a tutorial introduction to dane
play

A Tutorial Introduction to DANE Jan Zorz / ISOC Carlos - PowerPoint PPT Presentation

Aug 21, 2022 •562 likes •1.08k views

A Tutorial Introduction to DANE Jan Zorz / ISOC Carlos Mar1nez / LACNIC Mechanics of Web Browsing Security? Data flowing in plain text? That can be solved by

  1. A Tutorial Introduction to DANE Jan ¡Zorz ¡/ ¡ISOC ¡ Carlos ¡Mar1nez ¡/ ¡LACNIC ¡

  2. Mechanics of Web Browsing • Security? ¡ Data ¡flowing ¡in ¡ plain ¡text? ¡ That ¡can ¡be ¡ solved ¡by ¡ encryp.ng ¡ the ¡connec1on, ¡ right ¡? ¡ ¡ Enter ¡ TLS, ¡Transport ¡Layer ¡Security ¡ ¡ 1. DNS ¡query ¡for ¡ www.google.com ¡ 2. TCP ¡connec1on ¡to ¡IP ¡ obtained ¡in ¡(1) ¡ 3. Data ¡flows ¡ in ¡plain ¡text ¡

  3. Securing and Authenticating Endpoints Applica/on ¡ Applica/on ¡ TLS ¡ TLS ¡ Handshake ¡ Handshake ¡ TLS ¡Record ¡Protocol ¡ TLS ¡Record ¡Protocol ¡ TCP ¡ TCP ¡ IP ¡ IP ¡ Link ¡and ¡Physical ¡Layers ¡ Link ¡and ¡Physical ¡Layers ¡

  4. TLS Handshake Client ¡ Server ¡ ClientHello ServerHello ServerCertificate ServerKeyExchange ServerHelloDone [ ClientCertificate] ClientKeyExchange ChangeCipherSpec ChangeCipherSpec

  5. Digital Certificates • A ¡Public ¡Key ¡Cer/ficate ¡is ¡a ¡digital ¡document ¡that ¡binds ¡ a ¡set ¡of ¡informa/on ¡(fields) ¡with ¡a ¡public ¡key ¡and ¡is ¡ digitally ¡signed. ¡ • Signatures ¡can ¡be ¡either ¡be ¡performed ¡by ¡a ¡third ¡party ¡ or ¡by ¡the ¡issuer ¡itself ¡(self-­‑signed ¡cer/ficates) ¡ • Valida/on ¡ • Observers ¡can ¡verify ¡the ¡digital ¡signature ¡of ¡the ¡cer/ficate ¡ • Trust ¡ • Cer/ficate ¡Authority ¡model ¡ • Signature ¡verifica/on ¡is ¡followed ¡up ¡a ¡chain ¡un/l ¡reaching ¡a ¡ commonly ¡agreed ¡trust ¡anchor ¡

  6. Digital Certificates (2) • Fields ¡and ¡flags ¡in ¡a ¡cer/ficate ¡define ¡how, ¡where ¡and ¡ when ¡the ¡cer/ficate ¡can ¡be ¡used ¡and ¡define ¡ ¡is ¡valid ¡to ¡ be ¡used ¡ • Valid-­‑from, ¡Valid-­‑un/l ¡/mes ¡ • Express ¡constraints ¡on ¡usage ¡ • Extensions ¡ • Lists ¡of ¡[type-­‑value-­‑cri/cal_flag] ¡ • Examples ¡ • Key ¡usage ¡ • Extended ¡key ¡usage ¡(clientAuth, ¡serverAuth, ¡ emailProtec/on, ¡... ¡) ¡ • RFC ¡3779 ¡(Internet ¡number ¡resources) ¡

