Overvejelser omkring DNSSEC i Danmark. Svenne Krap, svenne@krap.dk København, 18. juni 2009



Relaterede dokumenter
Kryptologi 101 (og lidt om PGP)

PARALLELIZATION OF ATTILA SIMULATOR WITH OPENMP MIGUEL ÁNGEL MARTÍNEZ DEL AMOR MINIPROJECT OF TDT24 NTNU

ArbejsskadeAnmeldelse

Vina Nguyen HSSP July 13, 2008

Trolling Master Bornholm 2013

IBM Network Station Manager. esuite 1.5 / NSM Integration. IBM Network Computer Division. tdc - 02/08/99 lotusnsm.prz Page 1

IKT i Danske Byggeøkonomuddannelsen

Tema: Pets Fag: Engelsk Målgruppe: 4. klasse Titel: Me and my pet Vejledning Lærer

LESSON NOTES Extensive Reading in Danish for Intermediate Learners #8 How to Interview

Trolling Master Bornholm 2014

DET KONGELIGE BIBLIOTEK NATIONALBIBLIOTEK OG KØBENHAVNS UNIVERSITETS- BIBLIOTEK. Index

Vores mange brugere på musskema.dk er rigtig gode til at komme med kvalificerede ønsker og behov.

how to save excel as pdf

Baltic Development Forum

Status på det trådløse netværk

Danish Language Course for Foreign University Students Copenhagen, 13 July 2 August 2016 Advanced, medium and beginner s level.

Kunstig intelligens. Thomas Bolander, Lektor, DTU Compute. Siri-kommissionen, 17. august Thomas Bolander, Siri-kommissionen, 17/8-16 p.

QGIS Brugermde 9. marts Diaspora*: twitter.com/soerenbc soerenbredlundcaspersen.

Trolling Master Bornholm 2015

Portal Registration. Check Junk Mail for activation . 1 Click the hyperlink to take you back to the portal to confirm your registration

Business Rules Fejlbesked Kommentar

Trolling Master Bornholm 2014

Leverandørdialog. R2 Group A/S. R2 Group A/S. Nøglen til at være REACH parat V. Jan Skov Nørby

Fejlbeskeder i Stofmisbrugsdatabasen (SMDB)

Fejlbeskeder i SMDB. Business Rules Fejlbesked Kommentar. Validate Business Rules. Request- ValidateRequestRegist ration (Rules :1)

Motorway effects on local population and labor market

E-PAD Bluetooth hængelås E-PAD Bluetooth padlock E-PAD Bluetooth Vorhängeschloss

DK - Quick Text Translation. HEYYER Net Promoter System Magento extension

Nanna Flindt Kreiner lektor i retorik og engelsk Rysensteen Gymnasium. Indsigt i egen læring og formativ feedback

Trolling Master Bornholm 2015

The EAL Jobportal. How to get started

Opera Ins. Model: MI5722 Product Name: Pure Sine Wave Inverter 1000W 12VDC/230 30A Solar Regulator

Trolling Master Bornholm 2014

Præstation vs. Resultat

Bookingmuligheder for professionelle brugere i Dansehallerne

Trolling Master Bornholm 2016 Nyhedsbrev nr. 3

University of Copenhagen Faculty of Science Written Exam - 3. April Algebra 3

Titel: Hungry - Fedtbjerget

Danish Language Course for International University Students Copenhagen, 12 July 1 August Application form

SAS USER FORUM DENMARK 2017 USER FORUM. Rune Nordtorp

Blomsten er rød (af Harry Chapin, oversat af Niels Hausgaard)

Sunlite pakke 2004 Standard (EC) (SUN SL512EC)

Subject to terms and conditions. WEEK Type Price EUR WEEK Type Price EUR WEEK Type Price EUR WEEK Type Price EUR

MARITIME PROFESSIONALS, ASHORE AND AT SEA. Online Identitet

The X Factor. Målgruppe. Læringsmål. Introduktion til læreren klasse & ungdomsuddannelser Engelskundervisningen

TM4 Central Station. User Manual / brugervejledning K2070-EU. Tel Fax

Trolling Master Bornholm 2013

Barnets navn: Børnehave: Kommune: Barnets modersmål (kan være mere end et)

Virk.dk. A one-stop-shop for businesses. Peter Bay Kirkegaard, pbk@eogs.dk Special Advisor Danish Commerce and Companies Agency

KLAGENÆVNET FOR DOMÆNENAVNE. J.nr.:

Lykken er så lunefuld Om måling af lykke og tilfredshed med livet, med fokus på sprogets betydning

Resource types R 1 1, R 2 2,..., R m CPU cycles, memory space, files, I/O devices Each resource type R i has W i instances.

Forskning og udvikling i almindelighed og drivkraften i særdeleshed Bindslev, Henrik

Hvad er KRYPTERING? Metoder Der findes to forskellige krypteringsmetoder: Symmetrisk og asymmetrisk (offentlig-nøgle) kryptering.

