Mon blog

Je suis Charlie

Autres trucs

Accueil

Seulement les RFC

Seulement les fiches de lecture

Mon livre « Cyberstructure »

Ève

ITAR est officiellement publié, pour aider au déploiement de DNSSEC

Première rédaction de cet article le 24 février 2009
Dernière mise à jour le 22 décembre 2010

Un problème classique de DNSSEC est qu'il faut connaître au moins une clé publique pour commencer la validation. Si la racine du DNS est signée, on configure logiquement dans son résolveur DNS la clé publique de la racine, largement diffusée. Mais, aujourd'hui, la racine n'est pas signée (cela a été fait en juillet 2010) et cette signature, qui dépend du gouvernement états-unien, est bloquée par des considérations essentiellement politiciennes. Alors, en attendant, une nouvelle méthode est disponible, ITAR. Elle a finalement servi deux ans, avant sa suppression en novembre 2010.

DNSSEC, normalisé dans les RFC 4033 et suivants, permet de résoudre certaines failles de sécurité du DNS comme l'empoisonnement de caches. Pour cela, les enregistrements DNS sont signés avec une clé cryptographique privée. Si on connait la clé publique correspondante, on peut alors valider la signature. Il existait deux méthodes pour connaître les clés publiques :

  • Les rassembler à la main en cherchant sur les sites Web des titulaires comme https://www.ripe.net/projects/disi/keys/. C'est long et pénible, d'autant plus que les clés sont régulièrement remplacées.
  • Utiliser DLV (DNSSEC Lookaside Validation, RFC 5074), bien plus simple.

Une troisième méthode a été annoncée le 17 février par l'IANA : ITAR. C'est un dépôt des clés publiques de TLD, vérifiées par l'IANA. Il est distribué sous différents formats et on peut le récupérer et le valider, par exemple ainsi : 

% wget https://itar.iana.org/anchors/anchors.mf
% wget https://itar.iana.org/anchors/anchors.mf.sig
% gpg anchors.mf.sig

(La dernière étape, vérifier avec GPG, est probablement sans intérêt puisque la clé PGP de l'IANA n'est pas signée et qu'il n'y a aucun moyen de la valider.) Une fois cela fait, ce fichier peut être utilisé pour configurer son résolveur, par exemple pour Unbound : 

trust-anchor-file: "anchors.mf"

En fait, cette annonce n'est pas si importante que cela : d'abord, ITAR ne stocke que les clés des TLD. On n'y trouvera donc pas celles de ripe.net ou des in-addr.arpa, citées plus haut, ni celles des nombreux domaines signés dans des TLD non signés comme sources.org. Mais, surtout, le registre DLV de l'ISC copie automatiquement ITAR toutes les nuits et l'intègre dans leur base. utiliser DLV suffit donc. La publication d'ITAR est donc plutôt un geste politique de la part de l'ICANN, qui tient à affirmer sa candidature à la signature de la racine. ITAR a été officiellement fermée en 2010.

Version PDF de cette page (mais vous pouvez aussi imprimer depuis votre navigateur, il y a une feuille de style prévue pour cela)

Source XML de cette page (cette page est distribuée sous les termes de la licence GFDL)