  7. Trust Chain ● A ¡common ¡root ¡serves ¡as ¡ the ¡agreed ¡trust ¡anchor ¡ S1 ¡ Kpriv1 ¡ I’m ¡the ¡ United ¡ Na/ons ¡ I’m ¡the ¡CA2 ¡ S2 ¡ Kpriv2 ¡ I’m ¡the ¡ISOC ¡ S5 ¡ Kpriv5 ¡ I’m ¡LACNIC ¡ S3 ¡ Kpriv3 ¡ I’m ¡Go6Labs ¡ S6 ¡ Kpriv6 ¡ I’m ¡Carlos ¡ S4 ¡ I’m ¡Jan ¡ S7 ¡ ● Certs ¡are ¡ public ¡ ● Private ¡keys ¡ are ¡not ¡ published , ¡but ¡held ¡by ¡their ¡ owners ¡and ¡used ¡for ¡signing ¡ when ¡needed ¡

  8. Drawbacks of the CA-Based Chain • Trust ¡anchors ¡can ¡(and ¡have ¡been) ¡successfully ¡aaacked ¡ ¡ • DigiNotar, ¡GlobalSign, ¡DigiCert ¡Malaysia ¡are ¡just ¡some ¡examples ¡ • The ¡process ¡that ¡CAs ¡use ¡to ¡validate ¡informa/on ¡provided ¡ by ¡customers ¡can ¡be ¡subverted ¡ • CAs ¡are ¡slow ¡to ¡react ¡when ¡a ¡cer/ficate ¡is ¡compromised ¡ • The ¡revoca/on ¡process ¡can ¡be ¡slow ¡and ¡is ¡based ¡on ¡the ¡ concept ¡of ¡CRLs ¡that ¡have ¡to ¡be ¡downloaded ¡and ¡are ¡re-­‑ created ¡every ¡few ¡hours ¡ • [Check ¡ haps://tools.ieg.org/html/drah-­‑housley-­‑web-­‑pki-­‑ problems-­‑00 ¡] ¡

  9. The DigiNotar Debacle • [ haps://www.enisa.europa.eu/media/news-­‑ items/opera/on-­‑black-­‑tulip] ¡ ¡ ¡

  10. Shortcomings of the Traditional CA Model • The ¡aaack ¡surface ¡is ¡huge ¡and ¡growing! ¡ • A ¡CA ¡can ¡sign ¡for ¡ANY ¡domain, ¡and ¡for ¡the ¡browser ¡it’s ¡ enough ¡to ¡find ¡one ¡CA ¡vouching ¡for ¡a ¡given ¡ combina/on ¡of ¡domain ¡and ¡IP ¡ ¡ ¡ This ¡is ¡the ¡list ¡of ¡TAs ¡ trusted ¡by ¡default ¡by ¡the ¡ latest ¡version ¡of ¡Firefox. ¡ ¡

  11. And there is one hole more... • Any ¡web ¡browsing ¡starts ¡with ¡a ¡DNS ¡query ¡ Even ¡if ¡all ¡the ¡cer1ficates ¡and ¡SSL ¡ servers ¡are ¡configured ¡perfectly, ¡ there ¡is ¡s1ll ¡ at ¡least ¡one ¡insecure ¡ DNS ¡query ¡ 1. DNS ¡query ¡for ¡www.google.com ¡ 2. TCP ¡connec1on ¡to ¡IP ¡obtained ¡in ¡ (1) ¡ Enabling ¡DNSSEC ¡for ¡the ¡server ¡domain ¡secures ¡ 3. Hopefully, ¡SSL ¡handshake ¡ the ¡query. ¡ 4. Data ¡flows ¡ ¡ Without ¡DNSSEC ¡no ¡connec1on ¡is ¡fully ¡secured ¡ even ¡if ¡all ¡cer1ficates ¡look ¡fine. ¡

  12. Enter DANE

  13. To Keep in Mind • TLS ¡secures ¡communica/ons, ¡prevents ¡ eavesdropping, ¡allows ¡server ¡iden/fica/on ¡ • When ¡a ¡client ¡(C) ¡connects ¡to ¡a ¡TLS-­‑protected ¡ server ¡(S): ¡ • S ¡presents ¡C ¡with ¡a ¡X.509 ¡cer/ficate ¡ • C ¡must ¡check ¡whether: ¡ • Does ¡the ¡cer/ficate ¡contain ¡the ¡correct ¡server ¡name? ¡ • Does ¡the ¡cer/ficate ¡contain ¡the ¡correct ¡IP ¡address? ¡ • Is ¡the ¡server ¡cer/ficate ¡signed ¡by ¡a ¡CA ¡I ¡trust ¡? ¡

