[TC3] TD5 - CSC

# [TC3] TD5 - CSC ###### tags: `CSC`, `S2`, `TC3` ## Introchon dindes ![](https://i.imgur.com/kM8OUzL.jpg) # DANE ## Un peu de DNS 1. *Qui héberge le contenu de la zone `.fr` ?* AFNIC, un registry de DNS. 2. *Qui vend le service d'enregistrer un `.fr` ?* Un registrar, comme OVH, Ionos... 3. *Quelle chaîne commerciale/interactions d'un possesseur de nom de domaine à un registry ?* Le possesseur du nom de domaine qui interagit avec le registrar qui lui est en lien avec des registry. 4. *Pour résoudre `www.insa-lyon.fr`, quels acteurs sont impliqués ?* La racine envoie l'adresse du DNS de `.fr` qui lui envoie l'adresse du serveur de `www.insa-lyon.fr`. ## Un peu de DNSSEC (principe simplifié) DNSSEC dispose d’une paire de clés racine, responsable de signer la zone racine `.`. Chaque niveau de hiérarchie (TLD, domaine, etc.) possède ensuite sa propre paire de clés (donc Pub~fr.~/Priv~fr.~, Pub~insa-lyon.fr.~/Priv~insa-lyon.fr.~, etc.), signée par la zone supérieure et utilisée pour signer la zone courante et les clés des zones descendantes directes. 1. *Proposez un schéma clés/signatures allant jusqu'à la zone `insa-lyon.fr` contenant notamment une entrée pour `www`* On a 3 paires de clés : + Pub~.~/Priv~.~ qui appartient à l'**ICANN** + Pub~fr.~/Priv~fr.~ qui appartient à l'**AFNIC** + Pub~insa-lyon.fr.~/Priv~insa-lyon.fr.~ qui appartient à l'**INSA** 2. *La modification d'une zone demande-t-elle du travail supplémentaire aux zones supérieures ?* Non, tout est cloisonné, la modification de l'IP de `www.insa-lyon.fr` demande juste à être re-signée par la clé de insa-lyon.fr. Besoin d'au-dessus uniquement pour changer la clé de insa-lyon.fr ## Mise en œuvre 1. *Comment intégrer un enregistrement contenant une clé publique à la zone ?* En rajoutant un champs TLSA à l'enregistrement DNS 2. *Comment cet enregistrement est-il signé ?* Avec la clé privée de la zone. 3. *Quelle est sa chaîne de confiance associée ?* + Zone + TLD + root DNS ## Risques 1. *Quel impact si un attaquant obtient ma clé privée de zone (`insa-lyon.fr`) ?* La zone est compromise pour tout le monde. 2. *Quel impact si ma zone parente est maveillante ou compromise (`.fr`) ?* Ma zone est compromise aussi ainsi que tous les `.fr` 3. *Quel impact si une zone DNS non liée (par exemple `.tv` dans notre cas) est compromise ?* Pas de problème pour ma zone, car les clés privées de `.tv` et `.fr` sont différentes. ## Gestion de la révocation 1. *En cas de vol de la clé privée du serveur web, comment révoquer son certificat ? Sous quel délai cela sera-t-il effectif ? Qui est impacté par la vérification de cette mise à jour ?* On resigne avec une nouvelle clé, celà prends le temps de propagation du DNS. 2. *En cas de vol de la clé privée de la zone, comment la révoquer ? Sous quel délai cela sera-t-il effectif ? Quel est le coût associé ?* Compromission donc révocation par la zone parente, prends le temps du délai de propagation. 3. *En cas de vol de la clé privée racine, comment réagir ?* Là, on a un gros problème, c'est l'ancre de confiance. De manière similaire à une CA compromise, il faut déployer une nouvelle clé chez les clients et donc mise à jour software des clients DNS pour intégrer une autre clé racine. # PGP