Reunión de desarrolladores de I2P - 06 de agosto de 2013

20:00:08 <zzz> 0) hola 20:00:23 <zzz> 1) ¿RI verifies (verificaciones de RouterInfo) deshabilitadas en una versión puntual? 20:00:30 <zzz> 2) temas varios dirigidos por Meeh 20:00:33 <zzz> 3) baffer por Meeh 20:00:36 <zzz> ------------- 20:00:36 <zzz> 0) hola 20:00:51 <zzz> 1) ¿RI verifies deshabilitadas en una versión puntual? 20:01:02 <zzz> welterde mencionó esto el otro día 20:01:33 <zzz> si voy a hacerlo tiene que ser en los próximos días, ya que estaré AFK ~ del 13 al 29 20:01:53 <zzz> echelon está viajando pero por el momento asumiremos que podemos localizarlo y que puede encargarse de las noticias 20:02:14 <zzz> así que, welterde, por favor expón por qué deberíamos hacer esto 20:03:08 <welterde> el ataque descrito en el artículo es bastante serio para tus destinos poco usados, ya que las estadísticas necesarias no son muy grandes 20:04:14 <zzz> ¿ataca a los destinos del servidor, o a los usuarios (cliente) que se conectan a ellos? 20:04:21 <welterde> y para destinos de larga vida es aún más peligroso, ya que puedes mantener el ataque en marcha tanto tiempo como haga falta para obtener suficientes estadísticas 20:05:08 <welterde> zzz: el cliente que se conecta a algún destino... por ejemplo, un enlace de irc que use tunnels sobre un destino dedicado sería un objetivo principal (si consigues hacerte con el destino de alguna forma) 20:06:29 <welterde> zzz: sin embargo... hay una opción para desactivar RI verifies en las opciones avanzadas... ¿quizá una actualización en las noticias para pedir a los usuarios que lo desactiven? 20:06:29 <zzz> ¿siempre lo consideraste serio o cambiaste de opinión recientemente? 20:06:56 <zzz> ¿no añadí esa opción la semana pasada? 20:07:15 <welterde> oh 20:07:18 <dg> la añadiste, yo cometí el mismo error. 20:07:34 <welterde> pensé que solo habías cambiado el valor por defecto de esa opción.. ok.. entonces no es una opción 20:07:57 <zzz> quizá no lo expliqué bien en alguna publicación... 20:08:59 <welterde> zzz: y en el artículo tampoco tuvieron en cuenta la temporización... supongo que eso puede usarse para mejorar aún más el ataque 20:09:02 <zzz> Tenemos un preprint de su artículo desde hace casi 5 meses, desde el 10 de marzo. Si esto es un problema de máxima prioridad, hemos hecho un trabajo increíblemente pobre al responder. 20:09:33 <zzz> Así que me pregunto si siempre lo consideraste crítico o si cambiaste de opinión recientemente, y si es así, ¿por qué? 20:10:33 <welterde> bueno... estuve bajo bastante estrés hasta hace poco... así que realmente no le eché un vistazo hasta ahora 20:11:30 <welterde> zzz: pero es realmente difícil decirlo ya que no tenemos tantos datos sobre estas cosas... 20:11:48 <zzz> ¿qué pasó con esa página en trac con nuestras respuestas de openitp, y nuestra falta de criterios de seguridad... 20:12:11 <dg> Si es un problema de máxima prioridad, esperar 1 1/2 meses más también es un problema. 20:12:30 <zzz> claro 20:12:40 <zzz> pero, ¿lo es? 20:13:12 <zzz> ¿es el problema RI verifies o es Sybil? Si es Sybil entonces no tenemos correcciones a corto plazo 20:13:27 <welterde> zzz: es RI verifies 20:13:46 <zzz> es decir, ¿existe una gran clase de ataques de ff hostiles 20:14:16 <welterde> zzz: y una variante del ataque podría ser posible con RI lookup y luego esperar a una conexión también.. pero ese ataque sería órdenes de magnitud más difícil.. así que no me preocuparía por ese todavía 20:14:35 <zzz> si un atacante toma el control de una porción del keyspace (espacio de claves), ¿no hay un sinnúmero de cosas que podría hacer? 20:15:20 <welterde> zzz: dado suficiente tiempo el atacante no tiene que ocupar una gran porción del keyspace 20:15:23 <zzz> Supongo que siempre vi esto como un problema de Sybil. No quiere decir que tuviera razón. 20:15:30 <zzz> *quiero decir 20:16:07 <welterde> solo tiene que ocupar el espacio alrededor del LS objetivo 20:16:53 <welterde> zzz: hmm.. lo que estaría bien para stats.i2p o similar sería una visualización del ff sobre el keyspace.. (si no existe algo así aún) 20:18:50 <zzz> ok, gracias por presentar el caso, welterde. Ahora voy a pedir que otros intervengan con sus opiniones 20:18:53 <welterde> ataques no sutiles podrían ser visibles allí entonces 20:19:00 * welterde busca la página de openitp que mencionaste 20:19:22 <zzz> str4d lo configuró pero ya no lo veo enlazado en la página principal 20:19:35 <dg> q: ¿Alguien podría llevar a cabo el ataque de RI sin un Sybil de keyspace completo? 20:19:45 <dg> Creo que sí, pero ??? 