16 maj, 2020

Show Notes för #76 – DANE, eller hur vi löser tillit i framtiden

IT-säkerhetspodden, c’est moi… I alla fall denna gång. Mattias är annorstädes, men kommer givetvis tillbaka till podden nästa vecka. Den som har flest skärmar när han dör, vinner…

Avsnittet heter #76 – DANE, eller hur vi löser tillit i framtiden?
Det spelades in 2020-05-16 och lades ut 2020-05-17.
Deltagare: Erik Zalitis
Show notes skrivna av Erik Zalitis.

Så var man alltså ensam denna gång och avsnittet blev ju därför hälften av både mantalet och längden. Men ämnet ligger i luften och idag handlar det om DANE (DNS-based Authentication of Named Entities).

Som jag sa i avsnittet förmår inte längre CAs (certificate authorities) längre garantera att utgivaren av certifikatet verkligen gjort sitt jobb och kollat den som beställde certifikatet innan de utfärdade det. Ett problem DANE kan lösa genom att låta den som driver sin DNS själv gå i god för den.

DANE ser till att:

  • Kryptering nu är obligatoriskt och inte ”om möjligt” som med t.ex. opportunistisk kryptering.
  • Man kan lita på att tjänsten hör till domänen och att utgivaren är den som kontrollerar den.

Och genom att kräva DNSSEC, blir det svårt för en hackare att styra om domänen och ta över den. Är det dock möjligt? Om en hackare kan ta kontroll över en organisations DNS och sedan ändra i både DANE-posterna och pekaren till en webbserver de styr, är det då inte kört i alla fall? Kanske, men det är en ganska komplicerad sak att göra, vilket är själva grejen. Ju fler kontroller som måste bekämpas, desto mindre sannolikhet är att det lyckas.

Länkar

En jämförelse mellan diverse teknologier som finns idag för epost:
https://certified-senders.org/wp-content/uploads/2020/02/Email-Transport-Encryption-STARTTLS-vs.-DANE-vs.-MTA-STS_updated.pdf

Microsofts lägger till DNSSEC och DANE:
https://techworld.idg.se/2.2524/1.733018/exchange-online-dane-dnssec

Vad är DANE?
https://www.infoblox.com/dns-security-resource-center/dns-security-faq/what-is-dane/

Steve Gibson skriver om problemet med CAs och har en, nu rätt föråldrad lösning:
https://www.grc.com/fingerprints.htm

En mer iögonfallande bloggpost anför att Dane och DNSSEC är opålitliga eftersom ”myndigheterna” kontrollerar DNSSEC. Vilket är en förklarlig om än paranoid argumentation givet att USAs myndigheter 2015 hade kontroll över t.ex. ICANN:
https://sockpuppet.org/blog/2015/01/15/against-dnssec/

… Fast, hans blogginlägg skrevs ju som sagt 2015, innan Icann slutade vara under USAs kontroll, så det argumentet håller inte längre. Resten av dem är ganska tveksamma också, men för att visa några motargument, kan man i alla fall lära sig något genom att titta igenom sidan.

Lämna ett svar

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.

Scroll to top