Prochains défis Internet

Cet atelier fut organisé sous la forme d'une présentation-discussion (voir ActiviteProchainsDefisInternet). Merci à CDI SA pour la mise à disposition des locaux!

NEW IPv6 World Test Day (testez votre compatibilité!)

Introduction

Nous traitons de thèmes techniques (DNSSEC et IPv6), mais n'y a-t-il pas d'autres thèmes non techniques ?

DNSSEC

Nous commençons par un rappel de cryptographie à clé publique (révélée, asymétrique):
  • on chiffre en général un message avec la clé publique (que tout le monde connaît), et on déchiffre avec la clé privée (ou secrète)
  • cependant, si l'on chiffre un message connu avec sa clé secrète, tout le monde pourra déchiffrer (et comparer le message connu) avec ma clé publique, et donc s'assurer, dans la mesure où ma clé publique est associée à mon identité de manière sûre, que c'est bien moi qui a chiffré le message: signature électronique!
  • le problème est justement d'associer les identités aux clés publiques et de les diffuser: PKI (Public Key Infrastructure).
    • p.ex. réseau de confiance GPG
    • p.ex. émissions de certificats X.509 (SSL) par une autorité de certification (CA)

Le DNSSEC implémente la signature des informations d'une zone DNS par une clé secrète, et la vérification à l'aide de la clé publique publiée dans la même zone. De manière à garantir la validité, cette clé publique (ou un résumé de celle-ci) est signée par l'autorité qui gère les domaines, elle-même signée par la clé racine ("." dans le DNS). On insère donc au moins la clé racine dans tout serveur devant valider les informations.

Références

Etat actuel
  • les serveurs racines sont signés (depuis le 5 mai 2010)
  • la plupart des TLDs sont signés (y compris ch., avec une interface facilité via nic.ch)
  • peu de domaines sont signés; peu de resolvers vérifient les signatures

Impacts
  • les zones deviennent plus grandes, une simple requête "quelle est l'adresse de www.alphanet.ch" peut générer une réponse beaucoup plus grande.
  • le DNS standard ne supporte pas des réponses plus grandes que 500 octets en UDP (on doit alors réessayer en TCP)
  • en conséquence
    • les firewalls mal configurés pourraient rendre impossible l'accès à des domaines signés (pour les caches DNS situés derrière ces firewalls utilisant directement les serveurs racines (root, "."), le problème aurait déjà pu apparaître le 5 mai 2010).
    • la charge des serveurs DNS pourrait augmenter, en particulier s'ils ne supportent pas l'extension EDNS (qui permet des réponses UDP dépassant 500 octets et devraient limiter le besoin de TCP aux très grandes réponses)

Prochain "milestone"
  • google, facebook et d'autres vont mettre à disposition leur domaine signé, à titre de test de compatibilité le ?? quand ? (stéphane?)

IPv6

Motivation: bientôt plus de blocs d'adresses disponibles pour RIPE et consors! De plus, cela semble bouger enfin.

Problèmes: pas d'argument marketing "end-user", peu d'offres natives en Suisse, vu comme un coût supplémentaire sans valeur ajoutée, surtout pour les régions "repues" en adresses IP (Etats-Unis, Europe).

Voir la présentation un peu sèche et technique IPv6.

Pour se connecter par tunnel, apprendre à mettre en place de manière graduelle ("certification"), ou se faire peur avec le décompte: http://www.tunnel-broker.net/

-- MarcSCHAEFER - 20 Jan 2011
Topic attachments
I Attachment Action Size Date Who Comment
protocole-ipv6.pdfpdf protocole-ipv6.pdf manage 204.7 K 20 Jan 2011 - 09:15 MarcSCHAEFER Présentation (pas encore idéale) IPv6
Topic revision: r3 - 30 Jan 2011, MarcSCHAEFER
 

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback