<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jul 20, 2020 at 3:23 PM Paul Wouters <<a href="mailto:paul@cypherpunks.ca">paul@cypherpunks.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Sun, 19 Jul 2020, Phillip Hallam-Baker wrote:<br>
<br>
> the people who made sure everyone with PKI knowledge was made unwelcome in DANE<br>
<br>
Phillip,<br>
<br>
The whole point of DNSSEC was to skip the PKI middle-men. When DANE was<br>
looking to get serious, the WebPKI people litterally invaded the small<br>
room we had looking for the red emergency shutdown button. It is not<br>
that DANE needed X.509/webPKI expertise. </blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">The DANE group needed Google's support to get in the Browser so why </div><div class="gmail_default" style="font-size:small">make such a deliberate effort to kick Ben Laurie out of the effort?</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">You assumed that the only purpose the PKI world would have was to </div><div class="gmail_default" style="font-size:small">sabotage DANE. What we were in fact looking to do was to upsell our </div><div class="gmail_default" style="font-size:small">existing certificate customers with managed DNSSEC.</div></div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">The only part of x.509 was<br>
that webservers had to keep serving keys in x.509 containers, and all<br>
the tools handled x.509 containers and not raw public keys. So the<br>
DANE record just needed to say "just pull the public key, and drop the<br>
rest".<br>
<br>
What happend was actually exactly what people who wouldn't want everyone<br>
to have universal cryptography got, another delay of DANE and some<br>
proposal more complicated than needed with the messy PKIX-EE/PKIX-CA<br>
versys DANE-EE/DANE-PKIX. I had to fight Richard Barnes of BBN to<br>
keep a DANE type that did not (need to) trust a CA, a battle that I<br>
had to figh tall over again with him when doing tls-dnssec-chains,<br>
which got at least 3 years delay because they blocked it in the TLS WG.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">There were multiple issues. One of them was the insistence on DNSSEC. The other </div><div class="gmail_default" style="font-size:small">was welding the policy aspect of 'must use TLS' to the publication of the keys.</div><div class="gmail_default" style="font-size:small"></div><div class="gmail_default" style="font-size:small">Yet another problem was the restriction to TLS policy</div><div class="gmail_default" style="font-size:small"><br></div></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
I'd say the reverse of what you claim, actually happened.<br>
<br>
> , the folk who persuaded the IAB to dig their heels in and prevent deployment<br>
> of DNSSEC in 2001, etc. etc.<br>
<br>
I was not participating at IETF during this time, so I don't know, but I<br>
do know I was the first Dutch ISP to run DNSSEC in production with 150<br>
domains in the .<a href="http://nl.nl" rel="noreferrer" target="_blank">nl.nl</a> shadow tree, and the rollover issues were just<br>
unsolved at that time. So I can see technical reasons why it was not<br>
ready. I have no opinion or knowledge about the IAB motivation or<br>
actions at that time though.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">VeriSign's ATLAS infrastructure was originally built to deploy DNSSEC. But the</div><div class="gmail_default" style="font-size:small">lack of opt-in on the NXT record made it impossible to deploy using the technology </div><div class="gmail_default" style="font-size:small">of the day. 64 bit machines were only just becoming available and the NXT record</div><div class="gmail_default" style="font-size:small">more than quadrupled the size of the .COM zone.</div></div><div class="gmail_default" style="font-size:small"><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> There are a few individuals who seemed to be always there to pour poison in people's ears and to<br>
> encourage them to 'stand their ground' when insisting on some asinine security requirement that<br>
> makes the whole thing undeployable.<br>
<br>
I'm pretty sure both you and I both feel that the two of us have  zero<br>
chance of secretly working for goverments to prevent cryptographic<br>
deployments to the masses.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">I think it highly unlikely as well. Not least because the NSA got a severe wake up</div><div class="gmail_default" style="font-size:small">call in the wake of the Manning and Snowden breaches. They failed in their mission </div><div class="gmail_default" style="font-size:small">to protect US secrets.</div></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Yet, the fact that we see the above in complete different ways, suggest<br>
perhaps that instead of crediting NSA and GCHQ for the sabotaging our<br>
communities, that our biggest enemy is in fact us, and not them.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">And who was it persuaded you of the need to hit the red emergency button and</div><div class="gmail_default" style="font-size:small">kick out the PKI people? Same guy who managed to persuade DPRIV to adopt</div><div class="gmail_default" style="font-size:small">an asinine set of requirements.</div><br></div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
> Take the decision to make sure IPSEC wouldn't pass through NAT. I am certain neither security AD<br>
> at the time was working for the NSA. But someone managed to reinforce their prejudices against<br>
> NAT and the result was a failed design. <br>
<br>
Again, I wasn't there for that, but the IETF really believed IPv6 would<br>
be there soon and NAT would die and don't develop for it. I would again<br>
not give credit to TLA's for the simple incomptence of the IETF[1] :)<br></blockquote><div><br></div><div class="gmail_default" style="font-size:small">They failed to understand that if you have two networks with different addressing</div><div class="gmail_default" style="font-size:small">schemes, any interoperability capability must inevitably involve translation of</div><div class="gmail_default" style="font-size:small">addresses...</div></div></div>