[IRC-DEV] Re: Cifrado entre servidores
Jesus Cea
jcea at argo.es
Sat Dec 28 01:29:45 CET 2002
> Pista: si se van a acometer cambios en el ircd -como parece ser q va
> a ser, según se deduce de tu post anterior-, se debería comentar el
> tema aquí (sin perjuicio de q además se comente en la lista de BP, o
> en la q sea).
Se comentarán en la lista cuando haya algo que comentar. El tema está
verde aún.
Al contrario que mucha otra gente, envío mis mensajes a la lista tras un
mínimo de reflexión y maduración.
> El problema es tan simple como q obligarías a la gente a usar BP, o
> en su defecto, programarse alguna herramienta "compatible". Y esto no
> es lo lógico (salvo q se tratase de una maniobra "comercial", q
Dios, ya está la peña viendo gigantes donde no hay ni molinos :-)
> Resp a la sencillez o documentación del protocolo BP, no voy a
> entrar. Pero otros protocolos como SSL tb están ampliamente
> documentados, e incluso existen librerías q lo implementan.
Pues deberías echarle un vistazo. Para eso me he preocupado muy mucho de
publicar todos los detalles necesarios (y alguno innecesario) para que
la "competencia" pueda producir un producto interoperante con
BulletProof.
> Agradecería alguna razón de peso q explique tu decisión de optar por
> el "camino de la solución cerrada", dejando a un lado estándares q
> incluso serían más fáciles de implementar (ya que existen librerias e
> incluso programas como stunnel q YA lo implementan).
BulletProof no es una solución cerrada, porque toda la tecnología y
protocolo están perfectamente documentados, y ya he dicho en más de una
ocasión que no me opongo en absoluto a que surgan "competidores",
siempre que interoperen entre sí. Así que eso de "solución cerrada" te
lo puedes ahorrar, Román.
Yo quiero hablar con mi novia teniendo la certeza de que es IMPOSIBLE
que NADIE espie esa conversación absolutamente PRIVADA.
BP te lo proporciona. BulletProof es un sistema integral que permite el
cifrado extremo a extremo. Y es compatible con CUALQUIER red de IRC del
planeta tierra, sin requerir nada especial en el servidor o la red.
SSL, en cambio, requiere soporte en el servidor. La conexión entre yo y
el servidor va cifrada, sí, pero ¿y si el administrador de sistemas
espía mi conversación?. ¿Y si Telefónica intercepta el tráfico entre dos
hubs?.
Incluso aunque toda la red esté conectada por SSL, y dejando al margen
temas de eficiencia y demás, tengo que tener FÉ en la profesionalidad de
los administradores. En que no comentan errores, en que no tengan mala
leche y espíen mis conversaciones, o en que no se le metan "hackers" y
parcheen el IRCD para enviar mis privados a su email de Yahoo.
Con BulletProof no depende de NADIE. Me dá igual que los nodos
intermedios estén administrados por nazis puristas encargados de velar
por la preservación de la sagrada castidad y, por tanto, estén más que
interesados en conocer qué guarradas le susurro a mi novia por IRC. Si
uso BP, a todo lo más que llegan es a saber con quien hablo (y esto es
subsanable, empleando un canal en vez de un privado), pero no sabrán qué
le digo.
Con SSL una vez que mi conversación llega blindada al servidor, pierdo
todo el control sobre lo que allí ocurre. Se podría estás grabando todo
a disco duro con cuatro líneas de código modificado.
BulletProof ha sido diseñado ESPECIFICAMENTE para ser utilizado en redes
HOSTILES, en los que no te puedes fiar de NADIE. Esta papeleta descarta
el SSL por completo.
> No mezclemos churros con merinas. Si un sysadmin está más o menos
> capacitado es su problema (tanto lo de sincronizar relojes como lo del
> stunnel no son tareas precisamente dificiles, pero bueno, no entro
> ahí). Dices q "no se ve la necesidad de hacerlo". ¿En q te basas?
> ¿Quien no ve esa necesidad?
Desde el momento en que montar un túnel SSH es una cuestión puramente
personal entre dos administradores de IRC, sin que ello sea visible ni
en el código IRC ni en la red en sí, sería previsible que si tanto
preocupa el asunto, los administradores más concienciados (estoy
hablando de IRC-Hispano, aquí) ya habrían montado esos túneles
"privados" hace tiempo. La tecnología existe desde hace muchos años, y
montarlo es completamente transparente para todos los no implicados.
El hecho de que *NO* se haya hecho, con lo fácil que es hacerlo, indica
que nadie en IRC-Hispano se ha sentido lo bastante motivado para
invertir 45 minutos en ello.
¿Te parece bien así? :-)
> (pq ya dispones de mecanismos "externos" de conectar de manera segura,
> o simplemente porque siempre conectas desde la LAN de Argo, al
> servidor irc de Argo, es decir, usas infraestructuras q tu consideras
> seguras), pero estoy seguro de q a muchos otros les vendrá de perlas
> tener una capa de protección q evite sniffeo de passwords /
> conversaciones, al pasar por redes inseguras (yo me incluyo en esta
> masa de usuarios). ¿No es util proveer un mecanismo de seguridad
> universal para q la gente q lo desee pueda conectar al servidor de una
> manera segura? Necesario... ¿es necesaria la seguridad? Responde tu
> mismo ;-)
Aquí entraría BulletProof 2.*, como ya he dicho un mensaje anterior. O
cualquier otro software que hable ese protocolo, sencillo y
perfectamente documentado, si no te fías de mí.
Estoy de acuerdo en que para conectarse al servidor de forma segura, SSL
vale. Pero BulletProof hace mucho más que eso, y es más sencillo de
implementar y más eficiente.
--
Jesus Cea Avion _/_/ _/_/_/ _/_/_/
jcea at argo.es http://www.argo.es/~jcea/ _/_/ _/_/ _/_/ _/_/ _/_/
_/_/ _/_/ _/_/_/_/_/
PGP Key Available at KeyServ _/_/ _/_/ _/_/ _/_/ _/_/
"Things are not so easy" _/_/ _/_/ _/_/ _/_/ _/_/ _/_/
"My name is Dump, Core Dump" _/_/_/ _/_/_/ _/_/ _/_/
"El amor es poner tu felicidad en la felicidad de otro" - Leibniz
More information about the IRC-Dev
mailing list