a tutorial introduction to dane
play

A Tutorial Introduction to DANE Jan Zorz / ISOC Carlos - PowerPoint PPT Presentation

Aug 21, 2022 •562 likes •1.08k views

A Tutorial Introduction to DANE Jan Zorz / ISOC Carlos Mar1nez / LACNIC Mechanics of Web Browsing Security? Data flowing in plain text? That can be solved by

  1. A Tutorial Introduction to DANE Jan ¡Zorz ¡/ ¡ISOC ¡ Carlos ¡Mar1nez ¡/ ¡LACNIC ¡

  2. Mechanics of Web Browsing • Security? ¡ Data ¡flowing ¡in ¡ plain ¡text? ¡ That ¡can ¡be ¡ solved ¡by ¡ encryp.ng ¡ the ¡connec1on, ¡ right ¡? ¡ ¡ Enter ¡ TLS, ¡Transport ¡Layer ¡Security ¡ ¡ 1. DNS ¡query ¡for ¡ www.google.com ¡ 2. TCP ¡connec1on ¡to ¡IP ¡ obtained ¡in ¡(1) ¡ 3. Data ¡flows ¡ in ¡plain ¡text ¡

  3. Securing and Authenticating Endpoints Applica/on ¡ Applica/on ¡ TLS ¡ TLS ¡ Handshake ¡ Handshake ¡ TLS ¡Record ¡Protocol ¡ TLS ¡Record ¡Protocol ¡ TCP ¡ TCP ¡ IP ¡ IP ¡ Link ¡and ¡Physical ¡Layers ¡ Link ¡and ¡Physical ¡Layers ¡

  4. TLS Handshake Client ¡ Server ¡ ClientHello ServerHello ServerCertificate ServerKeyExchange ServerHelloDone [ ClientCertificate] ClientKeyExchange ChangeCipherSpec ChangeCipherSpec

  5. Digital Certificates • A ¡Public ¡Key ¡Cer/ficate ¡is ¡a ¡digital ¡document ¡that ¡binds ¡ a ¡set ¡of ¡informa/on ¡(fields) ¡with ¡a ¡public ¡key ¡and ¡is ¡ digitally ¡signed. ¡ • Signatures ¡can ¡be ¡either ¡be ¡performed ¡by ¡a ¡third ¡party ¡ or ¡by ¡the ¡issuer ¡itself ¡(self-­‑signed ¡cer/ficates) ¡ • Valida/on ¡ • Observers ¡can ¡verify ¡the ¡digital ¡signature ¡of ¡the ¡cer/ficate ¡ • Trust ¡ • Cer/ficate ¡Authority ¡model ¡ • Signature ¡verifica/on ¡is ¡followed ¡up ¡a ¡chain ¡un/l ¡reaching ¡a ¡ commonly ¡agreed ¡trust ¡anchor ¡

  6. Digital Certificates (2) • Fields ¡and ¡flags ¡in ¡a ¡cer/ficate ¡define ¡how, ¡where ¡and ¡ when ¡the ¡cer/ficate ¡can ¡be ¡used ¡and ¡define ¡ ¡is ¡valid ¡to ¡ be ¡used ¡ • Valid-­‑from, ¡Valid-­‑un/l ¡/mes ¡ • Express ¡constraints ¡on ¡usage ¡ • Extensions ¡ • Lists ¡of ¡[type-­‑value-­‑cri/cal_flag] ¡ • Examples ¡ • Key ¡usage ¡ • Extended ¡key ¡usage ¡(clientAuth, ¡serverAuth, ¡ emailProtec/on, ¡... ¡) ¡ • RFC ¡3779 ¡(Internet ¡number ¡resources) ¡