A Comparative Analysis of Three Different Priority Deques af: Søren Skov & Jesper Holm Olsen

Skriftlig Eksamen Beregnelighed (DM517)

Public Key Crypto & Gnu Privacy Guard & CaCert

Semco Maritime - Vækst under vanskelige vilkår. Offshoredag 2009 Vice President Hans-Peter Jørgensen

I m sick and tired of this place. It s so Danish. No one here sees the potentially great idea. Nej. Man får väl åka hem til Sverige igen.

Cross-Sectorial Collaboration between the Primary Sector, the Secondary Sector and the Research Communities

Project Step 7. Behavioral modeling of a dual ported register set. 1/8/ L11 Project Step 5 Copyright Joanne DeGroat, ECE, OSU 1

Get Instant Access to ebook Udleveret PDF at Our Huge Library UDLEVERET PDF. ==> Download: UDLEVERET PDF

IBM WebSphere Operational Decision Management

Cookie-reglerne set fra myndighedsside Dansk Forum for IT-ret 5. november 2012

Help / Hjælp

Modtageklasser i Tønder Kommune

Hvis incidents er dyre og besværlige...

BANGKOK FASE 2 - VALGFAG INFORMATION, VEJLEDNING OG DOKUMENTER

1 What is the connection between Lee Harvey Oswald and Russia? Write down three facts from his file.

DAU IT-SIKKERHEDSKONFERENCE BEST PRACTICE: ORGANISATIORISK OT-SIKKERHED D. 13 JUNI 2017

Masters Thesis - registration form Kandidatafhandling registreringsformular

PDFmaps på smartphones

Domain Name System. Domain Name System - DNS

Dokumentet/dokumenter der kommenteres på: Fælles retningslinjer for webservices. Organisationen der kommenterer: SKAT - Løsningsarkitektur og Test

Gadeoptræden & Gademusik København 2010

KundeCenter Privat FRA KPI TIL FORMÅL

BANGKOK FASE 2 -VALGFAG INFORMATION, VEJLEDNING OG DOKUMENTER

Get Instant Access to ebook Madkundskab PDF at Our Huge Library MADKUNDSKAB PDF. ==> Download: MADKUNDSKAB PDF

Trolling Master Bornholm 2013

Vejledning til brugen af bybrandet

Dårlig litteratur sælger - Trykkekultur i 1800-tallets Storbritannien og idag. Maria Damkjær Post.doc. i Engelsk Litteratur

Bilag. Resume. Side 1 af 12

Specifikationsdokument for OCSP

Trolling Master Bornholm 2016 Nyhedsbrev nr. 7

Danskhjælpen er en lille opslagsgrammatik. Her kan du læse om de grammatiske emner, før eller imens du arbejder med dine Grammar-opgaver.

How Al-Anon Works - for Families & Friends of Alcoholics. Pris: kr. 130,00 Ikke på lager i øjeblikket Vare nr. 74 Produktkode: B-22.

RentCalC V Soft-Solutions

Brug sømbrættet til at lave sjove figurer. Lav fx: Få de andre til at gætte, hvad du har lavet. Use the nail board to make funny shapes.

United Nations Secretariat Procurement Division

- en introduktion! Oversætter domænenavne til IP-adresser - F.eks: oversættes til Bruges dagligt i Internet Browsere

VPN VEJLEDNING TIL MAC

PDFmaps på smartphones

Jeppesen Jensen slægten. The Jeppesen Jensen family

User Manual for LTC IGNOU

Sport for the elderly

Trolling Master Bornholm 2014

ANNONCERING AF CYKELTAXAHOLDEPLADSER I RØD ZONE OG LANGELINIE

Shared space - mellem vision og realitet. - Lyngby Idrætsby som case

Kurver og flader Aktivitet 15 Geodætiske kurver, Isometri, Mainardi-Codazzi, Teorema Egregium

Skriftlig Eksamen Diskret matematik med anvendelser (DM72)

Transkript:

Overvejelser omkring DNSSEC i Danmark Svenne Krap, svenne@krap.dk København, 18. juni 2009

Nærmest utekniske Overvejelser omkring DNSSEC (i Danmark) Svenne Krap, svenne@krap.dk København, 18. juni 2009

Agenda De 5 hv-spørgsmål 1) Hvorfor? 2) Hvordan? 3) Hvad? 4) Hvornår? 5) Problemer?

HVORFOR? KOMMUNIKATION Mindst 2 parter Er sikre på hinandens identitet Har passende hemmelighed

HVORFOR? KOMMUNIKATION Mindst 2 parter Er sikre på hinandens identitet Har passende hemmelighed

HVORFOR? KOMMUNIKATION Mindst 2 parter Er sikre på hinandens identitet Har passende hemmelighed Fx. Netbanker, Webshops, Nyhedssites, Email, VPN

HVORFOR? (del 2) DNS = telefonbog www.dk-hostmaster.dk = 193.163.102.23 1) Spørg oraklet (rodzonen) DK? a.nic.dk 2) Spørg a.nic.dk DK-HOSTMASTER.DK? auth01.ns.dk-hostmaster.dk 3) Spørg auth01.ns.dk-hostmaster.dk WWW.DK-HOSTMASTER.DK == 193.163.102.23 Ingen verifikation af udsagn!

