fr

Une cérémonie de signature de clé malgré le COVID-19

21 avril 2020

Kim DaviesKim Davies, VP, IANA Services and President, PTI

Quatre fois dans l'année, l'ICANN rassemble des experts du monde entier pour tenir une « cérémonie de signature de clé » : un événement opérationnel fondamental pour sécuriser le système des noms de domaine. Dans le contexte de la pandémie de COVID-19 et des mesures de confinement et d'interdiction de voyager en place, l'équipe IANA s'est attachée à étudier des moyens de poursuivre ces opérations. Cette semaine, notre planification aboutira à une cérémonie de signature de clé unique, qui a été modifiée pour s'adapter aux circonstances actuelles.

Les cérémonies de signature de clé sont des événements opérationnels spéciaux où nous utilisons les clés cryptographiques qui servent à sécuriser la zone racine du DNS. Pendant ces cérémonies, nous retirons la clé de signature de clé de la zone racine (KSK) – une sorte de clé maîtresse qui protège le DNS – de ses protections de sécurité et générons trois mois de signatures cryptographiques qui seront utilisées pour la signature quotidienne de la zone racine. Le système prévoit la participation d'un groupe diversifié d'experts en sécurité de la communauté, que nous appelons les représentants de confiance de la communauté, qui ont le droit d'accéder à la KSK. Ces membres de la communauté sont répartis à travers le monde afin de minimiser des risques. La cérémonie est le seul moment où ces personnes se retrouvent ensemble dans un même endroit.

La planification d'une cérémonie de signature de clé commence six mois avant. En février, nous nous sommes rendu compte que le COVID-19 pourrait avoir un impact sur la cérémonie programmée pour le mois d'avril. Lorsque l'organisation ICANN a évalué les risques pour des événements tels que l'ICANN67, il est devenu évident que le fait de devoir faire venir des personnes des quatre coins du monde allait devenir une contrainte pour la tenue de la cérémonie. La distribution des rôles parmi des personnes situées dans différents endroits du monde a pour but de minimiser le risque total des opérations en temps normal. Or, dans le cadre de l'épidémie de COVID-19, cela entraîne d'importantes difficultés pour organiser une cérémonie normale.

Plusieurs aspects du déroulement de la cérémonie ont été évalués. Pourrions-nous tenir la cérémonie ailleurs ? Pourrions-nous arranger les déplacements de sorte à minimiser le risque pour les voyageurs ? Pourrions-nous reporter la cérémonie en attendant un retour à la normale? Nous avons considéré différents scénarios et testé nos idées dans plusieurs forums de la communauté avec les participants aux cérémonies, le personnel de l'organisation ICANN et nos fournisseurs.

Finalement, avec l'approbation du Conseil d'administration de l'ICANN, nous allons mettre en place une cérémonie modifiée de sorte à minimiser le besoin d'une participation en personne. Grâce à cette approche, les représentants de confiance de la communauté ne seront pas présents physiquement. Leurs tâches seront réalisées à distance, tout comme d'autres tâches qui sont traditionnellement effectuées de manière présentielle. Au total, il n'y aura que sept personnes présentes physiquement dans nos locaux sécurisés pour tenir la cérémonie. Ces personnes prendront toutes les précautions nécessaires pour minimiser les risques d'infection. Toutes les autres tâches seront effectuées à distance.

Les éléments sécurisés utilisés pendant la cérémonie qui sont détenus par les représentants de confiance de la communauté ont été transférés de manière indépendante à des membres de l'organisation ICANN qui se trouvent dans la région de Los Angeles pour être conservés en lieu sûr. Nous tiendrons la cérémonie de manière complètement transparente à l'aide de la diffusion en streaming, et les représentants de confiance de la communauté seront activement impliqués dans les procédures via la participation à distance.

Un autre changement important que nous introduisons est la génération de neuf mois de signatures, au lieu des trois mois habituels. Ce faisant, nous n'aurons pas besoin de tenir une autre cérémonie de clé pendant l'année 2020. Les signatures supplémentaires nous donneront un peu de répit avant le retour à notre démarche normale en 2021.

Nous sommes persuadés que l'approche que nous avons retenue comporte toutes les protections nécessaires pour garantir la sécurité de la KSK et toutes les adaptations nécessaires pour garantir que les opérations fondamentales de l'Internet sur lesquelles nous nous appuyons ne soient pas affectées. Bien qu'il soit regrettable de devoir procéder à ces changements, la sécurité des membres de notre communauté et de notre personnel est notre priorité. Nous devons tenir la cérémonie suivant ce nouveau format pour préserver le bien-être de tous.

Le jeudi 23 avril à 17h00 UTC nous tiendrons cette nouvelle cérémonie modifiée de signature de clé. Elle sera diffusée en ligne et tout le monde est invité à y participer en tant qu'observateur. La diffusion en direct, le scénario et d'autres documents seront disponibles sur https://www.iana.org/dnssec/ceremonies/41.

Si vous souhaitez en savoir plus, nous avons récemment fait une présentation à la communauté RIPE, où nous avons parlé des principales difficultés auxquelles nous sommes confrontés. Un enregistrement de la présentation et les diapos associées sont disponibles sur https://www.ripe.net/participate/ripe/wg/dns/remote-sessions.

Kim Davies
Kim Davies
VP, IANA Services and President, PTI

Kim Davies

Read biographyRead biography