  7. Trust Chain ● A ¡common ¡root ¡serves ¡as ¡ the ¡agreed ¡trust ¡anchor ¡ S1 ¡ Kpriv1 ¡ I’m ¡the ¡ United ¡ Na/ons ¡ I’m ¡the ¡CA2 ¡ S2 ¡ Kpriv2 ¡ I’m ¡the ¡ISOC ¡ S5 ¡ Kpriv5 ¡ I’m ¡LACNIC ¡ S3 ¡ Kpriv3 ¡ I’m ¡Go6Labs ¡ S6 ¡ Kpriv6 ¡ I’m ¡Carlos ¡ S4 ¡ I’m ¡Jan ¡ S7 ¡ ● Certs ¡are ¡ public ¡ ● Private ¡keys ¡ are ¡not ¡ published , ¡but ¡held ¡by ¡their ¡ owners ¡and ¡used ¡for ¡signing ¡ when ¡needed ¡

  8. Drawbacks of the CA-Based Chain • Trust ¡anchors ¡can ¡(and ¡have ¡been) ¡successfully ¡aaacked ¡ ¡ • DigiNotar, ¡GlobalSign, ¡DigiCert ¡Malaysia ¡are ¡just ¡some ¡examples ¡ • The ¡process ¡that ¡CAs ¡use ¡to ¡validate ¡informa/on ¡provided ¡ by ¡customers ¡can ¡be ¡subverted ¡ • CAs ¡are ¡slow ¡to ¡react ¡when ¡a ¡cer/ficate ¡is ¡compromised ¡ • The ¡revoca/on ¡process ¡can ¡be ¡slow ¡and ¡is ¡based ¡on ¡the ¡ concept ¡of ¡CRLs ¡that ¡have ¡to ¡be ¡downloaded ¡and ¡are ¡re-­‑ created ¡every ¡few ¡hours ¡ • [Check ¡ haps://tools.ieg.org/html/drah-­‑housley-­‑web-­‑pki-­‑ problems-­‑00 ¡] ¡

  9. The DigiNotar Debacle • [ haps://www.enisa.europa.eu/media/news-­‑ items/opera/on-­‑black-­‑tulip] ¡ ¡ ¡

  10. Shortcomings of the Traditional CA Model • The ¡aaack ¡surface ¡is ¡huge ¡and ¡growing! ¡ • A ¡CA ¡can ¡sign ¡for ¡ANY ¡domain, ¡and ¡for ¡the ¡browser ¡it’s ¡ enough ¡to ¡find ¡one ¡CA ¡vouching ¡for ¡a ¡given ¡ combina/on ¡of ¡domain ¡and ¡IP ¡ ¡ ¡ This ¡is ¡the ¡list ¡of ¡TAs ¡ trusted ¡by ¡default ¡by ¡the ¡ latest ¡version ¡of ¡Firefox. ¡ ¡

  11. And there is one hole more... • Any ¡web ¡browsing ¡starts ¡with ¡a ¡DNS ¡query ¡ Even ¡if ¡all ¡the ¡cer1ficates ¡and ¡SSL ¡ servers ¡are ¡configured ¡perfectly, ¡ there ¡is ¡s1ll ¡ at ¡least ¡one ¡insecure ¡ DNS ¡query ¡ 1. DNS ¡query ¡for ¡www.google.com ¡ 2. TCP ¡connec1on ¡to ¡IP ¡obtained ¡in ¡ (1) ¡ Enabling ¡DNSSEC ¡for ¡the ¡server ¡domain ¡secures ¡ 3. Hopefully, ¡SSL ¡handshake ¡ the ¡query. ¡ 4. Data ¡flows ¡ ¡ Without ¡DNSSEC ¡no ¡connec1on ¡is ¡fully ¡secured ¡ even ¡if ¡all ¡cer1ficates ¡look ¡fine. ¡

  12. Enter DANE

  13. To Keep in Mind • TLS ¡secures ¡communica/ons, ¡prevents ¡ eavesdropping, ¡allows ¡server ¡iden/fica/on ¡ • When ¡a ¡client ¡(C) ¡connects ¡to ¡a ¡TLS-­‑protected ¡ server ¡(S): ¡ • S ¡presents ¡C ¡with ¡a ¡X.509 ¡cer/ficate ¡ • C ¡must ¡check ¡whether: ¡ • Does ¡the ¡cer/ficate ¡contain ¡the ¡correct ¡server ¡name? ¡ • Does ¡the ¡cer/ficate ¡contain ¡the ¡correct ¡IP ¡address? ¡ • Is ¡the ¡server ¡cer/ficate ¡signed ¡by ¡a ¡CA ¡I ¡trust ¡? ¡