  14. DANE – The TLSA DNS Record From ¡this ¡point ¡we ¡assume ¡ all ¡DNS ¡zones ¡are ¡DNSSEC-­‑ signed. ¡ ¡ What ¡if… ¡I ¡could ¡publish ¡my ¡ digital ¡cer.ficates ¡ in ¡the ¡DNS ¡ itself ¡? ¡ ¡

  15. DANE – The TLSA DNS Record From ¡this ¡point ¡we ¡ assume ¡all ¡DNS ¡zones ¡ are ¡DNSSEC-­‑signed. ¡ ¡ ; Zone example.com - Signed with DNSSEC example.com IN SOA (...) IN NS …. IN DNSKEY ... www.example.com. IN A 10.0.0.1 _443._tcp.www.example.com. IN TLSA ….

  16. TLSA Record Overview • The ¡TLSA ¡DNS ¡record ¡is ¡our ¡friend! ¡ • Contains ¡informa/on ¡binding ¡keys ¡or ¡cer/ficates ¡to ¡ domain ¡names ¡and ¡DNS ¡zones ¡ • Four ¡fields: ¡ _443._tcp.www.example.com IN TLSA • Cer/ficate ¡usage ¡field ¡ 3 1 1 DATA • Selector ¡field ¡ “3” - Certificate usage field • Matching ¡type ¡field ¡ “1” - Selector field • DATA ¡ “1” - Matching type field DATA - Depends on the values of ¡ the above

  17. DANE Use Cases • Now ¡the ¡operator ¡of ¡a ¡TLS-­‑enabled ¡server ¡can: ¡ • publish ¡a ¡complete ¡cer/ficate ¡on ¡the ¡DNS ¡ • refer ¡in ¡the ¡DNS ¡to ¡a ¡CA ¡that ¡can ¡validate ¡the ¡certs ¡ within ¡that ¡domain ¡

  18. 1-Slide DANE HOW-TO • Sign ¡your ¡zone ¡with ¡DNSSEC ¡ • Configure ¡‘HTTPS’ ¡in ¡your ¡web ¡server ¡ • Create ¡a ¡digital ¡cer/ficate ¡yourself ¡using ¡OpenSSL ¡ • Configure ¡Apache ¡or ¡your ¡web ¡server ¡of ¡choice ¡ • Create ¡TLSA ¡records ¡using ¡ldns-­‑dane ¡ • hap://www.nlnetlabs.nl/projects/ldns/ ¡ • There ¡are ¡other ¡tools ¡out ¡there, ¡I ¡just ¡found ¡this ¡one ¡to ¡ be ¡easy ¡to ¡use ¡ • Add ¡the ¡TLSA ¡records ¡to ¡your ¡DNS ¡zone ¡and ¡re-­‑sign ¡ • Wait ¡for ¡TTLs ¡to ¡expire…. ¡et ¡voilá! ¡

  19. Browser Support Via Plugins • CZ.NIC ¡has ¡implemented ¡a ¡nice ¡set ¡of ¡plugins ¡for ¡ valida/ng ¡haps ¡connec/ons ¡with ¡DANE ¡and ¡for ¡ valida/ng ¡DNSSEC ¡

  20. LACNICLabs Site Before DANE • Cer/ficate ¡is ¡not ¡ trusted ¡ • It’s ¡not ¡signed ¡by ¡ any ¡known ¡CA ¡

  21. LACNICLabs After DANE • Validated! ¡

  22. Drawbacks ? Sure … • There ¡is ¡a ¡bit ¡of ¡a ¡learning ¡curve ¡ • Browser ¡support, ¡s/ll ¡in ¡its ¡infancy ¡ • Applica/on ¡support ¡in ¡general ¡ • Dependent ¡on ¡DNSSEC ¡adop/on ¡

