Auteur Sujet: DNS: cérémonie "Root KSK 40" reportée à cause d'un coffre-fort bloqué !  (Lu 5475 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
Internet a été prise en otage par un coffre-fort physique de la vieille école : l'IANA (Internet Assigned Numbers Authority) a été forcée de suspendre la cérémonie utilisant la clé racine KSK à la dernière minute: Ils n'ont pas réussi à ouvrir le coffre-fort.

Le serrurier qui ouvre le coffre-fort bloqué :


Qu'est-ce que la KSK ?

La KSK est une paire de clés cryptographiques publique-privée qui joue un rôle important dans le protocole des extensions de sécurité du système des noms de domaine (DNSSEC). La partie publique de la paire de clés est le point de départ fiable pour la validation de DNSSEC, semblable à la manière dont la zone racine sert comme point de départ pour la résolution du DNS. La partie privée de la KSK est utilisée au cours des cérémonies KSK de la racine pour signer les clés de signature de zone utilisés par Verisign pour signer le DNSSEC de la zone racine.

Qu'est-ce que la cérémonie de renouvellement de la clé racine KSK ?

Le 11 octobre 2018 des ingénieurs du monde entier liés à Internet devaient se rencontrer sur l'un des deux sites sécurisés de l'IANA aux USA: l'un à El Segundo, en Californie et l'autre à Culpeper, en Virginie pour remplacer KSK-2010 par KSK-2017. Au cours de ce processus, plusieurs étapes et révisions sont effectuées afin de signer cryptographiquement les paires de clés numériques utilisées pour sécuriser la "zone racine" Internet du DNS. Seules des personnes nommées spécifiquement sont autorisées à participer à la cérémonie, et elles doivent passer par plusieurs niveaux de sécurité - y compris les portes qui ne peuvent être ouvertes que par des empreintes digitales et des analyses rétiniennes - avant d'entrer dans la salle où la cérémonie a lieu. (hashtag #KeyRoll ou #KSKroll)

Quelle est la cérémonie "Root KSK 40" du 12 février 2020 qui a été reportée au 15 février 2020 à cause d'un coffre bloqué ?

Cette cérémonie à lieu tous les 3 mois et plusieurs ingénieurs Internet de confiance (3 à 7 ingénieurs) du monde entier qui se rendent sur l'un des deux sites de l'IANA aux USA où est stockée la KSK. La clé est utilisée et remise de côté lorsqu'elle est terminée, laissant à l'IANA un ensemble de clefs ZSK pour sécuriser de manière autorisée sa zone racine.

Que contenait le coffre fort bloqué ?

Le personnel ouvre deux coffres-forts. L'un contient un module de sécurité matériel qui contient la partie privée du KSK. Le module est activé, permettant à la clé privée KSK de signer des clés, à l'aide de cartes à puce attribuées aux participants à la cérémonie. Ces informations d'identification sont stockées dans des coffres-forts et des sacs inviolables dans le deuxième coffre-fort. Chaque étape peut être vérifiée par tout le monde et l'événement est retransmis en direct.

Vidéo de la cérémonie Root KSK 40 :



Vidéo de la cérémonie Root KSK 39 :

decalage

  • Abonné Orange adsl
  • *
  • Messages: 188
  • 92
Où as-tu lu qu'il était question de la cérémonie de renouvellement de la clé racine KSK ?

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 170
  • Delta S 10G-EPON sur Les Ulis (91)
Quand j'ai lu cela, et vu le petit film, j'ai été sceptique, effectivement aussi avec le mot "cérémonie", on n'est pas aux oscars. Tu es sûr que ce n'est pas une blaque ?

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
Non, renseignez vous un peu :)

decalage

  • Abonné Orange adsl
  • *
  • Messages: 188
  • 92
Oui mais non, ils renouvellent pas la clé racine KSK, tu as mal compris.
Ils utilisent la clé racine pour signer les clés des zones DNS. Ils font ça tout les 3 mois.

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 170
  • Delta S 10G-EPON sur Les Ulis (91)
Si ce n'est pas une blague, alors c'est surréaliste. Un coffre fort, pour enfermer une paire de clés privée/publique ? Elle doit au moins être enregistrée sur un disque ou autre. Elle n'est pas écrite sur un bout de papier...

Et le serrurier assis devant le coffre et déployant ses outils et sa perceuse, c'est Spaggiari ? On ne se croirait pas du tout dans un haut lieu de l'Internet.

Personnellement, j'avais entend parler de l'IANA, bien sûr, mais jamais de la "cérémonie KSK"...

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
DNS: cérémonie "KSK Root" reportée à cause d'un coffre-fort bloqué !
« Réponse #7 le: 16 février 2020 à 21:49:56 »
Effectivement je me suis emmêlé les pinceaux, ce n'est pas un renouvellement de la clé KSK, mais son utilisation (cérémonie qui a lieu tous les 3 mois depuis 10 ans)

J'ai modifié mon premier message et le titre de ce sujet.

La cérémonie ne se déroule pas forcément devant les coffre-forts (12 personnes).

decalage

  • Abonné Orange adsl
  • *
  • Messages: 188
  • 92
DNS: cérémonie "KSK Root" reportée à cause d'un coffre-fort bloqué !
« Réponse #8 le: 16 février 2020 à 21:51:44 »
Elle doit au moins être enregistrée sur un disque ou autre. Elle n'est pas écrite sur un bout de papier...
Évidemment que non elle n'est pas écrite sur un bout de papier.
Tes commentaires sont eux vraiment surréaliste.  :D
https://fr.wikipedia.org/wiki/Hardware_Security_Module


edit: @vivien, le titre du 2ème § mentionne toujours le renouvellement de la ksk

Hugues

  • AS2027 MilkyWan
  • Modérateur
  • *
  • Messages: 12 424
  • Lyon (69) / St-Bernard (01)
    • Twitter
DNS: cérémonie "KSK Root" reportée à cause d'un coffre-fort bloqué !
« Réponse #9 le: 16 février 2020 à 21:52:40 »
Pas mieux :)

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 170
  • Delta S 10G-EPON sur Les Ulis (91)
DNS: cérémonie "KSK Root" reportée à cause d'un coffre-fort bloqué !
« Réponse #10 le: 16 février 2020 à 22:04:51 »
Évidemment que non elle n'est pas écrite sur un bout de papier.
Tes commentaires sont eux vraiment surréaliste.  :D

C'est la scène qui est surréaliste. Cela me rappelle la scène du coffre fort dans les tontons flingueurs... Mais bon, on en apprend tous les jours...

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
DNS: cérémonie "KSK Root" reportée à cause d'un coffre-fort bloqué !
« Réponse #11 le: 16 février 2020 à 22:30:18 »
J'ai déjà fait ouvrir un coffre fort armoire de grande taille qui s'était bloqué chez mon précédent employeur et et c'est très discret : la personne qui intervient sait précisément où percer, à un endroit qui ne se verra pas une fois le nouveau panneau pour mettre le code en place.

C'est par contre rare d'avoir des vidéos de ces opérations.

Les coffres-fort on en fait tous un SPOF et il suffit de savoir ou percer pour les ouvrir.

Une nouveau mécanisme est remis en place et en moins d'une heure, c'est terminé, ni vu, ni connu (aucune trace permettant de voir qu'il a été percé).