  14. DANE – The TLSA DNS Record From ¡this ¡point ¡we ¡assume ¡ all ¡DNS ¡zones ¡are ¡DNSSEC-­‑ signed. ¡ ¡ What ¡if… ¡I ¡could ¡publish ¡my ¡ digital ¡cer.ficates ¡ in ¡the ¡DNS ¡ itself ¡? ¡ ¡

  15. DANE – The TLSA DNS Record From ¡this ¡point ¡we ¡ assume ¡all ¡DNS ¡zones ¡ are ¡DNSSEC-­‑signed. ¡ ¡ ; Zone example.com - Signed with DNSSEC example.com IN SOA (...) IN NS …. IN DNSKEY ... www.example.com. IN A 10.0.0.1 _443._tcp.www.example.com. IN TLSA ….

  16. TLSA Record Overview • The ¡TLSA ¡DNS ¡record ¡is ¡our ¡friend! ¡ • Contains ¡informa/on ¡binding ¡keys ¡or ¡cer/ficates ¡to ¡ domain ¡names ¡and ¡DNS ¡zones ¡ • Four ¡fields: ¡ _443._tcp.www.example.com IN TLSA • Cer/ficate ¡usage ¡field ¡ 3 1 1 DATA • Selector ¡field ¡ “3” - Certificate usage field • Matching ¡type ¡field ¡ “1” - Selector field • DATA ¡ “1” - Matching type field DATA - Depends on the values of ¡ the above

  17. DANE Use Cases • Now ¡the ¡operator ¡of ¡a ¡TLS-­‑enabled ¡server ¡can: ¡ • publish ¡a ¡complete ¡cer/ficate ¡on ¡the ¡DNS ¡ • refer ¡in ¡the ¡DNS ¡to ¡a ¡CA ¡that ¡can ¡validate ¡the ¡certs ¡ within ¡that ¡domain ¡

  18. 1-Slide DANE HOW-TO • Sign ¡your ¡zone ¡with ¡DNSSEC ¡ • Configure ¡‘HTTPS’ ¡in ¡your ¡web ¡server ¡ • Create ¡a ¡digital ¡cer/ficate ¡yourself ¡using ¡OpenSSL ¡ • Configure ¡Apache ¡or ¡your ¡web ¡server ¡of ¡choice ¡ • Create ¡TLSA ¡records ¡using ¡ldns-­‑dane ¡ • hap://www.nlnetlabs.nl/projects/ldns/ ¡ • There ¡are ¡other ¡tools ¡out ¡there, ¡I ¡just ¡found ¡this ¡one ¡to ¡ be ¡easy ¡to ¡use ¡ • Add ¡the ¡TLSA ¡records ¡to ¡your ¡DNS ¡zone ¡and ¡re-­‑sign ¡ • Wait ¡for ¡TTLs ¡to ¡expire…. ¡et ¡voilá! ¡

  19. Browser Support Via Plugins • CZ.NIC ¡has ¡implemented ¡a ¡nice ¡set ¡of ¡plugins ¡for ¡ valida/ng ¡haps ¡connec/ons ¡with ¡DANE ¡and ¡for ¡ valida/ng ¡DNSSEC ¡

  20. LACNICLabs Site Before DANE • Cer/ficate ¡is ¡not ¡ trusted ¡ • It’s ¡not ¡signed ¡by ¡ any ¡known ¡CA ¡

  21. LACNICLabs After DANE • Validated! ¡

  22. Drawbacks ? Sure … • There ¡is ¡a ¡bit ¡of ¡a ¡learning ¡curve ¡ • Browser ¡support, ¡s/ll ¡in ¡its ¡infancy ¡ • Applica/on ¡support ¡in ¡general ¡ • Dependent ¡on ¡DNSSEC ¡adop/on ¡

  23. Thanks and over to Jan!

  24. DANE/DNSSEC/TLS ¡ ¡ Tes/ng ¡in ¡the ¡Go6lab ¡ ¡ Jan ¡Žorž, ¡ISOC/Go6 ¡Ins/tute, ¡Slovenia ¡ jan@go6.si ¡ zorz@isoc.org ¡ ¡

