VS>> Таки нужен, но его публичный ключ вшит в (или идет в комплекте с) VS>> ПО (операционные системы, резолверы и т.п.). Я почему и не говорю VS>> "это невозможно осуществить", я спрашиваю "как его осуществить?" VS>> К примеру, атакующий должен для этого подменить VS>> /var/unbound/root.key на моём компе или подменить бинарник VS>> unbound, насколько это легко сделать?
EG> А чем гарантировано отсутствие изначальных закладок в этих местах, EG> ты ездил к производителю софта или от производителя к тебе привозили EG> доверенный носитель? :-)
Можно сравнить Trust Anchor в твоем named с Root Zone KSK, который выложен публично на iana.org.
EG> Hа практике-то и DNS необязателен, EG> полно сторонних каналов передачи информации, которые очень сложно EG> практически эксплоитить. Тот же fingerprint ключа или сам ключ EG> можно стеганографически встроить во вторую картиночку из серии котиков EG> на сайте с картиночками, а адрес поста с котиками или специальный тег EG> поста продиктовать по телефону. Много гитик.
Я не понял, к чему это. Мы вроде о возможности MITM в DNSSEC.