Connexion
Abonnez-vous

DNSSEC : quand un coffre-fort (physique) décale le renouvellement des clés ZSK

DNSSEC : quand un coffre-fort (physique) décale le renouvellement des clés ZSK

Le 17 février 2020 à 09h39

Tous les trois mois environ des cérémonies sont organisées par l’IANA (Internet Assigned Numbers Authority, branche de l’ICANN) pour « effectuer des opérations à l’aide de la clé racine […] La clé KSK [Key Signing Key, ndlr] est utilisée pour signer un ensemble de clés ZSK [Zone Signing Key, ndlr], qui seront utilisées [...] pour signer la zone racine DNS ».

Une opération « de routine » ou presque, mais la 40e cérémonie qui devait se dérouler mercredi dernier a été décalée à cause d’un coffre-fort récalcitrant. Et on ne parle pas d’un outil numérique dont on ne retrouve pas le code, mais bien d’un vrai coffre-fort contenant une partie du matériel nécessaire à la création des nouvelles clés ZSK.

L’ICANN se voulait rassurante : « Il n'y a aucun risque pour les éléments sécurisés au sein de notre installation, et il n'y aura aucune interruption de service de DNSSEC suite de ce problème ». L’autorité ajoute que, « en 10 ans d’histoire de KSK, c'est la première fois qu'une cérémonie doit être reprogrammée ».

Finalement, le coffre-fort récalcitrant est forcé – avec une perceuse, comme dans les films – ce week-end et la 40e conférence a pu se tenir avec quelques jours de retard. Elle a été diffusée en direct, le replay étant disponible par ici

Le 17 février 2020 à 09h39

Commentaires (24)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Mais quelle bande de boulets xD

votre avatar

“René la chignole”, artisan en cybersécurité. <img data-src=" />

votre avatar

Tu le prends comme tu veux mais moi ca me rassure.

Personne n’est à l’abris d’un soucis technique matériel…mais un coffre physique a plus tendance a refuser l’ouverture que tout laissé partir au 4 vents dans ce cas là.

votre avatar

Bah dans les 2 cas t’as des risques ^^

Disons qu’on en a vu des coffres “inviolables” se faire vider xD j’aimerais bien connais la procédure, pour un max de sécurité il faut plusieurs couches différentes (process qui lie physique / numérique et qui pour fonctionné nécessite la présence de plusieurs personnes)



On s’était amusé à créer des systèmes de ce type en méca avec :




  • 2 clés stockées par 2 personnes dans 2 lieux différents

  • 2 code détenus par 2 personnes

  • 2 autres personnes qui doivent s’authentifier l’un par empreinte l’autre par reco faciale

    et enfin pour un système impaire le dernier jalon est une date donnée pour l’ouverture genre tous les 3 mois le 11 du mois.



    C’est tiré des banques, les coffres quand tu les ferme le weekend sont minutés, ils ne peuvent se rouvrir que le lundi matin à une heure précise. Il existe une procédure d’urgence qui nécessite 2 clés, un code détenu au siège, un autre détenu par le responsable d’agence et un technicien qui doit venir avec un outil spécifique (et unique) pour ouvrir le cadran qui permet la saisi des dits code.



    Si faut juste une clé cachée dans un coffre ça me semble un tantinet “light” x)

votre avatar







secouss a écrit :



Mais quelle bande de boulets xD





Visiblement, ils n’ont pas eu de chance… la serrure était défectueuse


votre avatar







secouss a écrit :



Il existe une procédure d’urgence qui nécessite 2 clés, un code détenu au siège, un autre détenu par le responsable d’agence et un technicien qui doit venir avec un outil spécifique (et unique) pour ouvrir le cadran qui permet la saisi des dits code.





Aujourd’hui, tu ne rentres en salle forte qu’en période programmée (le jour ouvré précédent à minima). Il n’y a plus de procédure d’urgence (autre que le chalumeau ou depuis l’intérieur bien entendu).


votre avatar

Ce qui va posé problème, je connais une banque dans le nord est qui avait enfermée une mamie dans une salle des coffres x)

Et je vois mal comment la sortir de là sans la procédure d’urgence (bon ils s’en sont rendu compte un samedi et elle a été “libéré” dimanche)



Enfin c’est pas si étonnant finalement qu’ils ai modifié la procédure :) bon courage à celui qui ferme la porte avec quelqu’un dedans !

votre avatar







secouss a écrit :



Ce qui va posé problème, je connais une banque dans le nord est qui avait enfermée une mamie dans une salle des coffres x)

Et je vois mal comment la sortir de là sans la procédure d’urgence (bon ils s’en sont rendu compte un samedi et elle a été “libéré” dimanche)



Enfin c’est pas si étonnant finalement qu’ils ai modifié la procédure :) bon courage à celui qui ferme la porte avec quelqu’un dedans !





C’est une salle des coffres pas une salle forte. Les moyens mis en oeuvre ne sont pas du tout les mêmes et surtout les valeurs en jeux ne sont pas tout à fait les mêmes ;)


votre avatar

“your DNS resolver does NOT validate DNSSEC signatures ”



C’est bien la peine de mettre en place tout ce cirque… DNSSEC mon fai connaît pas.

votre avatar



Tous les trois mois environ des cérémonies sont organisées par l’IANA





Ha bon ? Est-ce qu’on sait si ils sacrifient une chèvre ?<img data-src=" />

votre avatar







secouss a écrit :



Si faut juste une clé cachée dans un coffre ça me semble un tantinet “light” x)





La clef pour créer des clefs est cachée dans un coffre mais le coffre lui même semble suffisamment sur. Il a fallu du temps et une bonne perceuse. Par ailleurs le coffre est certainement pas non plus à la merci de tout les passants…pour moi ca me semble plutôt sûr.


votre avatar

On dirait du Gaston Lagaffe, ils ont enfermé la clé du coffre dans le coffre ? <img data-src=" />

votre avatar







Krogoth a écrit :



La clef pour créer des clefs est cachée dans un coffre mais le coffre lui même semble suffisamment sur. Il a fallu du temps et une bonne perceuse. Par ailleurs le coffre est certainement pas non plus à la merci de tout les passants…pour moi ca me semble plutôt sûr.





En plus, dans ce genre de procédure, la clé est divisée en plusieurs parties, chacune dans un coffre, dont les clés sont à la charge de personnes distinct (et qui dispose en plus d’une double authentification (clé+code ou clé +empreinte …), ceci afin d’éviter que la clé ne puisse être connue en intégralité par qui que ce soit.





votre avatar

J’ai l’impression que nous sommes d’accord sur le fait que cet incident ne les fassent en aucun cas pour des boulets.

Il vaut mieux ce genre d’incident que l’incident inverse avec un fuite de clef.

votre avatar

Personnellement, je ne connaissais pas cette procédure de signature KSK, et donc cette cérémonie, qui se répéte je l’apprend tous les 3 mois. Cette anecdote m’a permis de la découvrir. Amusant. Et donc crucial pour tout l’Internet.

DNSSEC : quand un coffre-fort (physique) décale le renouvellement des clés ZSK

Fermer