Importance de la rotation automatique des clés DKIM

SendGrid a récemment contacté ses clients au sujet de l'exposition potentielle de leurs données, notamment en ce qui concerne les clés DKIM privées de ses clients. Dans le cadre de sa réponse visant à protéger les données des clients, SendGrid a procédé à une rotation proactive des clés DKIM pour le compte de ses clients lorsque cela était possible et a recommandé aux autres clients de le faire de leur propre chef.

Nous avons pensé que ce serait une bonne occasion de parler de la rotation des clés DKIM, des moyens de l'exécuter et des avantages de l'automatisation du processus.

Importance de la rotation des clés DKIM

Les clés DKIM sont des signatures numériques qui garantissent qu'un courrier électronique n'a pas été altéré lors de son acheminement entre les serveurs. Vous trouverez plus de détails sur le rôle qu'elles jouent dans notre présentation de DKIM.

Les clés DKIM étant publiées, elles peuvent être la cible d'attaques. Comme toutes les méthodes de cryptage, un acteur malveillant peut, s'il dispose de suffisamment de temps et de puissance de traitement informatique, les déjouer. Le remplacement régulier des anciennes clés par des clés plus récentes (appelé "rotation des clés") est un moyen efficace de se défendre contre ce phénomène, car il minimise la période pendant laquelle les attaquants peuvent être en mesure de compromettre une clé privée, ainsi que la durée de validité d'une clé compromise.

La fréquence de rotation des clés DKIM est liée à la longueur de la clé elle-même. Par exemple, les clés de 1024 bits doivent être tournées plus fréquemment que celles de 2048 bits, car les clés de 1024 bits nécessitent moins de puissance de calcul totale pour être vaincues. (Les clés de 2048 bits sont actuellement considérées comme la longueur de clé pratique la plus solide). Le Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) a publié des conseils dans son document DKIM Key Rotation Best Common Practices, dans lequel il recommande de faire tourner les clés tous les six mois.

Le travail de rotation des clés DKIM

Pour faire tourner les clés DKIM, une série d'actions spécifiques doit être effectuée :

1. Une nouvelle clé DKIM doit être créée. Il en résulte une paire de clés privée/publique que l'on appelle "clé DKIM".
2. La partie privée de la clé DKIM doit être installée dans le logiciel qui crée les signatures DKIM, généralement un serveur de messagerie qui envoie le courrier électronique.
3. La partie publique de la clé DKIM doit être publiée dans le DNS du domaine pour lequel les signatures sont créées.
4. Une fois la partie publique publiée, le serveur de messagerie qui envoie le courrier électronique peut commencer à utiliser sa clé privée installée pour créer des signatures DKIM à l'aide de la nouvelle clé DKIM.

Il existe différentes façons de mettre en œuvre les actions ci-dessus. Par exemple, si une clé DKIM est créée par un fournisseur qui a été engagé pour envoyer des courriers électroniques au nom de votre domaine Internet, le fournisseur doit vous demander de placer la partie publique de la clé DKIM dans le DNS de votre domaine. Dans l'autre sens, si vous créez une clé DKIM, vous devez fournir au fournisseur la partie privée de la clé DKIM afin qu'il puisse configurer son logiciel de messagerie pour créer des signatures DKIM.

Plusieurs méthodes ont été mises au point pour minimiser le va-et-vient potentiel nécessaire à la création et à la rotation des clés DKIM. Ces différentes méthodes utilisent les capacités du DNS pour placer la charge technologique de la rotation des clés DKIM à proximité des opérateurs techniques responsables des signatures DKIM.

Méthodes de rotation des clés DKIM

Délégation de sous-domaines
La délégation de sous-domaines est la méthode de rotation des clés la plus simple pour la plupart des propriétaires de domaines. Au lieu de gérer l'infrastructure DKIM, le propriétaire du domaine attribue (ou délègue) le contrôle d'un sous-domaine dédié au fournisseur chargé d'envoyer des e-mails pour le compte du propriétaire du domaine. De cette façon, le propriétaire du domaine laisse au fournisseur tous les mécanismes de gestion de DKIM, y compris la rotation des clés. Le propriétaire du domaine a toujours la possibilité de reprendre le sous-domaine délégué dans le cas où le fournisseur n'est plus autorisé à envoyer des messages pour le compte du propriétaire du domaine.

CNAME
La délégation basée sur les CNAME consiste pour le propriétaire d'un domaine à utiliser des CNAME pour pointer vers des données DKIM gérées par un fournisseur. De cette façon, le propriétaire du domaine peut autoriser un fournisseur à créer des signatures DKIM, et le fournisseur est responsable de la mécanique de la signature DKIM. Si le propriétaire du domaine doit supprimer l'autorisation, il peut supprimer les CNAME, ce qui rompt effectivement le lien entre le fournisseur et le propriétaire du domaine.

L'inconvénient de l'utilisation des CNAME est que plusieurs clés DKIM basées sur les CNAME doivent être configurées avant qu'un fournisseur puisse effectuer une rotation entre elles. Cependant, une fois configuré, le fournisseur peut faire tourner les clés sans avoir à contacter le propriétaire du domaine ou à se synchroniser avec lui.

Manuellement
Les clés DKIM peuvent être tournées en créant manuellement une nouvelle clé DKIM, en configurant un serveur de messagerie avec la partie privée de la clé DKIM, puis en publiant la partie publique de la clé DKIM dans le DNS du propriétaire du domaine. La synchronisation entre les serveurs de messagerie, les clés DKIM et les entrées DNS peut impliquer une grande coordination entre les équipes et les systèmes, ce qui fait de la configuration manuelle la méthode de dernier recours.

Avantages de la rotation automatique des clés DKIM

La rotation manuelle de vos clés DKIM implique l'utilisation d'un outil pour générer les nouvelles clés, puis le copiage et le collage de grandes chaînes dans le logiciel de gestion de domaine, ce qui constitue une occasion de commettre des erreurs. Cette méthode de rotation des clés DKIM n'est pas idéale, car la coordination nécessaire est souvent difficile, surtout si les clés DKIM doivent être changées d'urgence en raison d'un incident de sécurité.

La rotation automatique des clés par votre fournisseur de messagerie évite de passer du temps supplémentaire à rechercher, dépanner et coordonner les corrections de ce type d'erreurs. Comme l'illustre l'exemple de SendGrid, SendGrid a été en mesure de traiter rapidement un compromis potentiel grâce à la rotation immédiate des clés DKIM, car les clients de SendGrid avaient précédemment permis à SendGrid de gérer les clés DKIM - les clients n'ont pas eu à effectuer de changements de leur côté. Si SendGrid n'avait pas investi dans cette capacité, SendGrid et ses clients auraient été confrontés à des modifications dans un contexte sensible à la sécurité, peut-être après les heures de travail ou pendant un jour férié. Si la rotation manuelle des clés est une responsabilité qui relève d'un seul rôle, cela peut encore allonger le temps de réponse et nécessiter un réajustement en cas de rotation de ce poste.

Nous sommes là pour aider les gens à comprendre et à déployer DMARC, alors n'hésitez pas à nous contacter si vous avez des questions sur la rotation des clés DKIM.

Vous voulez poursuivre la conversation ? Rendez-vous sur le forum dmarcien.