La Fibre
Télécom => Réseau => 
Protocoles réseaux sécurisés (https) => Discussion démarrée par: vivien le 16 février 2020 à 19:01:39
-
Internet a été prise en otage par un coffre-fort physique de la vieille école : l'IANA (Internet Assigned Numbers Authority) a été forcée de suspendre la cérémonie utilisant la clé racine KSK à la dernière minute: Ils n'ont pas réussi à ouvrir le coffre-fort.
Le serrurier qui ouvre le coffre-fort bloqué :
https://lafibre.info/videos/datacenter/202002_dnssec_renouvellment_ksk.mp4
Qu'est-ce que la KSK ?
La KSK est une paire de clés cryptographiques publique-privée qui joue un rôle important dans le protocole des extensions de sécurité du système des noms de domaine (DNSSEC). La partie publique de la paire de clés est le point de départ fiable pour la validation de DNSSEC, semblable à la manière dont la zone racine sert comme point de départ pour la résolution du DNS. La partie privée de la KSK est utilisée au cours des cérémonies KSK de la racine pour signer les clés de signature de zone utilisés par Verisign pour signer le DNSSEC de la zone racine.
Qu'est-ce que la cérémonie de renouvellement de la clé racine KSK ?
Le 11 octobre 2018 des ingénieurs du monde entier liés à Internet devaient se rencontrer sur l'un des deux sites sécurisés de l'IANA aux USA: l'un à El Segundo, en Californie et l'autre à Culpeper, en Virginie pour remplacer KSK-2010 par KSK-2017. Au cours de ce processus, plusieurs étapes et révisions sont effectuées afin de signer cryptographiquement les paires de clés numériques utilisées pour sécuriser la "zone racine" Internet du DNS. Seules des personnes nommées spécifiquement sont autorisées à participer à la cérémonie, et elles doivent passer par plusieurs niveaux de sécurité - y compris les portes qui ne peuvent être ouvertes que par des empreintes digitales et des analyses rétiniennes - avant d'entrer dans la salle où la cérémonie a lieu. (hashtag #KeyRoll (https://twitter.com/hashtag/KeyRoll) ou #KSKroll (https://twitter.com/hashtag/KSKroll))
Quelle est la cérémonie "Root KSK 40" du 12 février 2020 qui a été reportée au 15 février 2020 à cause d'un coffre bloqué ?
Cette cérémonie à lieu tous les 3 mois et plusieurs ingénieurs Internet de confiance (3 à 7 ingénieurs) du monde entier qui se rendent sur l'un des deux sites de l'IANA aux USA où est stockée la KSK. La clé est utilisée et remise de côté lorsqu'elle est terminée, laissant à l'IANA un ensemble de clefs ZSK pour sécuriser de manière autorisée sa zone racine.
Que contenait le coffre fort bloqué ?
Le personnel ouvre deux coffres-forts. L'un contient un module de sécurité matériel qui contient la partie privée du KSK. Le module est activé, permettant à la clé privée KSK de signer des clés, à l'aide de cartes à puce attribuées aux participants à la cérémonie. Ces informations d'identification sont stockées dans des coffres-forts et des sacs inviolables dans le deuxième coffre-fort. Chaque étape peut être vérifiée par tout le monde et l'événement est retransmis en direct.
Vidéo de la cérémonie Root KSK 40 :
https://www.youtube.com/watch?v=B46cWBUU2l4
Vidéo de la cérémonie Root KSK 39 :
https://www.youtube.com/watch?v=erfsFJsapAs
-
Où as-tu lu qu'il était question de la cérémonie de renouvellement de la clé racine KSK ?
-
Sur cet article : https://www.theregister.co.uk/2020/02/13/iana_dnssec_ksk_delay/
-
Quand j'ai lu cela, et vu le petit film, j'ai été sceptique, effectivement aussi avec le mot "cérémonie", on n'est pas aux oscars. Tu es sûr que ce n'est pas une blaque ?
-
Non, renseignez vous un peu :)
-
Oui mais non, ils renouvellent pas la clé racine KSK, tu as mal compris.
Ils utilisent la clé racine pour signer les clés des zones DNS. Ils font ça tout les 3 mois.
-
Si ce n'est pas une blague, alors c'est surréaliste. Un coffre fort, pour enfermer une paire de clés privée/publique ? Elle doit au moins être enregistrée sur un disque ou autre. Elle n'est pas écrite sur un bout de papier...