  23. Thanks and over to Jan!

  24. DANE/DNSSEC/TLS ¡ ¡ Tes/ng ¡in ¡the ¡Go6lab ¡ ¡ Jan ¡Žorž, ¡ISOC/Go6 ¡Ins/tute, ¡Slovenia ¡ jan@go6.si ¡ zorz@isoc.org ¡ ¡

  25. Acknowledgement ¡ I ¡would ¡like ¡to ¡thank ¡Internet ¡Society ¡to ¡let ¡me ¡spend ¡ some ¡of ¡my ¡ISOC ¡working ¡/me ¡in ¡go6lab ¡and ¡test ¡all ¡ this ¡new ¡and ¡exci/ng ¡protocols ¡and ¡mechanisms ¡that ¡ makes ¡Internet ¡a ¡bit ¡beaer ¡and ¡more ¡secure ¡place… ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

UPPAAL Tutorial UPPAAL Tutorial UPPAAL Tutorial Introduction Introduction Alexandre David

UPPAAL Tutorial UPPAAL Tutorial UPPAAL Tutorial Introduction Introduction Alexandre David

UPPAAL Tutorial UPPAAL Tutorial UPPAAL Tutorial Introduction Introduction Alexandre David Paul Pettersson RTSS05 Collaborators @UPPsala @AALborg Wang Yi Kim G Larsen Paul Pettersson Gerd Behrman John Hkansson

926 views • 36 slides
DANE COUNTY JAIL UPDATE STUDY GOING FROM THIS: TO THIS: Presentation to The Dane County Public

DANE COUNTY JAIL UPDATE STUDY GOING FROM THIS: TO THIS: Presentation to The Dane County Public

DANE COUNTY JAIL UPDATE STUDY GOING FROM THIS: TO THIS: Presentation to The Dane County Public Protection & Judiciary Committee INTRODUCTIONS David Way Curtiss Pulitzer Patrick Jablonski Eric Lawson Jan Horsfall OVERVIEW OF THE REPORT

583 views • 57 slides
Dane Bank Consultation 8 th November 2018 The Aim of the Meeting To find out more about Dane

Dane Bank Consultation 8 th November 2018 The Aim of the Meeting To find out more about Dane

Dane Bank Consultation 8 th November 2018 The Aim of the Meeting To find out more about Dane Bank s reasons for considering conversion to Academy Status Opportunity for governors to find out more about how parents and carers feel

562 views • 35 slides
CS 525M Mobile and Ubiquitous Computing Tutorial 1: Introduction by Bucky Roberts (thenewboston)

CS 525M Mobile and Ubiquitous Computing Tutorial 1: Introduction by Bucky Roberts (thenewboston)

CS 525M Mobile and Ubiquitous Computing Tutorial 1: Introduction by Bucky Roberts (thenewboston) Emmanuel Agu Tutorial 1: Introduction Updated from his previous tutorial, covers app development using Android Studio Tutorial 1: Introduction

570 views • 8 slides
DANE COUNTY JAIL UPDATE STUDY Presentation to the Dane County Board June 15, 2017 INTROD

DANE COUNTY JAIL UPDATE STUDY Presentation to the Dane County Board June 15, 2017 INTROD

DANE COUNTY JAIL UPDATE STUDY Presentation to the Dane County Board June 15, 2017 INTROD ODUCTION ONS Curtiss Pulitzer Patrick David Way Jan Horsfall Project Justice Jablonski, PhD Architect Manager Specialist Statistician

856 views • 57 slides
DANE COUNTY JAIL UPDATE STUDY- OPTION 3 Presen entation t n to Dane e Coun unty P Publ blic

DANE COUNTY JAIL UPDATE STUDY- OPTION 3 Presen entation t n to Dane e Coun unty P Publ blic

DANE COUNTY JAIL UPDATE STUDY- OPTION 3 Presen entation t n to Dane e Coun unty P Publ blic c Protect ection & Judici ciary Committee ee June 13, 2017 INTROD ODUCTION ONS Curtiss Pulitzer Cheryl Gallant David Way Jan Horsfall

440 views • 41 slides
Tutorial Description Tutorial Description Introduction to XML With your HTML knowledge, you have

Tutorial Description Tutorial Description Introduction to XML With your HTML knowledge, you have

Tutorial Description Tutorial Description Introduction to XML With your HTML knowledge, you have a solid foundation for working with markup languages. However, unlike HTML, XML is more flexible, Bebo White allowing for custom tag creation.