20:20:05 <zzz> http://trac.i2p2.i2p/wiki/OpenITPReview/Criteria 20:20:35 <zzz> Madurez y transparencia del proceso de respuesta a vulnerabilidades 20:21:20 <zzz> aquí no estamos hablando de un Sybil de keyspace completo. Estás apuntando a una porción particular 20:21:31 <welterde> dg: solo tiene que capturar la mayoría de los LS lookups.. y tantos RI lookups como sea posible; esta última parte solo depende de cuánto tiempo tenga para el ataque 20:22:17 <dg> “¿la mayoría”? ¿Para la red? 20:22:20 <zzz> me molesta mucho que podríamos haber hecho esto hace meses sin esfuerzo. 20:22:39 <dg> sí. queda fatal si lo hacemos ahora, de verdad. 20:22:49 <zzz> pero supongo que eso es irrelevante 20:23:14 <zzz> quien más tenga una opinión, por favor, que hable 20:23:43 <topiltzin> dd if=/dev/null of=opinion.txt 20:24:13 <zzz> última llamada. ¿lo hacemos? 20:24:27 <welterde> por supuesto, si alguien estuviera aburrido podría improvisar una simulación.. eso sin duda ayudaría ;) 20:25:09 <zzz> quizá estoy molesto conmigo mismo por no haber pensado en simplemente desactivar las RI verifies. 20:25:32 <dg> zzz: no te preocupes por eso. no se espera que cubras todo siempre. 20:25:43 <zzz> ok, todos los que tengan opinión escriban yes para hacer un lanzamiento esta semana o no para no hacerlo 20:26:06 <welterde> (o yo estoy aquí si no te importa de una manera u otra..) 20:26:58 <zzz> si no veo votos no lo hacemos 20:27:21 <topiltzin> ¿el lanzamiento contendrá *solo* desactivar RI verifies? 20:27:32 <topiltzin> ¿vs. lo que sea que esté en trunk ahora? 20:27:35 <welterde> quizá no deberíamos haber omitido la fase de quién está aquí de la reunión 20:27:54 <dg> simplemente no estoy lo suficientemente calificado. 20:27:57 <zzz> no me importa quién está aquí. Me importa quién tiene una opinión. 20:28:24 <welterde> zzz: bueno... quien no está aquí no tiene una opinión ;) 20:28:46 <welterde> zzz: supongo que estamos hablando más bien de un lanzamiento pequeño, ¿no? 20:28:59 <dg> welterde: ¿a qué te refieres? 20:29:02 <zzz> sería solo RI verifies + cualquier otra cosa pequeña que decidamos extraer de trunk 20:29:17 <zzz> ¿y probablemente llamado 0.9.7.1? 20:29:28 <welterde> sí... eso es lo que tenía en mente también 20:29:39 <kytv> sin conocimiento de este tema, por lo tanto sin opinión; si lo hacemos, por supuesto podré hacer las subidas a los diversos lugares, etc. 20:29:58 <zzz> por el amor de dios, que alguien vote. welterde al menos 20:30:13 <zzz> ¿quién más ha leído el artículo de UCSB? 20:30:16 <welterde> oh, estoy a favor si eso no estaba claro ;) 20:30:41 <dg> lo he leído.. 20:31:16 <topiltzin> estoy ansioso por probar las otras cosas en trunk, así que mientras más decidamos extraer, más “Yes” se vuelve mi voto. Sin opinión estricta sobre RI verification. 20:31:54 <welterde> str4d: ¿tu opinión? estuviste bastante activo en la discusión en el foro ;) 20:33:56 <welterde> zzz: quizá deberíamos hacer la votación en el hilo del artículo.. así str4d y tuna (y los otros en el hilo que no están aquí) también pueden opinar.. 20:33:56 <zzz> Querría mantener la lista de “otras cosas” muy corta ya que haría esto muy rápido y luego me iría de la ciudad, incapaz de arreglar problemas 20:33:59 <zzz> tuna está casi completamente afk por un tiempo todavía 20:34:51 <dg> un no sería mejor que el silencio 20:35:03 <welterde> zzz: bueno... o kytv podría hacer el build.. 20:35:10 <zzz> en teoría kytv puede hacer lanzamientos también, él es el otro con claves de firma, sí 20:36:35 <zzz> ok, entonces hagámoslo. Publicaré un hilo en zzz.i2p si quieren proponer otras cosas para incluir, decisión final en unas 24 horas, y haré el build quizá el jueves. ¿Alguien puede contactar a echelon? 20:36:53 <zzz> ¿algo más sobre este tema? 20:37:37 <dg> no lo creo. 20:38:23 <zzz> http://zzz.i2p/topics/1443 20:38:40 <zzz> por favor, revisen el diff de 17K líneas desde 0.9.7 y history.txt para otros candidatos a extraer 20:38:47 <zzz> 2) temas de Meeh 20:38:50 <zzz> adelante, Meeh 20:54:33 <topiltzin> zzz: la etiqueta es "i2p-0.9.7" 20:54:36 <topiltzin> no "0.9.7" 20:54:47 * topiltzin preparando su plucklist 20:55:26 <welterde> aquí igual 20:55:32 <zzz> gracias 20:55:47 <dg> zzz: pm ok? 20:57:06 <zzz> solo si no le interesa a nadie más 20:58:51 <dg> borrador para email a zooko 20:58:55 <dg> http://pastethis.i2p/show/0bZ3iFeE9uABCORkfXV6/ 20:58:58 <iRelay> Título: Paste #0bZ3iFeE9uABCORkfXV6 | LodgeIt! (at pastethis.i2p) 20:59:10 <dg> no incluí estado ni nada aún. Puedo estar muy fuera de lugar. Se agradecen comentarios. 21:01:00 <zzz> 3) /me *baf* cierra la reunión por Meeh 21:03:29 <zzz> dg, ese es un muy buen comienzo.