La cérémonie de signature de clé de la zone racine de DNSSEC

La zone DNS racine contient des informations sur la manière d'interroger les serveurs de noms des domaines de premier niveau (TLD) (.com, .edu, .org, etc). Elle permet aux internautes d'accéder à des noms de domaine dans tous les TLD, même les plus récents tels que .software et .bank, ce qui en fait une partie intégrante de l'Internet mondial.

Dans Comment fonctionne DNSSEC, nous avons expliqué comment la confiance dans le DNSSEC dérive de l'enregistrement de ressources DS de la zone parent. Cependant, la zone DNS racine n'a pas de parent, comment pouvons-nous donc faire confiance à l'intégrité et à l'authenticité de ses informations ?

official ceremony photo

Avec l'aimable autorisation de l'IANA

C'est l'objectif de la cérémonie de signature de clé de la zone racine, une procédure rigoureuse de signature des informations de clé publique de la zone DNS racine pour les quelques mois suivants. La clé de signature privée utilisée dans cette procédure représente littéralement la clé de l'ensemble de l'Internet protégé par les DNSSEC. Une cérémonie publique, vérifiée et étroitement contrôlée encadrant l'accès à cette clé est une nécessité pour que DNSSEC soit en succès en tant que norme mondiale.

Ólafur Guðmundsson, responsable de l'ingénierie chez Cloudflare et agent de cryptographie à l'ICANN, a participé à la cérémonie en août dernier. Voici ses réflexions sur la cérémonie de signature de clé de la zone racine.

Où se trouve la clé de signature de zone racine ?

La clé de signature de zone racine est sauvegardée dans deux sites géographiques distincts : El Segundo en Californie et Culpeper en Virginie. Ces deux installations sont sécurisées, et elles renferment des copies redondantes de la clé. La cérémonie se déroule en alternance entre les sites d'El Segundo et de Culpeper.

Participants à la cérémonie

  • L'administrateur de la cérémonie
  • Un témoin interne
  • Le contrôleur de coffre-fort des accréditations
  • Le contrôleur de coffre-fort matériel
  • Agent de cryptographie n°1
  • Agent de cryptographie n°2
  • Agent de cryptographie n°3

Chacun de ces participants ne peut effectuer que certaines parties de la cérémonie. Leurs rôles sont répartis de manière à garantir une probabilité inférieure à 1/1 000 000 qu'un groupe de conspirateurs puisse compromettre la clé de signature de zone racine, en supposant un taux de malhonnêteté de 5 % (oui, c'est formellement inscrit dans les spécifications) parmi ces personnes.

diagramme illustrant qui détient la clé

Les quatre premières de ces personnes sont des membres du personnel de l'ICANN, tandis que les trois agents de cryptographie sont des bénévoles de confiance issus de la communauté d'Internet. Verisign joue également un rôle important puisqu'il s'agit du gestionnaire de la zone racine responsable de la génération de la clé de signature de zone racine qui est signée lors de la cérémonie. En outre, l'ensemble de la procédure est vérifiée par deux cabinets d'audit Big Four qui ne sont associés ni à Verisign ni à l'ICANN.

Préparatifs de la cérémonie

Il n'y a que 14 agents de cryptographie disponibles dans le monde (7 sont affiliés à chaque site), et au moins trois d'entre eux doivent assister à la cérémonie. La première étape consiste donc à interroger les agents de cryptographie pour trouver une fenêtre de deux jours au cours desquels 4 ou 5 d'entre eux peuvent être présents. Nous essayons généralement de trouver une période pendant laquelle plus de trois (le chiffre minimum) sont disponibles, pour éviter que des urgences ou des problèmes de déplacement entraînent l'annulation d'une cérémonie.

La dernière cérémonie a eu lieu le 13 août dans les locaux d'El Segundo. Pour entrer dans l'établissement, j'ai dû présenter une pièce d'identité officielle et montrer le contenu de mon sac. En retour, j'ai reçu un badge d'identification attaché à ma chemise. Puis, j'ai attendu qu'un membre du personnel de l'ICANN m'escorte à l'intérieur. Pour passer la porte, il a dû glisser une carte d'accès et placer sa main sur un scanner.