Et le serrurier assis devant le coffre et déployant ses outils et sa perceuse, c'est Spaggiari ? On ne se croirait pas du tout dans un haut lieu de l'Internet.
Personnellement, j'avais entend parler de l'IANA, bien sûr, mais jamais de la "cérémonie KSK"...
-
Effectivement je me suis emmêlé les pinceaux, ce n'est pas un renouvellement de la clé KSK, mais son utilisation (cérémonie qui a lieu tous les 3 mois depuis 10 ans)
J'ai modifié mon premier message et le titre de ce sujet.
La cérémonie ne se déroule pas forcément devant les coffre-forts (12 personnes).
-
Elle doit au moins être enregistrée sur un disque ou autre. Elle n'est pas écrite sur un bout de papier...
Évidemment que non elle n'est pas écrite sur un bout de papier.
Tes commentaires sont eux vraiment surréaliste. :D
https://fr.wikipedia.org/wiki/Hardware_Security_Module (https://fr.wikipedia.org/wiki/Hardware_Security_Module)
edit: @vivien, le titre du 2ème § mentionne toujours le renouvellement de la ksk
-
Pas mieux :)
-
Évidemment que non elle n'est pas écrite sur un bout de papier.
Tes commentaires sont eux vraiment surréaliste. :D
C'est la scène qui est surréaliste. Cela me rappelle la scène du coffre fort dans les tontons flingueurs... Mais bon, on en apprend tous les jours...
-
J'ai déjà fait ouvrir un coffre fort armoire de grande taille qui s'était bloqué chez mon précédent employeur et et c'est très discret : la personne qui intervient sait précisément où percer, à un endroit qui ne se verra pas une fois le nouveau panneau pour mettre le code en place.
C'est par contre rare d'avoir des vidéos de ces opérations.
Les coffres-fort on en fait tous un SPOF et il suffit de savoir ou percer pour les ouvrir.
Une nouveau mécanisme est remis en place et en moins d'une heure, c'est terminé, ni vu, ni connu (aucune trace permettant de voir qu'il a été percé).
-
Là, c'est le coffre-fort lui-même qui est un SPOF. Perdre la clé ou le code, ou que le mécanisme se grippe, c'est bête. Sachant que tout l'Internet en dépend !
Heureusement que le coffre a une faiblesse connue des serruriers. Que l'on puisse en ouvrir un et remettre le mécanisme en place sans aucune trace visible en moins d'une heure, cela peut en inquiéter certains...
-
Ta voiture est inviolable ?
Bah les coffres fort c'est pareil :)
-
Et cela doit rassurer ?
Bon la conclusion de l'article de Register me convient :
"There is a certain irony, of course, that the security of the virtual internet has been held hostage by an old-school physical safe"
-
Un coffre fort peut tomber en panne.
Il y a bien une possibilité d'alimentation par une pile 9v externe si c'est la pile qui est vide (quand on oublie de changer la pile à temps, cela permet d'ouvrir le coffre sans avoir à le percer), mais une panne du mécanisme est toujours possible.
Vidéo de la cérémonie Root KSK 40 :
https://www.youtube.com/watch?v=B46cWBUU2l4
Vidéo de la cérémonie Root KSK 39 :
https://www.youtube.com/watch?v=erfsFJsapAs
-
Personnellement, cette anecdote m'a permis de découvrir cette cérémonie, un coin pittoresque de l'Internet que je ne connaissais pas, et je pense d'autres que moi.
Au passage, on voit que cette procédure cruciale de l'Internet, la signature de toutes les zones DNS, est encore bien contrôlée par les Etats-Unis, les deux villes concernées étant à chaque extrémité de ce pays.
Mais il y apparemment la volonté de montrer que la procédure est transparente, et cette cérémonie un peu surranée, destinée à inspirer confiance dans cette signature, qui pourrait sinon être vue avec une certaine méfiance.
-
Le script initial de la cérémonie 40 (https://data.iana.org/ksk-ceremony/40/20200212-KC40_Ceremony_Script.pdf)
C'est une checklist.
-
A noter que le PDF n'est pas généré par un Word, mais par Prince 13.1, un convertisseur HTML vers PDF => https://www.princexml.com/