On Wed, Oct 12, 2011 at 07:33:01PM -0700, Michel Py <mic...@arneill-py.sacramento.ca.us> wrote a message of 38 lines which said:
> 1. Question d'ignorant à propos de DNSSEC (DNS n'ayant jamais été > quelque chose que je connais bien). > > Est-ce que DNSSEC apporte une valeur ajoutée dans le domaine de la > "sécurité par la complexité"? En d'autres termes: DNSSEC va me > stopper parce que je n'y connais rien, mais est-ce que ça va stopper > le quidam qui y connait quelque chose. Oui, cela va le stopper. DNSSEC repose sur la cryptographie et la cryptographie permet de fournir ce genre de services. Casser RSA-1024bits est l'une des choses qu'on peut qualifier d'impossible. Évidemment, comme avec tout système de sécurité (ou comme avec les Trois Lois de la Robotique), un malin peut toujours trouver une faille (une bogue dans une implémentation, par exemple). Et DNSSEC ne protège pas contre les attaques GIGO (Garbage In, Garbage Out : si les données envoyées au registre sont celles du pirate, car le mot de passe du client auprès du Bureau d'Enregistrement était simplement "ilovestevejobs", le registre va signer des données erronées). > Est-ce que RPKI apporte une valeur ajoutée dans le domaine de la > "sécurité par la complexité" ? C'est difficile à dire pour l'instant. Il faut un peu prendre le problème en sens inverse : que fait-on contre les détournements BGP ? Répondre : « rien » n'est pas acceptable. Répondre : « une combinaison de filtres à partir des IRR et de vigilance constante » l'est déjà plus. Il faut donc comparer RPKI non pas avec l'inaction mais avec les autres solutions de sécurité. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