1.27k views • 92 slides
Dane County Council on Climate Change Buildings Working Group recommendation May 8, 2018 Dane

Dane County Council on Climate Change Buildings Working Group recommendation May 8, 2018 Dane

Dane County Council on Climate Change Buildings Working Group recommendation May 8, 2018 Dane County OECC Buildings Working Group National talent local commitment to place Technical rigor Market alignment Deeply

442 views • 23 slides
1 Pythia 8 tutorial 1.1 Introduction This exercise corresponds to the Pythia 8 part of the more

1 Pythia 8 tutorial 1.1 Introduction This exercise corresponds to the Pythia 8 part of the more

1 1 Pythia 8 tutorial 1.1 Introduction This exercise corresponds to the Pythia 8 part of the more general MC tutorial given at the MC4BSM workshop at DESY 2013 [2] 1 . It is for this reason focused on the particular task within this tutorial,

462 views • 10 slides
CVS Tutorial An Introduction to Using C VS Versions System Concurrent * history: when? why? *

CVS Tutorial An Introduction to Using C VS Versions System Concurrent * history: when? why? *

CVS Tutorial An Introduction to Using C VS Versions System Concurrent * history: when? why? * collaboration * examine old revisions * bugfix releases Steve Robbins p. 1/19 CVS Tutorial checkout Repository commit Workspace p.

472 views • 19 slides
Research Project 1: Implementing DANE Pieter Lexis System and Network Engineering Wed, Feb 8

Research Project 1: Implementing DANE Pieter Lexis System and Network Engineering Wed, Feb 8

Research Project 1: Implementing DANE Pieter Lexis System and Network Engineering Wed, Feb 8 2012 1 of 21 Table of contents Basics DNS and DNSSEC PKIX and trust DANE Research Swede Features Reactions Tests and results Conclusion 2 of

841 views • 24 slides
Entropy and sustainable investment beliefs: A simple metric for analysing belief organisation Dane

Entropy and sustainable investment beliefs: A simple metric for analysing belief organisation Dane

Entropy and sustainable investment beliefs: A simple metric for analysing belief organisation Dane Rook University of Oxford D.Phil. Researcher, Geography & the Environment dane.p.rook@ouce.ox.ac.uk [How] can investors make long term

419 views • 16 slides
Gephi Tutorial Layouts * Introduction Layouts * Install plugins * Import fjle * Run * Choice

Gephi Tutorial Layouts * Introduction Layouts * Install plugins * Import fjle * Run * Choice

Tutorial Gephi Tutorial Layouts * Introduction Layouts * Install plugins * Import fjle * Run * Choice * ForceAtlas Welcome to this advanced tutorial. It will teach you the fjne art of network * Fruchterman-Reingold layout in Gephi: how

705 views • 37 slides
Dane County Parks and Open Space Plan 2018-2023 Connect People to the Land and Water Resources

Dane County Parks and Open Space Plan 2018-2023 Connect People to the Land and Water Resources

Dane County Parks and Open Space Plan 2018-2023 Connect People to the Land and Water Resources of Dane County 2012 2017 Dane County Parks and Open Space Plan Vision Statement March 30 th , 2017 Public Information Meeting 3 2017

655 views • 52 slides
Ontology matching tutorial J er ome Euzenat Provide an introduction to ontology

