Prochaines étapes de la préparation au DNSSEC post-quantitatif

En juillet 2022, le National Institute of Standards and Technology (NIST) a sélectionné un algorithme de cryptage post-quantique et trois algorithmes de signature post-quantique pour la normalisation, les normes pour ces algorithmes devant arriver dès 2024. Dans le prolongement de ces travaux, l'Internet Engineering Task Force (IETF) a également entamé des activités d'élaboration de normes sur l'application d'algorithmes post-quantiques aux protocoles internet dans divers groupes de travail, notamment le groupe de travail Post-Quantum Use in Protocols (PQUIP) nouvellement créé.

Les normes en cours d'élaboration dans les prochaines années seront probablement celles qui seront déployées lors de la transition post-quantique, et il est donc temps de prendre en compte les exigences opérationnelles pour des protocoles spécifiques.

Pour DNSSEC, les préoccupations opérationnelles sont doubles.

Premièrement, la taille importante des signatures post-quantiques actuelles sélectionnées par le NIST entraînerait des réponses DNSSEC qui dépassent les limites de taille du protocole User Datagram Protocol, qui est largement déployé dans l'écosystème DNS. Bien que le protocole de contrôle de transmission et d'autres moyens de transport soient disponibles, la surcharge supplémentaire liée à l'utilisation de grandes signatures post-quantiques pour chaque réponse - qui peuvent être un à deux ordres de grandeur plus longues que les signatures traditionnelles - introduit un risque opérationnel pour l'écosystème DNS qu'il serait préférable d'éviter.

Deuxièmement, les signatures volumineuses augmenteraient considérablement les besoins en mémoire des résolveurs utilisant des caches en mémoire et des serveurs de noms faisant autorité utilisant des bases de données en mémoire.

Via CircleID