<div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Jun 30, 2021 at 5:13 PM Bill Woodcock <<a href="mailto:woody@pch.net">woody@pch.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
<br>
> On Jun 30, 2021, at 5:34 AM, Donald Eastlake <<a href="mailto:d3e3e3@gmail.com" target="_blank">d3e3e3@gmail.com</a>> wrote:<br>
>> TSIG is fine but doesn't work as an authentication scheme because<br>
>> there is no key agreement mechanism.<br>
<br>
TSIG works very well for me, some 200,000,000 times per day.  It has successfully protected each and every one of our *XFRs without fail for twenty years.  Accounting for growth over time, that’s somewhere on the order of a trillion successes, with no failures, and we’re just one organization among millions that have benefitted from TSIG.<br>
<br>
>> We could have easily done it right but ...<br>
<br>
…then the perfect would have been the enemy of the good, and we’d have had twenty years without protection, and countless more compromises in the mean-time.  It’s easy to imagine other solutions, but TSIG is a good tool for the actual problem that needed to be solved.  It has the right amount of human interaction at set-up time, and its simplicity makes it relatively robust against subsequent failure.<br></blockquote><div><br></div><div><br></div><div class="gmail_default" style="font-size:small">You are completely missing my point that what we needed was TSIG + a key agreement (which Donald points out was already specified).</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">TSIG was the right tool at that time, all we needed was to extend the client which had to be touched anyway. But DNSSEC was the perfect which in that case was the enemy of the good. </div></div></div>