En plus des six langues des Nations Unies, ce contenu est aussi disponible en
La Société pour l'attribution des noms de domaine et des numéros sur Internet (ICANN) a annoncé aujourd'hui le projet de remplacement du module matériel de sécurité pour la clé de signature de clé de la racine. Voici un aperçu du projet et des informations utiles.
Aperçu
Dans le cadre de sa mission de gestion sécurisée de la clé de signature de clé de la racine (KSK), l'ICANN se sert de dispositifs spécialisés, connus sous le nom de modules matériels de sécurité (HSM). Ces HSM stockent les clés cryptographiques privées pour la KSK de la zone racine et sont alimentés par des batteries qui ont une durée de vie limitée. Même si les batteries sont actuellement en bon état et ont une durée de vie prévue de 10 ans, la garantie du constructeur ne couvre que leurs cinq premières années de fonctionnement. Par souci de prudence, l'ICANN envisage de remplacer les unités existantes au cours de l'année 2015, après cinq années de service.
Contexte
Les extensions de sécurité du système des noms de domaine (DNSSEC) permettent aux logiciels de vérifier que les données du système des noms de domaine (DNS) n'ont pas été modifiées au cours de leur transit sur Internet. Pour ce faire, une cryptographie à clé publique est introduite au niveau de la hiérarchie du DNS afin de créer une chaîne de confiance à partir de la zone racine.
Conformément à son rôle d'opérateur des fonctions IANA, l'ICANN est l'opérateur de la clé de signature de clé de la zone racine et à ce titre s'occupe d'assurer la génération et le stockage sécurisé de la KSK de la zone racine. L'ICANN utilise des HSM pour stocker la KSK. Les HSM sont des cryptoprocesseurs sécurisés, utilisés pour gérer les clés cryptographiques et mettre en place des opérations cryptographiques tout en assurant la protection physique des clés privées grâce à des mécanismes anti intrusion. L'ICANN possède deux exemplaires identiques de HSM dans chaque structure de gestion de clés (KMF) - un site sur la côte orientale des États-Unis et un autre sur la côte occidentale. En cas de panne d'un HSM ou d'une KMF, le deuxième dispositif ou la deuxième structure se tiennent prêts à en prendre le relais. Outre ces options, d'autres procédures détaillées de secours sont documentées dans le Plan de reprise et continuité des opérations KSK suite à une catastrophe.
Contrairement à de nombreux dispositifs électroniques, la batterie d'un HSM se trouve généralement à l'intérieur de l'unité et ne peut pas être remplacée individuellement. Les batteries de ces HSM ont une durée de vie prévue de 10 ans à partir de leur date de fabrication mais la garantie du constructeur ne couvre que les cinq premières années de fonctionnement à partir de leur première utilisation.
Processus de remplacement
Les HSM actuellement en service ont commencé à fonctionner en 2010. Étant donné que la date d'expiration de la garantie approche, par souci de prudence vis à vis de la durée de vie attendue de la batterie, l'ICANN prévoit la mise en service de nouveaux HSM pendant l'année 2015. Le contenu des HSM existants sera basculé aux nouveaux HSM, qui peuvent assurer les mêmes fonctions que les dispositifs actuellement en service. Le processus sera mis en place à l'occasion des cérémonies trimestrielles de signature de clés qui ont lieu aux KMF. La procédure de mise en service des nouveaux HSM sera incluse dans le scénario des cérémonies de signature de clé programmées pour l'année 2015.
L'ICANN envisage de multiplier par deux le nombre existant de HSM en ajoutant quatre nouveaux HSM qui seront mis en service parallèlement aux HSM existants pendant une période de transition afin de sécuriser et assurer la disponibilité des opérations KSK.
Une fois que les parties concernées auront vérifié que les nouveaux HSM fonctionnent correctement et que la continuité des opérations KSK ne risque pas d'être compromise, une méthode sécurisée de démantèlement et destruction des modules existants sera mise en place, conformément aux spécifications en vigueur dans l'industrie.
Principaux risques
Les risques ci-dessous représentent les principaux risques identifiés et les mesures d'atténuation à mettre en place.
Risque : les quatre HSM en service cessent d'assurer des fonctions cryptographiques en raison d'une panne de batterie qui affecte la continuité des opérations.
Atténuation : il existe à l'heure actuelle quatre HSM identiques, auxquels il faut ajouter des dispositifs de secours qui peuvent être mis en service dans le cadre du processus de reprise des opérations suite à des catastrophes. Le risque de défaillance de la batterie d'un seul HSM peut être facilement atténué grâce à la redondance assurée par les trois autres HSM. La durée de vie prévue pour les batteries est de 10 ans ; les batteries de chaque unité sont à l'heure actuelle en bonnes conditions. Or, la date de fabrication des dispositifs étant similaire, il est possible que les batteries de tous les HSM puissent tomber en panne en même temps. Pour assurer la continuité des opérations et atténuer le risque d'arrêt simultané de tous les HSM, nous considérons qu'il est prudent de remplacer les HSM en 2015 et d'utiliser des HSM avec des batteries ayant des numéros de lots et des dates de mise en fonctionnement différents.