Ontology matching tutorial J er ome Euzenat Provide an introduction to ontology

Problem Applications Methods OM & FCA Conclusions Goals of the tutorial Ontology matching tutorial J er ome Euzenat Provide an introduction to ontology matching; . . . and eventually the semantic web; & Start the

381 views • 10 slides
Tutorial: Getting Started with Git Introduction to version control Benefits of using Git Basic

Tutorial: Getting Started with Git Introduction to version control Benefits of using Git Basic

Tutorial: Getting Started with Git Introduction to version control Benefits of using Git Basic commands Workflow 1 CS349 - Git tutorial xkcd http://xkcd.com/1597/ CS349 - Git tutorial 2 Version Control Systems Goal of a Version

1.09k views • 14 slides
Proverbs Series Lesson #002 January 6, 2013 Dean Bible Ministries www.deanbible.org Dr. Robert

Proverbs Series Lesson #002 January 6, 2013 Dean Bible Ministries www.deanbible.org Dr. Robert

Proverbs Series Lesson #002 January 6, 2013 Dean Bible Ministries www.deanbible.org Dr. Robert L. Dean, Jr. Proverbs Guide for Skillful Living Title Prov. 1:1, The proverbs of Solomon the son of David, king of Israel: Proverbs

560 views • 22 slides
1 Probability Recap Reasoning over Time or Space Condi+onal

1 Probability Recap Reasoning over Time or Space Condi+onal

Announcements CSE 473: Ar+ficial Intelligence Markov Models No class on Wed Daniel S. Weld --- University of Washington 2 [Most slides

390 views • 12 slides
Course Introduc-on Bryce Boe 2012/08/06 CS32, Summer 2012 B

Course Introduc-on Bryce Boe 2012/08/06 CS32, Summer 2012 B

Course Introduc-on Bryce Boe 2012/08/06 CS32, Summer 2012 B About Me (Bryce Boe) Ph.D. Candidate in Computer Science Educa-on Focus on automated

863 views • 29 slides
Optimization in Alibaba: Beyond Convexity System for AI AI for system Jian Tan Computer

Optimization in Alibaba: Beyond Convexity System for AI AI for system Jian Tan Computer

Optimization in Alibaba: Beyond Convexity System for AI AI for system Jian Tan Computer Systems Machine Intelligent Technology | | Optimization Machine Operations Learning Research

569 views • 41 slides
Hadronic light-by-light scattering in the muon anomalous magnetic moment on the lattice Nils

Hadronic light-by-light scattering in the muon anomalous magnetic moment on the lattice Nils

Hadronic light-by-light scattering in the muon anomalous magnetic moment on the lattice Nils Asmussen in Collaboration with Antoine G erardin, Harvey Meyer, Andreas Nyffeler University of Southampton 30 October 2018 Nils Asmussen (SOTON)

466 views • 33 slides
The Muon g-2 Experiment Jenny Holzbauer September 27, 2017 Overview Motivation and some

The Muon g-2 Experiment Jenny Holzbauer September 27, 2017 Overview Motivation and some

The Muon g-2 Experiment Jenny Holzbauer September 27, 2017 Overview Motivation and some history Comment on theory and its inputs Moving from BNL to Fermilab The planned measurement Experiment setup Measurement strategy

717 views • 25 slides
NSF Proposal Strategies and Current Opportunities for Collaboration Presented by:

NSF Proposal Strategies and Current Opportunities for Collaboration Presented by:

NSF Proposal Strategies and Current Opportunities for Collaboration Presented by: Susan Malone Back, PhD, MBA Research Scien;st, Ins;tute for Measurement, Methodology, Analysis and

214 views • 10 slides
The Fermilab Muon g-2 experiment: laser calibration system M. Karuza University of Rijeka and

The Fermilab Muon g-2 experiment: laser calibration system M. Karuza University of Rijeka and

The Fermilab Muon g-2 experiment: laser calibration system M. Karuza University of Rijeka and INFN Sezione di Trieste on behalf Muon g-2 Collaboration The Fermilab Muon g-2 experiment: laser calibration system physics challanges

574 views • 21 slides

More recommend