Importance de la rotation automatisée des clés DKIM
SendGrid a récemment contacté ses clients concernant l'exposition potentielle de données client, impliquant spécifiquement les clés DKIM privées de leurs clients. Dans le cadre de leur réponse pour protéger les données client, ils ont procédé à la rotation proactive des clés DKIM au nom de leurs clients lorsque cela était possible et ont recommandé aux autres clients de le faire de leur propre initiative.
Nous avons pensé que ce serait une bonne occasion de parler de la rotation des clés DKIM, des méthodes pour l'exécuter et des avantages de l'automatisation du processus.
Importance de la rotation des clés DKIM
Les clés DKIM sont des signatures numériques qui garantissent qu'un e-mail n'a pas été altéré lors de son acheminement entre les serveurs ; vous pouvez en savoir plus sur leur rôle dans notre aperçu DKIM.
Étant donné que les clés DKIM sont publiées publiquement, elles peuvent être une cible d'attaque. Comme toutes les méthodes de chiffrement, avec suffisamment de temps et de puissance de calcul, elles peuvent être compromises par un acteur malveillant. Le remplacement régulier des clés plus anciennes par de nouvelles clés (appelé « rotation des clés ») est un moyen efficace de se défendre contre cela, car il minimise la période pendant laquelle les attaquants peuvent compromettre une clé privée, ainsi que la durée de validité d'une clé compromise.
La fréquence à laquelle les clés DKIM doivent être renouvelées est liée à la longueur de la clé elle-même. Par exemple, les clés de 1024 bits doivent être renouvelées plus fréquemment que les clés de 2048 bits, car les clés de 1024 bits nécessitent moins de puissance de calcul totale pour être compromises. (Les clés de 2048 bits sont actuellement considérées comme la longueur de clé pratique la plus robuste). Le Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) a publié des directives dans ses meilleures pratiques courantes pour la rotation des clés DKIM où il recommande que les clés soient renouvelées tous les six mois.
La rotation des clés DKIM
Pour la rotation des clés DKIM, une série d'actions spécifiques est nécessaire :
- Une nouvelle clé DKIM doit être créée. Cela génère une paire de clés privée/publique, appelée « clé DKIM ».
- La partie privée de la clé DKIM doit être installée dans le logiciel qui génère les signatures DKIM, généralement un serveur de messagerie qui envoie des e-mails.
- La partie publique de la clé DKIM doit être publiée dans le DNS du domaine pour lequel les signatures sont créées.
- Une fois la partie publique publiée, le serveur de messagerie qui envoie des e-mails peut commencer à utiliser sa clé privée installée pour créer des signatures DKIM avec la nouvelle clé DKIM.
Il existe différentes manières de mettre en œuvre les actions ci-dessus. Par exemple, si une clé DKIM est créée par un fournisseur engagé pour envoyer des e-mails au nom de votre domaine Internet, ce fournisseur doit vous demander de placer la partie publique de la clé DKIM dans le DNS de votre domaine. Inversement, si vous créez une clé DKIM, vous devez fournir au fournisseur la partie privée de la clé DKIM afin qu'il puisse configurer son logiciel de messagerie pour créer des signatures DKIM.
Plusieurs méthodes ont émergé pour minimiser les allers-retours potentiels nécessaires lors de la création et de la rotation des clés DKIM. Ces différentes méthodes utilisent les capacités du DNS pour rapprocher la charge technologique de la rotation des clés DKIM des opérateurs techniques responsables des signatures DKIM.
Méthodes de rotation des clés DKIM
Délégation de sous-domaine
La délégation de sous-domaine est la méthode de rotation de clés la plus simple pour la plupart des propriétaires de domaines. Au lieu de gérer l'infrastructure DKIM, le propriétaire du domaine attribue (ou délègue le contrôle à) un sous-domaine dédié au fournisseur responsable de l'envoi d'e-mails au nom du propriétaire du domaine. De cette manière, le propriétaire du domaine laisse toutes les mécaniques de la gestion DKIM, y compris la rotation des clés, au fournisseur. Le propriétaire du domaine a toujours la possibilité de reprendre le sous-domaine délégué si le fournisseur n'est plus autorisé à envoyer des e-mails en son nom.
CNAME
La délégation basée sur CNAME se produit lorsqu'un propriétaire de domaine utilise des enregistrements CNAME pour pointer vers des données DKIM gérées par un fournisseur. De cette manière, le propriétaire du domaine peut autoriser un fournisseur à créer des signatures DKIM, et le fournisseur est responsable des mécanismes de signature DKIM. Si le propriétaire du domaine doit retirer cette autorisation, il peut supprimer les enregistrements CNAME, ce qui rompt efficacement la connexion entre le fournisseur et le propriétaire du domaine.
L'inconvénient de l'utilisation des CNAME est que plusieurs clés DKIM basées sur CNAME doivent être configurées avant qu'un fournisseur puisse les faire pivoter. Une fois configuré, cependant, le fournisseur peut faire pivoter les clés sans avoir besoin de contacter ou de se synchroniser avec le propriétaire du domaine.
Manuellement
Les clés DKIM peuvent être pivotées en créant manuellement une nouvelle clé DKIM, en configurant un serveur de messagerie avec la partie privée de la clé DKIM, puis en publiant la partie publique de la clé DKIM dans le DNS du propriétaire du domaine. La synchronisation entre les serveurs de messagerie, les clés DKIM et les entrées DNS peut impliquer une coordination importante entre les équipes et les systèmes, faisant de la configuration manuelle la méthode de dernier recours.
Avantages de la rotation automatique des clés DKIM
La rotation manuelle de vos clés DKIM implique l'utilisation d'un outil pour générer les nouvelles clés, puis la copie et le collage de longues chaînes de caractères dans un logiciel de gestion de domaine, ce qui peut entraîner des erreurs. Cette méthode de rotation des clés DKIM n'est pas idéale, car la coordination qu'elle implique est souvent difficile, surtout si les clés DKIM doivent être pivotées d'urgence en raison d'un incident de sécurité.
La rotation automatique des clés par votre fournisseur de messagerie évite le temps supplémentaire passé à rechercher, dépanner et coordonner les corrections pour ce type d'erreurs. Comme l'illustre l'exemple avec SendGrid, SendGrid a pu rapidement résoudre une compromission potentielle grâce à une rotation immédiate des clés DKIM, car les clients de SendGrid avaient auparavant autorisé SendGrid à gérer les clés DKIM – les clients n'ont pas eu à effectuer de modifications de leur côté. Si SendGrid n'avait pas investi dans cette capacité, SendGrid et ses clients auraient dû faire face à des modifications dans un contexte sensible à la sécurité, peut-être en dehors des heures de bureau ou pendant un jour férié. Si la rotation manuelle des clés est une responsabilité qui incombe à un seul rôle, cela peut prolonger davantage le temps de réponse et nécessiter une nouvelle intervention en cas de rotation du personnel pour ce poste.
Nous sommes là pour aider les gens à comprendre et à déployer DMARC, alors contactez-nous si vous avez des questions sur la rotation des clés DKIM.
Vous souhaitez poursuivre la conversation ? Rendez-vous sur le Forum dmarcian.