  25. Acknowledgement ¡ I ¡would ¡like ¡to ¡thank ¡Internet ¡Society ¡to ¡let ¡me ¡spend ¡ some ¡of ¡my ¡ISOC ¡working ¡/me ¡in ¡go6lab ¡and ¡test ¡all ¡ this ¡new ¡and ¡exci/ng ¡protocols ¡and ¡mechanisms ¡that ¡ makes ¡Internet ¡a ¡bit ¡beaer ¡and ¡more ¡secure ¡place… ¡

Recommend

UPPAAL Tutorial UPPAAL Tutorial UPPAAL Tutorial Introduction Introduction Alexandre David

UPPAAL Tutorial UPPAAL Tutorial UPPAAL Tutorial Introduction Introduction Alexandre David

UPPAAL Tutorial UPPAAL Tutorial UPPAAL Tutorial Introduction Introduction Alexandre David Paul Pettersson RTSS05 Collaborators @UPPsala @AALborg Wang Yi Kim G Larsen Paul Pettersson Gerd Behrman John Hkansson

926 views • 36 slides
DANE COUNTY JAIL UPDATE STUDY GOING FROM THIS: TO THIS: Presentation to The Dane County Public

DANE COUNTY JAIL UPDATE STUDY GOING FROM THIS: TO THIS: Presentation to The Dane County Public

DANE COUNTY JAIL UPDATE STUDY GOING FROM THIS: TO THIS: Presentation to The Dane County Public Protection & Judiciary Committee INTRODUCTIONS David Way Curtiss Pulitzer Patrick Jablonski Eric Lawson Jan Horsfall OVERVIEW OF THE REPORT

583 views • 57 slides
Dane Bank Consultation 8 th November 2018 The Aim of the Meeting To find out more about Dane

Dane Bank Consultation 8 th November 2018 The Aim of the Meeting To find out more about Dane

Dane Bank Consultation 8 th November 2018 The Aim of the Meeting To find out more about Dane Bank s reasons for considering conversion to Academy Status Opportunity for governors to find out more about how parents and carers feel

562 views • 35 slides
CS 525M Mobile and Ubiquitous Computing Tutorial 1: Introduction by Bucky Roberts (thenewboston)

CS 525M Mobile and Ubiquitous Computing Tutorial 1: Introduction by Bucky Roberts (thenewboston)

CS 525M Mobile and Ubiquitous Computing Tutorial 1: Introduction by Bucky Roberts (thenewboston) Emmanuel Agu Tutorial 1: Introduction Updated from his previous tutorial, covers app development using Android Studio Tutorial 1: Introduction

570 views • 8 slides
DANE COUNTY JAIL UPDATE STUDY Presentation to the Dane County Board June 15, 2017 INTROD

DANE COUNTY JAIL UPDATE STUDY Presentation to the Dane County Board June 15, 2017 INTROD

DANE COUNTY JAIL UPDATE STUDY Presentation to the Dane County Board June 15, 2017 INTROD ODUCTION ONS Curtiss Pulitzer Patrick David Way Jan Horsfall Project Justice Jablonski, PhD Architect Manager Specialist Statistician

856 views • 57 slides
DANE COUNTY JAIL UPDATE STUDY- OPTION 3 Presen entation t n to Dane e Coun unty P Publ blic

DANE COUNTY JAIL UPDATE STUDY- OPTION 3 Presen entation t n to Dane e Coun unty P Publ blic

DANE COUNTY JAIL UPDATE STUDY- OPTION 3 Presen entation t n to Dane e Coun unty P Publ blic c Protect ection & Judici ciary Committee ee June 13, 2017 INTROD ODUCTION ONS Curtiss Pulitzer Cheryl Gallant David Way Jan Horsfall

440 views • 41 slides
Tutorial Description Tutorial Description Introduction to XML With your HTML knowledge, you have

Tutorial Description Tutorial Description Introduction to XML With your HTML knowledge, you have

Tutorial Description Tutorial Description Introduction to XML With your HTML knowledge, you have a solid foundation for working with markup languages. However, unlike HTML, XML is more flexible, Bebo White allowing for custom tag creation.