Risque : les nouveaux HSM ne fonctionnent pas correctement lors de leur première mise en service.
Atténuation : dans le cadre de l'installation des nouveaux HSM, des essais d'acceptation seront mis en place pour vérifier le fonctionnement des unités avant les cérémonies où ils seront mis en service. Pendant un certain temps après la mise en service des nouveaux HSM, les anciens HSM seront gardés dans les structures sécurisées afin que l'on puisse y avoir recours en tant que mécanisme de remédiation en cas de panne d'un nouveau HSM.
Risque : tous les nouveaux HSM partagent un même défaut.
Atténuation : si les quatre HSM sont issus d'un même lot de fabrication, il est envisageable qu'ils puissent partager des défauts communs (tels que des batteries défectueuses) susceptibles de compromettre la redondance en place. Pour atténuer ce risque, l'ICANN s'est assuré auprès du constructeur que les unités HSM correspondent à des modèles avec des dates de fabrication différentes et avec des batteries appartenant à différents lots de fabrication.
Questions et réponses
Q1. Pourquoi faut-il remplacer les HSM au lieu de remplacer uniquement les batteries ?
R1. Il est possible de remplacer les batteries des HSM mais pour le faire il faut que l'unité soit expédiée chez le constructeur. Pour s'assurer que le matériel de clé cryptographique ne quitte pas les structures sécurisées de gestion de clés, l'ICANN remplacera les HSM au lieu de les remettre en état.
Q2. Comment ce projet prend-il en compte un éventuel roulement de la KSK de la racine ?
R2. Ce projet est différent de celui prévu pour remplacer la KSK actuelle de la racine (processus dit aussi de « roulement de la clé KSK »). Les aspects des HSM ayant trait au roulement de la KSK seront examinés par l'équipe de conception du roulement de la KSK de la racine.
La séparation entre le projet de remplacement des HSM et le projet de roulement de la KSK de la racine est destinée à permettre à l'équipe de conception du roulement de développer complètement son approche sans faire l'objet de pressions opérationnelles liées au remplacement des HSM.
Q3. Quels critères a-t-on retenu pour choisir les HSM de remplacement ?
R3. L'ICANN a choisi le modèle HSM le plus récent, dit AEP Keyper Plus, du même constructeur qui a fabriqué les HSM actuellement en service. Ce modèle a obtenu la certification de sécurité FIPS 140-2 de niveau 4, qui est une des exigences établies dans le contrat des fonctions IANA pour la KSK de la racine. Ce modèle permet également d'importer des données KSK à partir de modèles plus anciens sans qu'il y ait besoin de recréer la KSK de la racine. Le nouveau modèle de HSM a été préféré à celui actuellement en service parce que la garantie du fabriquant couvre une durée de vie plus longue.
Q4. Combien de représentants de confiance de la communauté sont nécessaires pour remplacer les HSM ?
R4. L'ICANN a déterminé qu'au moins trois représentants de confiance de la communauté sont nécessaires pour exporter la KSK de la racine des dispositifs actuellement en service aux nouveaux dispositifs. Ce processus ne nécessite pas la création d'un nouvel ensemble de cartes SO et OP si bien qu'il n'est pas nécessaire que toute l'équipe d'officiers cryptographiques soit présente. Les codes d'authentification actuels des détenteurs des clés de reprise fonctionneront toujours avec les nouveaux HSM.
À PROPOS DE l'ICANN
La mission d'ICANN est de garantir un Internet mondial sûr, stable et unifié. Pour contacter une personne sur Internet, vous devez saisir une adresse sur votre ordinateur : un nom ou un numéro. Cette adresse doit être unique pour permettre aux ordinateurs de s'identifier entre eux. L'ICANN coordonne ces identificateurs uniques à l'échelle mondiale. Sans cette coordination, nous n'aurions pas le réseau Internet mondial unique que nous connaissons. L'ICANN a été fondée en 1998. Il s'agit d'une organisation à but non lucratif et reconnue d'utilité publique, rassemblant des participants du monde entier qui œuvrent à la préservation de la sécurité, la stabilité et l'interopérabilité de l'Internet. Elle encourage la concurrence et développe des politiques d'identifiants Internet uniques. L'ICANN ne contrôle pas le contenu publié sur Internet. Elle ne peut mettre fin au spam et ne gère aucunement l'accès à Internet. Mais de par le rôle de coordination qu'elle joue au sein du système d'affectation de noms d'Internet, elle exerce une influence non négligeable sur le développement et l'évolution de l'Internet. Pour en savoir plus, visitez le site : www.icann.org.