DNSSEC : quand un coffre-fort (physique) décale le renouvellement des clés ZSK
Le 17 février 2020 à 09h39
2 min
Internet
Tous les trois mois environ des cérémonies sont organisées par l’IANA (Internet Assigned Numbers Authority, branche de l’ICANN) pour « effectuer des opérations à l’aide de la clé racine […] La clé KSK [Key Signing Key, ndlr] est utilisée pour signer un ensemble de clés ZSK [Zone Signing Key, ndlr], qui seront utilisées [...] pour signer la zone racine DNS ».
Une opération « de routine » ou presque, mais la 40e cérémonie qui devait se dérouler mercredi dernier a été décalée à cause d’un coffre-fort récalcitrant. Et on ne parle pas d’un outil numérique dont on ne retrouve pas le code, mais bien d’un vrai coffre-fort contenant une partie du matériel nécessaire à la création des nouvelles clés ZSK.
L’ICANN se voulait rassurante : « Il n'y a aucun risque pour les éléments sécurisés au sein de notre installation, et il n'y aura aucune interruption de service de DNSSEC suite de ce problème ». L’autorité ajoute que, « en 10 ans d’histoire de KSK, c'est la première fois qu'une cérémonie doit être reprogrammée ».
Finalement, le coffre-fort récalcitrant est forcé – avec une perceuse, comme dans les films – ce week-end et la 40e conférence a pu se tenir avec quelques jours de retard. Elle a été diffusée en direct, le replay étant disponible par ici.
Le 17 février 2020 à 09h39
Commentaires (24)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 17/02/2020 à 10h52
#1
Mais quelle bande de boulets xD
Le 17/02/2020 à 11h00
#2
“René la chignole”, artisan en cybersécurité. " />
Le 17/02/2020 à 12h11
#3
Tu le prends comme tu veux mais moi ca me rassure.
Personne n’est à l’abris d’un soucis technique matériel…mais un coffre physique a plus tendance a refuser l’ouverture que tout laissé partir au 4 vents dans ce cas là.
Le 17/02/2020 à 12h34
#4
Bah dans les 2 cas t’as des risques ^^
Disons qu’on en a vu des coffres “inviolables” se faire vider xD j’aimerais bien connais la procédure, pour un max de sécurité il faut plusieurs couches différentes (process qui lie physique / numérique et qui pour fonctionné nécessite la présence de plusieurs personnes)
On s’était amusé à créer des systèmes de ce type en méca avec :
et enfin pour un système impaire le dernier jalon est une date donnée pour l’ouverture genre tous les 3 mois le 11 du mois.
C’est tiré des banques, les coffres quand tu les ferme le weekend sont minutés, ils ne peuvent se rouvrir que le lundi matin à une heure précise. Il existe une procédure d’urgence qui nécessite 2 clés, un code détenu au siège, un autre détenu par le responsable d’agence et un technicien qui doit venir avec un outil spécifique (et unique) pour ouvrir le cadran qui permet la saisi des dits code.
Si faut juste une clé cachée dans un coffre ça me semble un tantinet “light” x)
Le 17/02/2020 à 12h35
#5
Le 17/02/2020 à 14h27
#6
Le 17/02/2020 à 14h49
#7
Ce qui va posé problème, je connais une banque dans le nord est qui avait enfermée une mamie dans une salle des coffres x)
Et je vois mal comment la sortir de là sans la procédure d’urgence (bon ils s’en sont rendu compte un samedi et elle a été “libéré” dimanche)
Enfin c’est pas si étonnant finalement qu’ils ai modifié la procédure :) bon courage à celui qui ferme la porte avec quelqu’un dedans !
Le 17/02/2020 à 15h13
#8
Le 17/02/2020 à 16h25
#9
“your DNS resolver does NOT validate DNSSEC signatures ”
C’est bien la peine de mettre en place tout ce cirque… DNSSEC mon fai connaît pas.
Le 17/02/2020 à 18h28
#10
Tous les trois mois environ des cérémonies sont organisées par l’IANA
Ha bon ? Est-ce qu’on sait si ils sacrifient une chèvre ?" />
Le 18/02/2020 à 08h11
#11
Le 18/02/2020 à 09h15
#12
On dirait du Gaston Lagaffe, ils ont enfermé la clé du coffre dans le coffre ? " />
Le 18/02/2020 à 10h26
#13
Le 18/02/2020 à 13h02
#14
J’ai l’impression que nous sommes d’accord sur le fait que cet incident ne les fassent en aucun cas pour des boulets.
Il vaut mieux ce genre d’incident que l’incident inverse avec un fuite de clef.
Le 18/02/2020 à 21h14
#15
Personnellement, je ne connaissais pas cette procédure de signature KSK, et donc cette cérémonie, qui se répéte je l’apprend tous les 3 mois. Cette anecdote m’a permis de la découvrir. Amusant. Et donc crucial pour tout l’Internet.