Le premier arrêt a eu lieu dans une salle de conférence où le déjeuner était servi. Nous nous y sommes mêlés en attendant l'arrivée du reste des participants à la cérémonie. Étant des agents de cryptographie, la plupart de nos discussions tournaient autour de tentatives de vol de la clé de signature de zone racine. Nous sommes arrivés à la conclusion qu'il ne faudrait qu'une demi-heure environ pour faire un trou dans le mur et sortir avec le coffre ; cependant, cela déclencherait probablement les capteurs sismiques, et nous saurions que la clé a été compromise.

Une fois que tout le monde est arrivé, nous avons été escortés vers la salle de cérémonie par petits groupes, car le local d'entrée est limité à 8 personnes environ. Dans cette salle, nous signons un registre avant d'être autorisés à entrer dans la salle de cérémonie principale. Pour accéder au local d'entrée, un membre du personnel de l'ICANN doit utiliser une carte à puce ; pour entrer dans la salle principale, un scan rétinien dudit membre du personnel est nécessaire.

Une personne entre dans une pièce dans laquelle se trouvent deux coffres-forts...

Dans la salle de cérémonie, une cage située sur le côté renferme deux coffres-forts. Ces coffres-forts permettent de stocker tout le matériel sensible utilisé pendant la cérémonie. L'entrée dans la cage ne peut se faire qu'en présence de l'administrateur de la cérémonie et d'un témoin interne. Le contrôle repose sur un deuxième scan rétinien et les cartes d'accès de l'administrateur de la cérémonie et du témoin interne.

diagramme : une personne entre dans une pièce renfermant deux coffres-forts

Cependant, ni l'administrateur de la cérémonie ni le témoin interne ne peuvent réellement ouvrir les coffres. Pour cela, les contrôleurs de coffre-fort sont nécessaires.

Le coffre-fort des accréditations

Le contrôleur de coffre-fort des accréditations ouvre le premier coffre, et à l'intérieur se trouvent plusieurs coffrets de sécurité, chacun nécessitant deux clés. L'administrateur de la cérémonie possède une de ces clés, et chacun des agents de cryptographie a la clé d'une autre boîte. Ensemble (et en présence du témoin interne et du contrôleur du coffre-fort des accréditations), l'administrateur de la cérémonie et les agents de cryptographie ouvrent trois coffres-forts.

diagramme du coffre fort des accréditations

Chaque coffre-fort contient une carte d'opérateur et une carte d'autorisation de sécurité pour le module de sécurité matériel (HSM), que nous évoquerons dans la section suivante. Trois cartes d'opérateur sont nécessaires pour déverrouiller le HSM, c'est pourquoi trois agents de cryptographie doivent assister à la cérémonie. Les cartes d'autorisation de sécurité ne sont utilisées que lorsque nous devons transférer la clé de signature de zone racine, nous les laissons donc généralement dans le coffre-fort.

Les deux cartes sont rangées dans des étuis en plastique enfermés dans des sacs inviolables (au cas où vous ne l'auriez pas encore compris, la plus grande partie de la cérémonie tourne autour de la détection de fraudes). Ces cartes restent dans le coffre lorsqu'elles ne sont pas utilisées. Ainsi, la dernière fois que quelqu'un les a touchées, c'était lors de la précédente cérémonie de signature de clé de la zone racine. Les sacs inviolables permettent de garantir qu'elles n'ont pas été modifiées dans l'intervalle.

Les étuis en plastique sont également très importants. En effet, quelqu'un a découvert qu'il était possible de manipuler les cartes en plantant des aiguilles à travers le sac inviolable, ce qui pourrait passer inaperçu lors de l'inspection du sac. Voilà qui illustre parfaitement la constante évolution des procédures de sécurité encadrant la cérémonie.

sac inviolable

Le coffre-fort matériel

Le contrôleur de coffre-fort matériel entre ensuite dans la salle des coffres et ouvre le deuxième coffre-fort, qui contient un module de sécurité matériel (HSM) inviolable. Le HSM est un dispositif informatique physique spécifiquement conçu pour fonctionner avec du matériel cryptographique sensible. Vous pouvez le considérer comme un coffre-fort numérique pour la clé de signature de zone racine. Pour y accéder, trois cartes d'opérateurs sont nécessaires ; celles-ci sont récupérées dans le coffre-fort des accréditations.

diagramme du coffre-fort matériel

Le HSM ne peut pas être utilisé sans une interface externe, le coffre-fort matériel est donc également associé à un ordinateur portable spécial qui peut envoyer des commandes au HSM. Cet ordinateur n'a ni batterie, ni disque dur, ni même batterie de secours pour l'horloge, et ne peut donc stocker aucun état une fois qu'il est débranché. L'objectif est de rendre impossible toute fuite de clé de zone racine du HSM une fois la cérémonie terminée.

