martedì 11 maggio 2010

Crittografia e DNS

Una delle mie fissazioni è quella bellissima frase di Roger Needham: "se qualcuno dice che un problema è risolto facilmente dalla critttografia, dimostra che non ha capito il problema".

(per inciso: difficile spiegare in modo sintetico la rilevanza scientifica di Needham; basta forse un aneddoto: era professore all'Università di Cambridge; Microsoft voleva assumerlo in Microsoft Research, che all'epoca aveva solo una sede negli Stati Uniti; lui non voleva andarsene da Cambridge; Microsoft Research decise allora di creare una sede fuori dagli Stati Uniti, appunto a Cambridge)

In questi giorni ho letto un paper che fornisce un ulteriore esempio di questa verità manifesta:

Deploying Cryptography in Internet-Scale Systems: A Case Study on DNSSEC. IEEE Transactions on Dependable and Secure Computing http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=5444890&tag=1> (disponibile nella rete di ateneo)

DNSSEC è una cosa potenzialmente meravigliosa:

The goal of DNSSEC is to add data integrity and origin authenticity to DNS query replies so that users can verify that the answers received are indeed originated from the intended DNS server and have not been altered.

L'idea di base è banale: basta che i server DNS appongano una firma digitale alle risposte. Bene, copio dal paper citato sopra:

From a cryptographic standpoint, DNSSEC aims at a rather moderate goal, the design should be simple, and the deployment should not be difficult either. However the reality shows otherwise. The DNSSEC development efforts started in mid-1990’s, and it took more than a decade and three rounds of revisions to have the DNSSEC specifications finalized in March 2005.

Più di dieci anni per mettere a punto il progetto. Tre revisioni successive del progetto.

Oggi, cinque anni dopo la finalizzazione delle specifiche, "we currently estimate that there are roughly 1000 production DNSSEC zones at the time of this writing". Per capire che si tratta di quasi zero, basti considerare che "the .com zone has tens of millions of delegated children zones."
Posta un commento