1.27k views • 92 slides
Dane County Council on Climate Change Buildings Working Group recommendation May 8, 2018 Dane

Dane County Council on Climate Change Buildings Working Group recommendation May 8, 2018 Dane

Dane County Council on Climate Change Buildings Working Group recommendation May 8, 2018 Dane County OECC Buildings Working Group National talent local commitment to place Technical rigor Market alignment Deeply

442 views • 23 slides
1 Pythia 8 tutorial 1.1 Introduction This exercise corresponds to the Pythia 8 part of the more

1 Pythia 8 tutorial 1.1 Introduction This exercise corresponds to the Pythia 8 part of the more

1 1 Pythia 8 tutorial 1.1 Introduction This exercise corresponds to the Pythia 8 part of the more general MC tutorial given at the MC4BSM workshop at DESY 2013 [2] 1 . It is for this reason focused on the particular task within this tutorial,

462 views • 10 slides
CVS Tutorial An Introduction to Using C VS Versions System Concurrent * history: when? why? *

CVS Tutorial An Introduction to Using C VS Versions System Concurrent * history: when? why? *

CVS Tutorial An Introduction to Using C VS Versions System Concurrent * history: when? why? * collaboration * examine old revisions * bugfix releases Steve Robbins p. 1/19 CVS Tutorial checkout Repository commit Workspace p.

472 views • 19 slides
Research Project 1: Implementing DANE Pieter Lexis System and Network Engineering Wed, Feb 8

Research Project 1: Implementing DANE Pieter Lexis System and Network Engineering Wed, Feb 8

Research Project 1: Implementing DANE Pieter Lexis System and Network Engineering Wed, Feb 8 2012 1 of 21 Table of contents Basics DNS and DNSSEC PKIX and trust DANE Research Swede Features Reactions Tests and results Conclusion 2 of

841 views • 24 slides
Entropy and sustainable investment beliefs: A simple metric for analysing belief organisation Dane

Entropy and sustainable investment beliefs: A simple metric for analysing belief organisation Dane

Entropy and sustainable investment beliefs: A simple metric for analysing belief organisation Dane Rook University of Oxford D.Phil. Researcher, Geography & the Environment dane.p.rook@ouce.ox.ac.uk [How] can investors make long term

419 views • 16 slides
Gephi Tutorial Layouts * Introduction Layouts * Install plugins * Import fjle * Run * Choice

Gephi Tutorial Layouts * Introduction Layouts * Install plugins * Import fjle * Run * Choice

Tutorial Gephi Tutorial Layouts * Introduction Layouts * Install plugins * Import fjle * Run * Choice * ForceAtlas Welcome to this advanced tutorial. It will teach you the fjne art of network * Fruchterman-Reingold layout in Gephi: how

705 views • 37 slides
Dane County Parks and Open Space Plan 2018-2023 Connect People to the Land and Water Resources

Dane County Parks and Open Space Plan 2018-2023 Connect People to the Land and Water Resources

Dane County Parks and Open Space Plan 2018-2023 Connect People to the Land and Water Resources of Dane County 2012 2017 Dane County Parks and Open Space Plan Vision Statement March 30 th , 2017 Public Information Meeting 3 2017

655 views • 52 slides
Ontology matching tutorial J er ome Euzenat Provide an introduction to ontology

Ontology matching tutorial J er ome Euzenat Provide an introduction to ontology

Problem Applications Methods OM & FCA Conclusions Goals of the tutorial Ontology matching tutorial J er ome Euzenat Provide an introduction to ontology matching; . . . and eventually the semantic web; & Start the

381 views • 10 slides
Tutorial: Getting Started with Git Introduction to version control Benefits of using Git Basic

Tutorial: Getting Started with Git Introduction to version control Benefits of using Git Basic

Tutorial: Getting Started with Git Introduction to version control Benefits of using Git Basic commands Workflow 1 CS349 - Git tutorial xkcd http://xkcd.com/1597/ CS349 - Git tutorial 2 Version Control Systems Goal of a Version

