Académique Documents
Professionnel Documents
Culture Documents
Dnssec Deployment Experiences FR PDF
Dnssec Deployment Experiences FR PDF
de
divers
dploiement
de
DNSSEC
Leons
apprises
Apprendre
des
erreurs
des
autres
Surveiller,
surveiller,
surveiller
Planier
Documenter
et
publier
Analyses
de
risques
Apprendre
des
Autorits
de
CerAcaAon
ObjecAfs
Fiable
De
conance
Rentable(pour
vous
)
Rentabilit
Rentabilit
Analyse
de
risques
Analyse
rapport
cot-bnce
Impacts
sur
les
aaires
et
moAvaAon
(du
rapport
ENISA
The
Costs
of
DNSSEC
Deployment)
Devenir
une
source
able
de
conance
et
booster
la
part
de
marche
et/ou
la
rputaAon
des
zones;
Mener
par
lexemple
et
sAmuler
les
autres
parAes
dans
la
chaine
adopter
DNSSEC;
Gagner
la
reconnaissance
dans
la
communaut
DNS
et
partager
lexprience
avec
les
TLDs
et
autres
;
Fournir
lassurance
aux
uAlisateurs
que
les
services
de
noms
de
domaine
sont
ables
et
de
conance;
Envisager
une
adopAon
plus
leve
quand
le
revenu
sera
une
grande
moAvaAon.
Dployer
DNSSEC
peut
tre
protable;
Analyse
de
risques
IdenAer
vos
risques
RputaAon
CompAAon
Perte
de
contrats
Lgal
/
Financier
Qui
sont
les
uAlisateurs
qui
nous
font
conance?
SLA
Poursuite
judiciaire
De
conance
Conance
Transparent
Securiser
Transparence
Transparence
Le
pouvoir
de
la
vrit
La
transparence
fait
o^er
tous
les
bateaux
ici
Root
DPS
DocumentaAon
-
.SE
22
pages,
CreaAve
Commons
License!
.SE
DPS
Faites
ce
que
vous
dites
Suivre
les
procdures
documentes
Maintenir
les
logs,
enregistrements
et
rapports
de
chaque
acAon,
ainsi
que
des
incidents.
OperaAons
criAques
pendant
les
crmonies
de
cls.
Vido
Log
Tmoins
Crmonies
de
cls
Un
processus
lm
et
audit,
soigneusement
orchestr
pour
une
transparence
maximale
pendant
que
des
cls
de
cryptographie
sont
gnres
ou
uAlises.
Prouvez
le
Audits
Externe
$$
ISO
27000
$$
..
Interne
Prouvez
le
-
Matriel
daudit
Scripts
des
crmonies
de
cls.
Logs
des
contrles
d'accs
InstallaAons,
salles,
Log
des
core-fort
Vido
Inventaire
annuel
Rapports
dincident
Prouvez
le
ImplicaAon
des
parAes
prenantes
Publier
les
rapports
et
matriels
de
travail
jour
ParAcipaAon,
i.e.
tmoins
extrieurs
de
La
communaut
Internet
locale
Du
gouvernement
Ecoutez
les
Feedbacks
Prouvez
le
Soyez
responsable
ImplicaAon
du
niveau
dcisionnel
Dans
la
gesAon
des
poliAques
ParAcipaAon
dans
les
crmonies
de
cls.
Scurit
Construire
la
scurit
Logique
Contrle
MulA-ParAes
SparaAon
des
rles
i.e.,
Security
Ocer
et
System
Admin
et
Safe
Controller
M-de-N
Au
niveau
des
quipements
(HSM)
Procdures:
division
des
PIN
Boulonner:
Division
des
cls
(Shamir,
i.e.
ssss.c)
Crypto
Algorithmes
/
Longueur
des
cls
Matriel
de
Cryptographie
Crypto-Algorithmes/Longueur
des
cls
Facteurs
de
slecAon
Cryptanalyse
RgulaAons
Limites
Rseaux
Crypto
Longueur
de
cl
Cryptanalysis
from
NIST:
2048
bit
RSA
SHA256
http://csrc.nist.gov/publications/nistpubs/800-57/sp800-57_PART3_key-
management_Dec2009.pdf
Crypto
-
Algorithmes
La
rgulaAon
locale
peut
dterminer
lalgorithme
GOST
DSA
Les
limites
du
rseau
FragmentaAon:
une
cl
plus
courte
est
meilleure
ZSK
peut
tre
plus
courte,
puisque
renouvele
plus
souvent
ECC
est
idal
Mais
pas
encore
trs
populaire
Crypto
-
Algorithmes
NSEC3
si
ncessaire
Protge
contre
la
diusion
des
zones
Eviter
si
pas
ncessaire
Ajoute
de
la
complexit
pour
les
peAtes
zones
Accord
de
non
diusion?
