишут про предложенный Деном Камински (Dan Kaminsky) инструментарий, внедряющий поддержку DNSSEC на стороне браузера (например, упоминают “частную” версию Google Chrome, полностью поддерживающую DNSSEC) и почтового клиента. Собственно, это правильно.
До нового Интернета остались такие шаги (думаю, в таком порядке, как они перечислены дальше): DNSSEC на клиентах (года два на выполнение), строгое подписывание анонсов BGP и криптографическое удостоверение AS-ок (три-пять лет), переход подавляющей части трафика на IPv6 (пять-семь лет). А может даже и раньше.
Адрес записки: https://dxdt.ru/2010/08/05/3364/
Похожие записки:
- Про цепочки, RSA и ECDSA
- Техническое: TLS-сообщение с постквантовой криптосистемой Kyber768
- IACR и ключ от результатов выборов
- Kyber768 и длина сообщений TLS
- Нормализация символов Unicode и доменные имена
- TLS-сертификаты и дервья Меркла от Cloudflare
- Исчезновение "фрагментации Интернета" с разных точек зрения
- X25519Kyber768 в браузере Chrome 124
- Форматы записи TLS-сертификатов
- Stack Overflow и OpenAI
- Ссылки: NVIDIA об аппаратных бэкдорах в GPU
Кратко этот сайт характеризуется так: здесь можно узнать про технологический прогресс, Интернет, математику, криптографию, авиацию, компьютеры, авиационные компьютеры, вооружения, роботов, вооружение роботов, армии мира, астрономию, космические исследования. И иногда о чём-то ещё (
Комментарии читателей блога: 3
1 <t> // 5th August 2010, 15:15 // Читатель jno написал:
IPv6, пожалуй, раньше нарисуется – под него же, практически, давно уже всё есть. И есть требование правительства “пупа земли” о переходе его контракторов (а это – почти все наиболее жирные лавки мира) на IPv6, что называется “прям щаз”. В общем и целом – все условия, считай, соблюдены – и необходимость есть, и достаточность…
2 <t> // 6th August 2010, 22:13 // Читатель sarin написал:
а чем новый Интернет будет лучше старого?
на мой взгляд все эти шаги похожи на багфикс тех вещей о которых просто не подумали при строительстве нынешнего интернета. IPv6 и DNSSEC должны бы, по идее, сделать Интернет безопасней. но ведь львиная доля атак базируется не на технических уязвимостях, а на человеческом факторе.
я ни в коем случае не спорю, что все эти изменения нужны.
3 <t> // 10th August 2010, 14:24 // Читатель jno написал:
> чем новый Интернет будет лучше старого?
IPv6 хорош уж тем, что сильно упрощает маршрутизацию.
А “неподумали” – это сильно сказано.
Скорее то, что “придумали” стали использовать не по назначению! :)