1.09k views • 14 slides
A GAMS TUTORIAL A GAMS TUTORIAL A GAMS TUTORIAL WHAT IS GAMS ? General Algebraic Modeling

A GAMS TUTORIAL A GAMS TUTORIAL A GAMS TUTORIAL WHAT IS GAMS ? General Algebraic Modeling

A GAMS TUTORIAL A GAMS TUTORIAL A GAMS TUTORIAL WHAT IS GAMS ? General Algebraic Modeling System Modeling linear, nonlinear and mixed integer optimization problems Useful with large, complex problems A GAMS TUTORIAL A GAMS TUTORIAL

274 views • 24 slides
CISC101 Reminders & Notes Today Test 1 next week in your tutorial Introduction to

CISC101 Reminders & Notes Today Test 1 next week in your tutorial Introduction to

CISC101 Reminders & Notes Today Test 1 next week in your tutorial Introduction to Informal review today Console I/O Functions Are you not in the lab/tutorial section(s) you want? Variable scope Contact

632 views • 9 slides
DNS / DNSSEC / DANE / DPRIVE Results at IETF 93

DNS / DNSSEC / DANE / DPRIVE Results at IETF 93

DNS / DNSSEC / DANE / DPRIVE Results at IETF 93 Hackathon 18-19 July 2015 Prague, Czech Republic Summary What We Are Working On

256 views • 7 slides
Ontology matching tutorial J er ome Euzenat Pavel Shvaiko Provide an introduction to

Ontology matching tutorial J er ome Euzenat Pavel Shvaiko Provide an introduction to

Problem Applications Methodology Classification Methods Process Systems Use Evaluation Conclusions Goals of the tutorial Ontology matching tutorial J er ome Euzenat Pavel Shvaiko Provide an introduction to ontology matching

563 views • 27 slides
An introduction to magnetism of ferrimagnets Olivier Isnard Institut Nel, Universit Joseph

An introduction to magnetism of ferrimagnets Olivier Isnard Institut Nel, Universit Joseph

European School on Magnetism 2015- tutorial- An introduction to magnetism of ferrimagnets Olivier Isnard Institut Nel, Universit Joseph Fourier / CNRS, F38042 Grenoble cedex 9 Tutorial approx. 2 hours The purpose of this tutorial is to get

365 views • 3 slides
DANE COUNTY WISCONSINS WOOD STOVE CHANGEOUT DANE COUNTY, WISCONSIN S WOOD STOVE CHANGEOUT

DANE COUNTY WISCONSINS WOOD STOVE CHANGEOUT DANE COUNTY, WISCONSIN S WOOD STOVE CHANGEOUT

DANE COUNTY WISCONSINS WOOD STOVE CHANGEOUT DANE COUNTY, WISCONSIN S WOOD STOVE CHANGEOUT PROGRAM AND OTHER REGION 5 WOOD SMOKE INITIATIVES REGION 5 WOOD SMOKE INITIATIVES 2010 State-EPA Environmental Innovation Symposium 2010 State-EPA

242 views • 22 slides
This tutorial is part of an upcoming publication on knifemaking. Please visit

This tutorial is part of an upcoming publication on knifemaking. Please visit

This tutorial teaches you how to make a narrow tang knife. ABS Matersmith, Kevin Harvey, created both the knife and the tutorial to promote the 2019 Non -guild Members Competition of the Knifemakers Guild of Southern Africa. This tutorial

2.01k views • 151 slides
S/MIME Dane Demo ICANN 57 Hyderabad, ccNSO Tech Day 5 Nov 2016 slamb@xtcn.com Background

S/MIME Dane Demo ICANN 57 Hyderabad, ccNSO Tech Day 5 Nov 2016 slamb@xtcn.com Background

S/MIME Dane Demo ICANN 57 Hyderabad, ccNSO Tech Day 5 Nov 2016 slamb@xtcn.com Background Slow Uptake of DNSSEC Need killer-app DANE!! SMIMEA!! But still slow uptake Windows still king Outlook still king Kaminsky 2009

547 views • 5 slides

More recommend