Nous avons maintenant le matériel nécessaire pour procéder à la cérémonie de signature de clé de la zone racine. Notez que la présence des 7 participants est requise pour accéder physiquement au matériel de la cérémonie. Là encore, l'idée est de réduire au minimum le risque de conspirateurs malveillants en distinguant l'accès au HSM de l'accès aux cartes d'opérateur qui activent le HSM.

Une clé USB contenant les journaux de chacune des cérémonies précédentes et un DVD utilisé pour amorcer l'ordinateur portable (tous deux dans leur propre sac inviolable) sont également retirés de ce coffre.

Configuration de l'équipement

Nous sommes maintenant prêts pour la cérémonie de signature de clé de la zone racine. L'ensemble du matériel est disposé sur une table, à la vue de tous les participants, ainsi que la caméra utilisée pour vérifier la procédure.

Un par un, chacun des trois agents de cryptographie est appelé à la table et invité à remettre la carte d'opérateur HSM qu'il a sortie de son coffret de sécurité. Avant de le faire, il vérifie que le sac d'inviolabilité est dans le même état que lorsqu'elle a été placée dans le coffre à la fin de la cérémonie précédente. Une fois qu'il l'a remise, seul l'administrateur de la cérémonie est autorisé à toucher la carte.

diagramme de l'installation de l'équipement

L'administrateur de la cérémonie démarre l'ordinateur portable à partir d'un DVD et initialise la clé USB qui enregistre les journaux de la cérémonie. N'oubliez pas que l'ordinateur portable n'a pas de batterie de secours pour l'horloge, ce qui signifie que l'heure doit être réglée manuellement à partir d'une horloge murale spéciale installée dans la salle de cérémonie. L'horloge utilisée est la même depuis la première cérémonie effectuée il y a cinq ans, et elle est complètement isolée du reste du monde. Elle a légèrement dérivé, mais ce n'est pas grave, car elle n'est utilisée qu'à des fins de journalisation.

Cérémonie de signature de clé de la zone racine.

Table de cérémonie, avant la mise en place de l'équipement

Ensuite, l'administrateur de la cérémonie doit activer le HSM en plaçant dans la machine les trois cartes d'opérateur remises par les agents de cryptographie. Ensuite, le HSM est connecté à l'ordinateur portable via un câble Ethernet. L'administrateur de la cérémonie a maintenant accès à la clé de signature de zone racine.

Signature des clés DNS racine

La clé de signature de zone racine est sauvegardée dans deux sites géographiques distincts : El Segundo en Californie et Culpeper en Virginie. Ces deux installations sont sécurisées, et elles renferment des copies redondantes de la clé. La cérémonie se déroule en alternance entre les sites d'El Segundo et de Culpeper.

diagramme de signature des clés DNS de la zone racine

Le système de l'ordinateur portable/du HSM est physiquement isolé (séparé par un vide d'air) de tout réseau informatique potentiellement non sécurisé (par exemple, l'Internet). Le seul moyen de transférer des informations du monde extérieur vers l'ordinateur portable/HSM est la clé USB. En conséquence, la demande de signature de clé est chargée dans l'ordinateur portable via le port USB. Pour attester que la clé signée est la bonne, un hachage PGP de la demande de signature de clé est calculé, et Verisign vérifie qu'il est identique à celui qu'il a fourni.

Enfin, l'administrateur de la cérémonie peut signer la demande de signature de clé (KSR pour Key signature request) avec la clé de signature de clé privée. Il entre « Y » dans une invite de commande, et la partie spectaculaire de la cérémonie est terminée. Il en résulte une collection de signatures numériques, également connue dans les DNSSEC sous le nom d'enregistrement RRSIG, que nous allons étudier dans un moment.

Il convient de noter que la demande de signature de clé (KSR) contient en fait un ensemble de clés de signature de zone qui font l'objet d'une rotation tous les 15-16 jours. L'ensemble contient suffisamment de clés pour tenir jusqu'à la prochaine cérémonie de signature de clé de la zone racine, dans trois mois.

