PICSI

Dans cette première approche de sécurit\' e des serveurs, on utilise un secret partagé entre deux serveurs de noms en communication. Le secret partagé permet de chiffrer une emprunte de chaque message échangé. Les serveurs de noms qui connaissent le secret peuvent vérifier l'authenticité des messages en déchiffrant les empruntes transmises avec les messages. La gén\' eration de chaque emprunte se fait à l'aide d'une fonction de hashage md5. Deux réserves peuvent être émises pour le protocole TSIG. Au sujet de md5, des collisions ont été mise en évidence en février 2005 par des chercheurs chinois [ref 1] qui avaient également trouvé des collision sur les algorithmes MD4, MD5, HAVAL-128, et RIPEMD. Utiliser des clé secrêtes nécessiterait une gestion quasiment impossible des clés distribuées. Pour n serveurs de noms sur Internet, il faudra être capable de distribuer en ensemble de n² clés secrètes pour qu'ils puissent dialoguer deux à deux. Si l'on avait un million de serveurs de nom, il est évident que la notion de secret perdrait tout son sens. Le manque de fiabilité de cette première tentative de sécurisation des serveurs de noms par TSIG a conduit à l'élaboration du standard DNSSEC.

Le projet DNSSEC [ref1] repose sur l'utilisation de la cryptologie à clé publique [ref 1] pour sécuriser les enregistrements et les transactions entre les serveurs de noms. Chaque serveur de noms possède une clé publique et une clé priv\' ee. Pour un serveur de nom appartenant à un domaine donné, l'autorit\' e de certification est celui du niveau supérieur. Par exemple, la clé publique du serveur de noms ayant autorit\' e sur le domaine unlim, aura une clé publique signée par l'autorité du domaine fr. Chaque serveurs de nom dans ce nouveau standard signe tous les enregistrements de sa zone à l'aide de sa clé privée. Un enregistrement spécifique est créé pour stocker la clé publique qui est transmise aux autres serveurs de noms pour la vérification des signatures. Les enregistrements peuvent être signés individuellement ou par groupe. On peut par exemple signer l'ensembles des enregistrements d'une zone faisant référence à d'autres serveurs de nom, l'ensemble des enregistrements faisant référence à des serveurs de messagerie électronique, etc.

Le nouveau standard DNSSEC introduit au sein du protocole de communication des serveurs de noms un ralentissement supplémentaire à cause de la temporisation induite par la génération et la vérification des signatures de zone. Il augmente également la taille des enregistrements du fait du stockage des signatures. On estime à environ [ref1] une heure, le temps de signature d'une zone de 300 MB et à 8 ou 9 fois le foisonnement des données à gérer pour un serveur de noms conforme à ce standard par rapport à un serveur de noms de première génération. L'utilisation des technologies à base de courbes elliptiques [ref 2] pourraient améliorer ces performances.