Info! Please note that this translation has been provided at best effort, for your convenience. The English page remains the official version.

Protéger vos données

Ce document fournit des recommandations sur la façon d'utiliser les différentes méthodes disponibles pour les utilisateurs de la base de données AFRINIC pour permettre la protection des données contre la suppression ou la modification non autorisée (et dans certains cas également contre la création non autorisée). Obtention de votre objet mainteneur autres objets, en envoyant un e-mail à auto-dbm@AFRINIC.net.

Lorsque vous utilisez un responsable pour protéger vos données, vous devrez choisir une ou plusieurs des méthodes d'authentification disponibles. Ceux-ci sont définis dans les attributs "auth:" de l'objet mntner. Vous pouvez avoir n'importe quelle combinaison des différentes méthodes et autant d'instances de chacune que vous le souhaitez dans un objet mntner. Cependant, sachez que l'authentification est un "OU" logique de toutes les instances fournies des valeurs d'attributs "auth:". L'autorisation est transmise lorsque l'une des valeurs d'attributs "auth:"
correspondre à l'une des informations d'identification fournies dans une mise à jour.

 

Trois méthodes d'authentification sont actuellement disponibles:

 

BCRYPT-PW :

Cette méthode prend un argument composé d'un mot de passe haché par bcrypt.

Lors de la demande d'un objet mntner, l'utilisateur doit inclure un attribut "auth:" avec une valeur correspondant à un mot de passe crypté de style Unix et au mot clé BCRYPT-PW:

 

authentification : BCRYPT-PW

Lors de la soumission d'une mise à jour par e-mail pour créer, modifier ou supprimer un objet protégé par un mainteneur à l'aide de cette méthode, le message envoyé au serveur de base de données doit inclure une ligne contenant: "mot de passe:"

Ce pseudo attribut doit figurer dans le corps du message électronique. S'il s'agit d'un message mime en plusieurs parties, il doit également être dans la même partie mime que l'objet. En dehors de ces restrictions, il peut apparaître n'importe où dans le message par rapport aux objets. Il ne doit apparaître qu'une seule fois dans le message même si la mise à jour contient plusieurs objets protégés par le même mainteneur.

Si ce mot de passe, une fois haché, correspond à celui stocké dans l'objet mntner, la mise à jour sera autorisée. Sinon, il sera refusé.

Nous vous recommandons d'utiliser le Whois Crypte outil pour générer un mot de passe BCRYPT-PW. bcrypt n'est pas vulnérable aux tables arc-en-ciel ou aux attaques par force brute et il est ininterrompu à ce jour. Cependant, il est essentiel que vous choisissiez un bon mot de passe qui ne soit pas facile à deviner. Notez qu'il existe deux types d'attaques:

* Cracking de mot de passe. Un attaquant peut deviner le mot de passe soit en le comparant aux dictionnaires, soit en essayant toutes les combinaisons possibles.

* Mail snooping. Comme le message de mise à jour contient le mot de passe en texte clair, il est possible que le mot de passe soit vu si le message est intercepté en transit entre le système de l'utilisateur et le serveur de base de données. Pour éviter cela, vous pouvez utiliser PGP ou X509 (voir ci-dessous).

 

Important:

Veuillez noter que CRYPT-PW et MD5-PW sont désormais obsolètes. En tant que tels, ils ne peuvent pas être utilisés dans de nouveaux objets de base de données ou dans de futures mises à jour. Pour le moment, les objets mainteneur sécurisés CRYPT-PW ou MD5-PW existants peuvent encore être utilisés pour l'authentification. Les futures versions du WHOIS DB peut supprimer complètement le support. Si vous avez un mot de passe protégé CRYPT ou MD5 dans votre objet Mainteneur, veuillez le mettre à jour vers un BCRYPT-PW dès que possible.

 

CLÉ PGP :

C'est l'une des méthodes de protection les plus solides disponibles. L'utilisateur spécifie un identifiant de clé PGP pointant vers un objet key-cert dans la base de données qui stocke une clé publique PGP.

Lors de l'envoi de mises à jour à la base de données, l'utilisateur doit signer le message à l'aide de sa clé privée PGP. Le logiciel de base de données vérifiera la signature à l'aide de la clé publique stockée dans l'objet key-cert référencé dans l'attribut "auth:" de l'objet mntner concerné. Si la signature cryptographique est correcte, la mise à jour se poursuivra, sinon elle sera refusée.

Remarque: Ce type d'utilisation de PGP est considéré comme une utilisation commerciale par PGP Inc. Une licence de logiciel commercial doit être obtenue si le logiciel PGP est utilisé. Les utilisateurs peuvent également utiliser le logiciel GnuPG pour générer et gérer des clés compatibles avec le logiciel PGP.

 

Remarque: AFRINIC ne fait aucune réclamation sur l'identité du propriétaire de la clé PGP utilisée. Il vérifie simplement que la signature dans le message électronique a été faite à l'aide de la clé privée correspondant à la clé publique stockée dans la base de données.

Découvrez notre article sur Authentification PGP dans la base de données AFRINIC

 

X.509 :

Cette méthode est également l'une des méthodes de protection les plus solides disponibles. L'utilisateur spécifie un certificat X.509 pointant vers un objet key-cert dans la base de données qui stocke une clé publique de certificat X.509.

Lors de l'envoi de mises à jour à la base de données, l'utilisateur doit signer le message à l'aide de sa clé privée de certificat X.509. Le logiciel de base de données vérifiera la signature à l'aide de la clé publique stockée dans l'objet key-cert référencé dans l'attribut "auth:" de l'objet mntner correspondant. Si la signature cryptographique est correcte, la mise à jour se poursuivra, sinon elle sera refusée.

Remarque 1: AFRINIC ne fait aucune réclamation sur le chemin de confiance du certificat ou sur le statut de révocation du certificat. Il vérifie simplement que la signature dans le message électronique a été effectuée à l'aide de la clé privée correspondant à la clé publique stockée dans la base de données.

Remarque 2: à ce stade, AFRINIC ne fournit pas d'outil pour la génération de certificats. Si vous n'en avez pas déjà un, vous devrez générer un certificat auto-signé pour vous-même.

En savoir plus sur comment configurer une authentification X.509

 

Utilisation simultanée de plusieurs schémas d'authentification

Il suffit de faire correspondre un seul des attributs "auth:" de l'objet mntner pour mettre à jour un objet.

Nous vous recommandons d'utiliser un seul type de méthode d'authentification dans un objet mntner. Il doit s'agir du type le plus solide pratique pour l'utilisateur.

La meilleure méthode de protection possible consiste à disposer de l'authentification PGPKEY ou X.509. Si, pour une raison quelconque, un utilisateur ne se sent pas à l'aise avec uniquement PGPKEY ou X.509 et préfère laisser une "porte dérobée", veuillez utiliser CRYPT-PW ou MD5-PW en plus, en choisissant un bon mot de passe. Pour les opérations quotidiennes,
toujours appliquer une signature aux mises à jour.

 

Plus d'information

Pour une description complète de la façon d'interagir avec la base de données AFRINIC, y compris la protection des données, veuillez consulter les documents suivants:

* Manuel de référence de la base de données AFRINIC
* Toute la documentation de la base de données AFRINIC

An modèle vide peut être obtenu en utilisant un whois le client a pointé du doigt whois.AFRINIC.net