HVORFOR? (del 3) For fjenden er missionen: Sørg for at sende fejlagtig information som modtageren stoler på Sørg for at kunne opsnappe og modificere information på vej

HVORFOR? (del 4) Hvad med SSL, VPN og andet crypto er det ikke nok? kan være forældet* kan være sat forkert op kan have uopmærksom bruger Vi har brug for mange LAG af sikkerhed! * Cæsar's encryption: født 56 f.k. Brugt i 2006 af mafiaen (som blev fængslet) MD5: født 1994, R.I.P 1/3/2005 Angrebet dec 2008 (RapidSSL skandalen) SHA1: født 1995, R.I.P 2004-2010

HVORDAN? KRYPTOGRAFI hulens svær matematik public-key crypto privat nøgle (hemmelig) offentlig nøgle (el. certifikat) En privat nøgle kan underskrive en udtalelse, som den offentlige nøgle kan verificere (men ikke genskabe). En udtalelse kan være en anden's offentlige nøgle

HVORDAN? (del 2) DNSSEC En åben standard til at underskrive et hierarki af andres nøgler og slutteligt et fakta omkring et opslag starter med orakel = kendt god underskrift hvert niveau underskriver næste niveau sidste niveau underskriver data = SIKRER* at du får korrekt information. RFC 4033,4034,4035,4398, m.f.

HVAD? 1)Værktøjer til at genere DNSSEC data 2)Nameservere, der understøtter at formidle DNSSEC 3)Resolvere der forstår DNSSEC Ad 2) * Bind 9.6 (nov 2008) * Windows Server 2008 R2 Ad 3) * Windows 7 * Unbound (unix)

HVAD? 1)Værktøjer til at genere DNSSEC data 2)Nameservere, der understøtter at formidle DNSSEC 3)Resolvere der forstår DNSSEC Ad 2) * Bind 9.6 (nov 2008) * Windows Server 2008 R2 Ad 3) * Windows 7 * Unbound (unix) + signering af rod-zonen - ultimo 2009 + signering af relevant 2. level zoner (.dk) 2010

HVORNÅR? - signering af rod-zonen - ultimo 2009 - signering af relevant 2 nd level zoner (.dk) - 2010 Nuværende projekter: - Brasilien (br) - Bulgarien (bg) - Tjekkiet (cz) - Puerto Rico (pr) - Sverige (se) -.org (Afilias) fullblown 2010 - RIPE (reverse) Fremtidige: - Verisign (.com,.net m.f.) indenfor 24 mdr. (målt fra februar 2009)

PROBLEMER? 1) sikkerhed er svært (unintended consequences) Grafik fra Wikipedia. User Lunkwill & Papa November

PROBLEMER? 2) standarden er ung (og allerede i anden udgave) fejl i matematikken ukendte angreb Inkompatibilitet 2 typer x509, openpgp 1. udgave, 1995 RFC2065 RFC2535 (1999) Skaleringsproblemer 2. udgave (marts 2005) + SHA256 (maj 2006) + NSEC3 (feb 2008)

PROBLEMER? 2) standarden er ung (og allerede i anden udgave) This sounds simple but it has deep reaching consequences in both the protocol and the implementation which is why it s taken more than a year to choose a security model and design a solution. We expect it to be another year before DNSSEC is in wide use on the leading edge, and at least a year after that before its use is commonplace on the Internet. Paul Vixie, June 1995

PROBLEMER? 2) standarden er ung (og allerede i anden udgave) We are still doing basic research on what kind of data model will work for DNS security. After three or four times of saying NOW we ve got it, THIS TIME for sure there s finally some humility in the picture Wonder if THIS ll work? Paul Vixie, November 2002

PROBLEMER? 3) nøglehåndtering Mange nøgler pr. organisation, skal skiftes regelmæssigt langt større administrativt arbejde end i dag vokser eksplosivt

PROBLEMER? 4) Indskrænkninger Man bør atid kunne indstille sin computer til at accpeterer data uden signering (DNSSEC) test data interne data forkert opsatte servere censur-mulighed

Alternativer? Dan Bernstein (djb) har med hjælp af EU midler implementeret sit forslag DNScurve. ser umiddelbart lettere ud at administrere MEN nyt forslag, ikke så meget forskning endnu kommer sent på markedet, får måske aldrig nogen betydning hjælper ikke hvis DNS-serveren er 0wned

Mere info - http://www.dnssec.net - http://www.dnssec.net/dns-threats - http://en.wikipedia.org/wiki/dnssec - relevante RFC'er

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback