#OpenDNS vient d’annoncer la disponibilité de #DNScrypt, leur logiciel de sécurisation du « dernier kilomètre ». Le problème est le suivant : c’est bien joli de sécuriser le résolveur avec #DNSSEC mais ensuite, encore faut-il porter l’information sécurisée jusqu’à la machine de M. Michu (le fameux dernier kilomètre) et, là, il peut encore y avoir des tas d’attaques. Beaucoup de technologies existent sur le papier mais ne sont pas déployées (et parfois même pas normalisées) : IPsec (en pratique un échec), DTLS (le plus récent donc pas encore créé de déceptions), TSIG (clés partagées donc irréaliste si on a beaucoup de clients), SIG(0) (zéro implémentation), etc.
Il n’y a pas encore beaucoup de détails publiés sur la technologie DNScrypt.
►http://blog.opendns.com/2011/12/06/dnscrypt-%E2%80%93-critical-fundamental-and-about-time
►http://www.opendns.com/technology/dnscrypt
Elle utiliserait une variante des forwarders du défunt #DNScurve :
►http://dnscurve.org/out-implement.html
Le code (en #C) est publié, il n’y a plus qu’à l’étudier :
►https://github.com/opendns/dnscrypt-proxy
Contrairement aux délires de l’inventeur de DNScurve (un type connu pour sa malhonnêteté intellectuelle), DNScrypt ne prétend pas remplacer DNSSEC mais le compléter pour le dernier kilomètre. Il est donc bien plus raisonnable et instructif à regarder que ne l’était DNScurve.
Opinions personnelles : pour sécuriser le dernier kilomètre, le mieux est de mettre le résolveur validant sur la machine de M. Michu :
►http://seenthis.net/messages/37836
Autres articles : un tutoriel en français (uniquement mode d’emploi, aucune réflexion sur la sécurité ou la politique) ►http://blog.crifo.org/post/2011/12/16/Securisez-vos-connexions-DNS-avec-DNScrypt et un article d’introduction en français (discussion pas mauvaise dans les commentaires) ►http://korben.info/chiffrer-dns.html