OpenSSL 0.9.8za, 1.0.0m a 1.0.1h

V systemd je i Kerberos? Nebo bude?

Tohle se mi právě taky moc nelíbí. Uvítal bych, kdyby to bylo víc projektů, klidně vyvíjených tím samým týmem, ale distribuovaných samostatně. Když někdo nepotřebuje DNS(SEC) nebo NTP nebo Kerberos, tak by přece měl mít možnost používat systém i bez toho, resp. init systém by na tom neměl záviset.

Např. když budu mít nějaké malé jednoúčelové zařízení, kde nepotřebuji DNS (buď použiji DNS server na síti nebo si klidně nastavím pár IP adres natvrdo) a ani mě nezajímá aktuální čas, bylo by fajn, abych mohl používat stejnou distribuci a stejný init systém, jako na jiných počítačích – a nemusel tam tyhle služby provozovat ani je mít nainstalované.

Jak jsem psal výše:

Pak tedy až tolik nechápu ti útoky na systemd – neměl by to být takový monolitický moloch, jako spíš množina komponent verzovaných ve společném stromu. Akorát je tedy důležité, abych si mohl výchozí implementaci (např. NTP, DNS) nahradit vlastním démonem (tzn. dobře definované rozhraní resp. specifikované, co má ta služba poskytovat).

Nevadí mi, že lidi kolem systemd dělají i kdeco dalšího, ale neměla by na tom být závislost, mělo by to jít vypnout, nahradit alternativní implementací nebo neinstalovat vůbec.

Bagatelizovat toto na úroveň denial of service je nebezpečný omyl.

Já bych spíš řekl, že nebezpečný omyl je se bezmezně spoléhat na DNSSEC.

DNS není nic nezbytného, natož pak DNSSEC, jde to i bez něj, můžeš používat klidně jen IP adresy, nebo si držet seznamy strojů a IP adres v nějakých textových souborech (ostatně tak se to dřív dělalo), a počítače a Internet taky fungovaly. O tom ta bezpečnost prostě není. Navíc DNS tu nemusí být navěky, tahle globální hierarchie má i své nevýhody, třeba se časem rozšíří něco víc P2P…

Pokud se na klientské straně prosadí DANE/TLSA, tak na tohle můžeš hezky rychle zapomenout.

Musím? Nemusím. To že nějaká technologie existuje, ještě neznamená, že jí budu bezmezně důvěřovat. DANE/TLSA je lepší než nic – např. když se budu připojovat na neznámý nedůležitý SSH server a budu fakt líný kontrolovat otisk – pak je lepší kontrola přes DNSSEC, než to jen odbouchnout. Ale pokud to bude něco kritičtějšího, tak se na tenhle kanál fakt spoléhat nedá. Radši si nechám od několika subjektů (lidí, služeb) potvrdit otisk klíče daného serveru – pošlou mi ho podepsanou GPG zprávou (samozřejmě by se to dalo/mělo zautomatizovat) a tahle síť důvěry je mnohem lepší a flexibilnější řešení, než nějaká centrální hierarchie typu DNS nebo klasické CA, kde lze informaci podepsat jen jedním subjektem, nelze napojit víc podpisů a spočítat nějakou celkovou důvěryhodnost.

Vážně si myslíš, že účelem DNSSEC je jen chránit odpovědi na A/AAAA/CNAME dotazy?

Proč tak útočně? Stačí si přečíst hned další větu.

V kontextu TLS dělá DNSSEC to, že svazuje (ideálně vlastní) certifikační autoritu s daným DNS podstromem a umožňuje definovat hierarchii takových autorit na úrovni DNS. V jakém uzlu toho DNS stromu trust ukotvíš je věc provozního rozhodnutí, přičemž existuje globální trust anchor, která umožňuje se bez větší námahy bránit konvenčním útokům.

Tohle je taková teoretická možnost. Ale je to značně nepružné – překlad DNS se dělá na systémové úrovni, kdežto seznam důvěryhodných CA si můžeš spravovat i na úrovni uživatele nebo jedné aplikace.