Un public record

Les moindres détails sont enregistrés par des vérificateurs et filmés, ce qui fait de toute la cérémonie une affaire publique. Il s'agit là d'un aspect indispensable si l'ensemble de l'Internet protégé par DNSSEC doit faire confiance aux signatures des serveurs de noms racine.

Cette vidéo est diffusée en direct pendant la cérémonie, et nous avons pu suivre le nombre de personnes qui regardaient la cérémonie en temps réel. Nous avons eu un nombre record de téléspectateurs cette fois-ci, probablement en raison d'une publicité plus importante que pour les cérémonies précédentes. Nous avons même pu demander à un participant de relayer les questions du public via le chat. Nous étions très heureux de toute cette mobilisation.

journaux

À la fin de la cérémonie, les registres sont imprimés et remis à toutes les personnes présentes dans la salle qui en veulent une copie. Verisign reçoit une copie du jeu de clés signées sur une clé USB et utilisera ces jeux de clés DNSKEY signées dans la zone racine au cours du quatrième trimestre de cette année. Tous les matériaux sont remis dans des sacs inviolables et placés dans leurs coffres respectifs.

Voyons ces clés signées !

La clé de signature de zone racine est sauvegardée dans deux sites géographiques distincts : El Segundo en Californie et Culpeper en Virginie. Ces deux installations sont sécurisées, et elles renferment des copies redondantes de la clé. La cérémonie se déroule en alternance entre les sites d'El Segundo et de Culpeper.

dig . dnskey +dnssec

Cette instruction demande les enregistrements dnskey aux serveurs de noms DNS racine. La partie intéressante de la réponse doit ressembler à ce qui suit :

. 20868 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0= . 20868 IN DNSKEY 256 3 8 AwEAAa67bQck1JjopOOFc+iMISFcp/osWrEst2wbKbuQSUWu77QC9UHL ipiHgWN7JlqVAEjKITZz49hhkLmOpmLK55pTq+RD2kwoyNWk9cvpc+tS nIxT7i93O+3oVeLYjMWrkDAz7K45rObbHDuSBwYZKrcSIUCZnCpNMUtn PFl/04cb . 20868 IN RRSIG DNSKEY 8 0 172800 20150913235959 20150830000000 19036 . QKU/YSUHNXa0coshORV2r8o0PWZ43dn/u1ml4DglqLXTi2WJh+OyMFgi w4Xc7cF4T8Eab5TLbwqDHOrE87fmvcdSgQQOVwYN6jwStHAliuEICs6X rd+sqanyyMpaynLI630k5PuuQVOWxHn/Hyn4yFN5MJoQG9Pz+gn8FjCB oNGs0vu1TQm2m6DSGfjRTd7tRIchXAbOUvEVVnDWaTNPX3c35xqoHlUZ Ta00N9FvKqEwZDjdR1e0BCaDLL/Pk+CRygzOyfSKiuULzKEecsp3jPYY nXfKZmTuMuaQNRmcyJD+WSFwi5XyRgqrnxWUYmFcum4zw1NXdyp0mlGO slQ6NQ==

Le premier enregistrement correspond à l'équivalent public de la clé privée de signature du HSM, le deuxième est la clé de signature de zone fournie par Verisign et le troisième enregistrement RRSIG est celui que nous avons créé lors de la cérémonie de signature de clé de la zone racine. Sans cette dernière, le système DNSSEC mondial ne fonctionnerait pas.

Résumé

La cérémonie de signature de clé de la zone racine fait des serveurs de noms DNS racine une ancre de confiance. Au lieu de partir d'une confiance dérivée d'une zone parentale, la confiance est supposée. Toute cette cérémonie est conçue pour renforcer cette confiance. Il s'agit d'un aspect très humain de la sécurisation de l'Internet : la raison pour laquelle vous pouvez faire confiance aux serveurs DNS racine tient à la confiance que vous avez dans les personnes qui les signent. Et si vous pouvez faire confiance aux personnes qui le signent, c'est parce que les protocoles qu'elles suivent pour le faire sont très stricts. C'est pour cela qu'existe la cérémonie de signature de clé de la zone racine.

La solution Cloudflare est facile à configurer



Configurez un domaine en moins de 5 minutes. Conservez votre fournisseur d'hébergement. Aucune modification du code n'est requise.


Des millions de propriétés Internet nous font confiance