RgulaAon
?
UAle
pour
les
grandes
zones
sans
beaucoup
de
dlgaAons
signes
(opt-out).
Crypto
-
Materiel
SaAsfaire
vos
parAes
prenantes
Pas
besoin
de
cerAcaAon
pour
tre
scuris
(i.e.,
o-line
PC)
Peut
uAliser
les
procdures
transparentes
pour
construire
la
conance
Mais
beaucoup
de
registres
uAlisent
ou
pensent
uAliser
HSM.
Peut
tre
CYA?
Au
moins
une
bonne
source
de
nombres
alatoires
(RNG)!
UAliser
des
standards
classiques
vite
la
dpendante
constructeur
Note:
renouvellement
de
KSK
peut
se
faire
~10
ans.
Penser
au
backup
des
cls
Crypto
-
Hardware
Security
Module
(HSM)
FIPS
140-2
Level
3
Sun
SCA6000
(~30000
RSA
1024/sec)
~$10000
(was
$1000!!)
Thales/Ncipher
nshield
(~500
RSA
1024/sec)
~$15000
UlAmaco
FIPS
140-2
Level
4
AEP
Keyper
(~1200
RSA
1024/sec)
~$15000
IBM
4765
(~1000
RSA
1024/sec)
~$9000
Reconnu
par
les
autorits
naAonales
de
cerAcaAon
Kryptus
(Brazil)
~
$2500
Etude:
h^p://www.opendnssec.org/wp-content/uploads/2011/01/A-Review-of-
Hardware-Security-Modules-Fall-2010.pdf
Crypto
-
PKCS11
Interface
commune
pour
HSM
and
smartcards
C_Sign()
C_GeneratePair()
Evite
la
dpendance
constructeur
Les
constructeurs
fournissent
les
pilotes
(Linux,
Windows)
et
parfois
open
source
Crypto
-
Smartcards
/
Tokens
Smartcards
(PKI)
(card
reader
~$12)
AthenaSC
IDProtect
~$30
FeiAan
~$5-10
Aventra
~$11
TPM
Built
into
many
PCs
Token
Aladdin/SafeNet
USB
e-Token
~$50
Open
source
PKCS11
Drivers
available
OpenSC
Has
RNG
Lent
~0.5-10
1024
RSA
signatures
per
second
Crypto
Gnrateurs
de
nombres
alatoires
X rand()
X Netscape:
Date+PIDs
LavaRand
? System
Entropy
into
/dev/random
(FBSD=dbrg
+entropy/Linux=entropy?)
H/W,
Quantum
Mechanical
(laser)
$
Standards
based
(FIPS,
NIST
800-90
DRBG)
Built
into
CPU
chips
Crypto
-
FIPS
140-2
Level
4
HSM
Root,
.FR,
.CA
Crypto
FIPS
Level
3
HSM
FIPS
140-2
Level
3
est
aussi
trs
uAlis
Beaucoup
de
TLDs
uAlisent
level3
.com
,
.se,
.uk,
.com,
etc
$10K-$40K
Une
implmentaAon
peut
tre
comme..
Scurit
physique
h^p://www.ickr.com/photos/kjd/sets/72157624302045698/
ou
comme
+
..ou
comme
(.cr)
Transport KSK
signed unsigned
Sign ZSKs DNSKEY zone Sign zones
with KSK RRsets with ZSK
Offline Laptop Online/off-net
with TPM signed
DNSSEC
zone
Signer with
TPM
KSK
Transport ZSKs
Generate public half of
KSK ZSKs Generate
Secure Off- ZSKs
line
Environment
Animated slide
ou
mme
comme
Off-line
DATA CENTER Off-net
CAGE DATA CENTER
RACK CAGE
SAFE RACK
FD
All in tamper
with
evident bags public zonefile ZSKs
KSK on FD ZSKs