DNSSEC et la sécurisation de la racine : L’IGP publie sa proposition Aurélien Cabezon le 21 mai 2007 à 20h00, dans la rubrique Produits & Technologies Commentaires fermés sur DNSSEC et la sécurisation de la racine : L’IGP publie sa proposition chiffrementclésdnssecpoisoningsignature Alors que le service DNS évolue doucement vers sa version sécurisée, le DNSSEC, l’IGP se fait force de proposition pour décentraliser la signature électronique du fichier racine. C’est le 17 Mai dernier que l’Internet Governance Projet (IGP) a dévoilé sa proposition concernant la décentralisation de la signature électronique du Root Zone file au profit d’autorités multiples. La signature électronique est en effet requise par l’introduction de DNSSEC. Le Root Zone File est un fichier long d’à peine un millier d’enregistrements qui recense les autorités responsables de chaque TLD. Jusqu’à présent non signé, il va voir ses enregistrements signés numériquement pour empêcher des attaques du type Man-In-The-Middle ou DNS Cache Poisoning et ainsi assurer l’intégrité et l’authentification des transactions entre serveurs DNSSEC et clients (Web, email et autres). Une récente controverse faisant craindre la mainmise du gouvernement fédéral américain sur les clés de chiffrement avait en effet mis le feu aux poudres. La solution proposée par l’IGP se veut plus robuste et surtout écarte la menace d’intervention des états dans l’administration d’Internet. Plus d’informations sur DNSSEC (*) DNSSEC a été normalisé dans la RFC 4033 et permet d’améliorer la sécurité du DNS. DNSSEC permet de sécuriser les données envoyées par le DNS. Contrairement à d’autres protocoles comme SSL, il ne sécurise pas juste un canal de communication mais il protège les données, les enregistrements DNS, de bout en bout. Ainsi, il est efficace même lorsqu’un serveur intermédiaire trahit. DNSSEC signe cryptographiquement les enregistrements DNS et met cette signature dans le DNS. Ainsi, un client DNS méfiant peut donc récupérer la signature et, s’il possède la clé du serveur, vérifier que les données sont correctes. La clé peut être récupérée via le DNS lui-même (ce qui pose un problème d’oeuf et de poule) ou bien par un autre moyen (diffusée via le Web et signée avec PGP par exemple). DNSSEC permet de déléguer des signatures : ainsi, le registre d’un TLD peut annoncer que tel sous-domaine est signé. On peut ainsi bâtir une chaîne de confiance depuis la racine du DNS. Pour l’instant, des problèmes politiques (qui a la légitimité pour signer la racine ?) empêchent ce déploiement. DNSSEC introduit aussi ses propres problèmes, par exemple, le fait qu’un enregistrement spécial indique le prochain domaine de la zone permet d’énumérer le contenu complet d’une zone signée, même si le transfert de zone n’est pas permis. Aujourd’hui, le registre suédois et le RIPE-NCC (pour le domaine in-addr.arpa) signent leurs enregistrements avec DNSSEC. Source : Wikipedia Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!