V případě útoku by běžně stačilo zatlačit na jeden subjekt (na libovolné úrovni té hierarchie) a na jednom místě si zmanipuluješ jak A/AAAA záznamy, aby sis nasměroval provoz na svoje MITM servery, tak i otisky klíčů, aby oběť věřila těm tvým. Pro klasické CA se vyvinuly různé obranné mechanismy (např. kontrola změny CA oproti dřívějšku nebo kontrola certifikátu z různých částí Internetu). Pokud by DNSSEC měl být náhradou, bylo by potřeba tohle dovyvinout, znovu vynalézt kolo a dostat se po letech zhruba tam, kde jsme teď s CA.

Situace v DNSSEC je tedy velmi odlišná od situace s ad hoc certifikačními autoritami, což slouží jako důvod k nasazení DNSSEC i jako důvod k jeho kritice. Tvrzení, že je situace stejná je nebezpečný nesmysl.

Nebezpečný nesmysl je brát DNSSEC jako náhradu klasických CA nebo pavučiny důvěry. Tohle DNSSEC nemůže nabídnout a pokud do něj někdo takové naděje vkládá, bude velmi zklamaný.

U X.509 můžeš v certifikátu CA omezit domény, pro které smí tato CA vydávat certifikáty – viz Name Constraints:

indicates a name space within which all subject names in subsequent certificates in a certification path MUST be located. Restrictions apply to the subject distinguished name and apply to subject alternative names.

můžeš pomocí nich tedy realizovat i ten scénář, který popisuješ výše – jedna kořenová globální CA + CA pro jednotlivé TLD + CA pro další úrovně. Globální autorita by podepsala certifikát CZ.NICu, CZ.NIC by podepsal certifikát tobě (na základě vlastnictví nějaké .cz domény) a ty by sis vydával svoje certifikáty nebo pod sebou vytvořil další CA pro subdomény/zóny. Každá CA by byla omezená (viz Name Constraints výše) tak, aby mohla vydávat certifikáty jen pro svoji část stromu.¹

Pokud by DNSSEC chtělo být náhradou za klasické CA, je to úplně zbytečné a nesmyslné znovu vynalézání kola (téhož jde dosáhnout v rámci již existujících standardů – X.509 – viz výše a nebylo by potřeba chrlit standardy nové). To by ale bylo velmi hloupé. Já ho proto jako náhradu neberu – beru ho jako doplněk, jako další kanál, kterým můžu ověřovat otisky a o něco zvýšit bezpečnost. Pak je to užitečná technologie.

Na druhou stranu veřejné certifikační autority rovněž vycházejí z informací o vlastnictví domény, které se získávají od těch stejných subjektů, a k tomu ještě jsou

Nikoli. CA vycházejí ze svých certifikačních politik a do nich si můžou napsat, co chtějí – technologie je v tom nijak neomezuje. Nějaká CA ti tedy může vydat certifikát třeba jen na základě toho, že jsi zachytil e-mail odeslaný na adresu webmaster@example.com, zatímco jiná CA po tobě bude chtít telefonickou kontrolu nebo kontrolu nějakých dokladů (např. zda jsi občanem, za kterého se vydáváš, nebo firmou založenou v určitém státě) nebo po tobě můžou chtít osobní návštěvu, nebo se naopak přijedou podívat za tebou jestli a jak existuješ – to už je na nich. Je to i formalizované do různých úrovní ověření: DV (domain validation), OV (organization validation), EV (extended validation). Uživatel má k dispozici řadu informací, jak o CA, tak o subjektech, kterým byl vydán serverový certifikát, a podle toho se zařídí – něčemu by měl věřit více, něčemu méně, to už je na něm a na jeho potřebách.

_{[1] ještě doplnění: kdo by nechtěl věřit té „židozednářské“ globální CA, ten by si prostě vytvořil vlastní nezávislou CA a vlastní hierarchii/strukturu – což by bylo zvlášť zajímavé při uvedení RFC 4158 do praxe – to by totiž mělo přinést Certificate Graph místo klasického Certificate Chain a budovat i jiné struktury než jen stromy – podobně jako pavučina důvěry u GPG}

Nesprávná konfigurace systémového času má vliv na mnoho kryptografických nástrojů a protokolů (třeba zrovna Kerberos, jak píše snajpa).