Journal De la possibilité de décentralisation de la gestion des noms de domaine

11
21
jan.
2012

Cette affaire Megaupload vient de me faire rappeler un chose que j'avais lu il y a de ça un petit moment.
(Encore un billet sur MU ! Non, je vous rassure, je n'en parle que dans l'introduction)

La seule chose qui reste encore aujourd'hui fondamentalement centralisée dans Internet, c'est la gestion des noms de domaines de premier niveau (les extensions .com, .fr, .org…), qui ne dépendent que d'un seul organisme, privé, américain : l'ICANN.
On voit ce que cela peut donner, avec la fermeture de MU.

Des gens cependant se sont dit que ce serait bien de décentraliser tout ça, et ils ont créé l'extension domaine.42, extension ne dépendant pas de l'ICANN (car dans les règles de l'ICANN, des domaines de premier ordre ne peuvent pas être numériques). Bien entendu, un site possédant une adresse en .42 ne peut pas être visible si l'on ne modifie pas manuellement ses serveurs de noms sur sa machine (via le fichier /etc/resolv.conf il me semble).

Des infos sur le wiki de 42registery : http://wiki.42registry.org/page/Main_Page

D'où ma question, peut-être naïve (je ne suis pas informaticien, juste geek du Dimanche) mais néanmoins sérieuse : La décentralisation de la résolution des noms de domaines est-elle possible/réalisable/efficace contre la censure ?
J'ai cru voir passer devant mon attention pas toujours sur ses gardes (je n'ai aucun lien ni nom en mémoire) une histoire de DNS en peer to peer… Est-ce que quelqu'un a déjà entendu parler de ça ?

Remarque : On e a déjà parlé ici : https://linuxfr.org/news/lexp%C3%A9rience-42-un-tld-hors-de-la-tutelle-de-licann , mais je crois qu'il est bon de remettre ça sur le tapis, étant donné que c'est d'actualité, et que certainement plein de gens sont passés à travers de l'info…

Et une traditionnelle Nimage de ma campagne (non c'est pas le Cantal, c'est l'Ardèche).

  • # ...

    Posté par . Évalué à 6.

    Le decentralisé n'est pas simple :
    - il faut des points d'entré intelligent pour que des personnes puissent y accéder (sinon il suffit de contrôler ces points d'entré pour faire ce que tu veux)
    - il faut avoir confiance dans toute les entités du réseau (ou une certaine partie en utilisant des algos distribué comme http://fr.wikipedia.org/wiki/Probl%C3%A8me_des_g%C3%A9n%C3%A9raux_byzantins )

    • [^] # Re: ...

      Posté par (page perso) . Évalué à 3.

      Peut-être qu'en utilisant plein de petits serveurs de nom qui s'envoient leurs listes de noms en p2p… ou même une liste de noms en local dans chacun des postes clients…
      Bref, y'a matière à réflexion.

      De ses yeux vastes comme des océans, encroûtés de chassie et de poussière d'astéroïdes, Elle fixe le But Ultime.

      • [^] # Re: ...

        Posté par . Évalué à 3.

        un peu dans ce gout la, il y a http://www.open-root.eu
        ceci dit, ca revient un peu aux débuts des réseaux, avec une liste des adresses maintenue à la mimine chacun dans son coin, avec toutes les galères que ca suppose... et c'est d'ailleurs pour ca que le DNS actuel a été crée.

      • [^] # Re: ...

        Posté par . Évalué à 3.

        Peut-être qu'en utilisant plein de petits serveurs de nom qui s'envoient leurs listes de noms en p2p

        Et si l'un de ses serveurs indique aux autres que c'est sur lui que doit pointer paypal.com ?

        Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

        • [^] # Re: ...

          Posté par (page perso) . Évalué à 2.

          On ferrait un peu comme pour les tables de routage ? (je demande hein, on ne sait jamais)

          • [^] # Re: ...

            Posté par (page perso) . Évalué à 4.

            Ça me semble très différent. Avec les routeurs, tu es dans un réseau dans lequel tu as un minimum confiance, sinon tes paquets partent n'importe où. Tu n'insère pas n'importe qui dans ta table de routage parce qu'il t'annonce quelque chose. Par exemple, je doute que ton FAI te laisse envoyer des paquets OSPF annonçant n'importe quoi.

            « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

            • [^] # Re: ...

              Posté par . Évalué à 2.

              En OSPF surement pas, par contre on a déjà vu de l'hijacking IP avec BGP. Tout les transitaires ne vérifient pas les routes annoncés.

              • [^] # Re: ...

                Posté par (page perso) . Évalué à 4.

                D'accord mais on lutte contre ça, non ? Ici, avec le système proposé, tout le monde peut s'annoncer, donc il n'y aura pas moyen de lutter facilement contre ça.

                « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

          • [^] # Re: ...

            Posté par . Évalué à 2.

            C'est ne attaque qui existe, ip spoofing et la gravité est limité parce qu'on ne peut que remplacer une machine du réseaux au quel on appartient (si je ne me trompe pas).

            Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

          • [^] # Sécurité de BGP

            Posté par (page perso) . Évalué à 1.

            Ben justement, ce n'est pas du tout sécurisé et c'est pour cela qu'il y a régulièrement des problèmes. Jusqu'à présent, ce n'est pas trop grave puisqu'il y a relativement peu d'opérateurs et qu'ils se connaissent. Ça se règle entre soi. Mais il y a bien plus de domaines (et d'acteurs) que de routes. http://www.bortzmeyer.org/securite-bgp-et-reaction-rapide.html http://www.bortzmeyer.org/alarmes-as.html

  • # namecoin

    Posté par . Évalué à 6.

    Je crois que tu cherche le nom namecoin, le principe est de se baser sur le Bitcoin pour faire marcher un système de nom de domaine.
    http://dot-bit.org/Namecoin

    Le .42 ne dépend pas de l'ICANN mais je trouve ça centralisé quand même (et puis leur chartre…).

    207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶

    • [^] # Re: namecoin

      Posté par . Évalué à 1. Dernière modification le 21/01/12 à 23:37.

      (et puis leur chartre…)

      J'ai lu leur charte en diagonale, je ne vois rien de méchant a priori. Qu'est ce que tu leur reproches?

      • [^] # Re: namecoin

        Posté par . Évalué à 10.

        • The activity under the domain MUST NOT have commercial purposes.
        • A .42 domain name MAY be used for a personal content, such as blogs, personal homepages, and so on. Keep in mind that such content SHOULD NOT serve your financial benefit.

        Only wimps use tape backup: real men just upload their important stuff on megaupload, and let the rest of the world ~~mirror~~ link to it

        • [^] # Re: namecoin

          Posté par . Évalué à 3.

          C'est çà la liberté, Coco !
          T'as pas compris, ta liberté, t'inquiètes, on la gère.
          De la liberty-outsourcing ! Ca a de la gueule !

          (j'appelle aussi cela le bal des faux-culs : obliger quelqu'un à quelque chose mais lui mettre sous la gueule que c'est pour sa liberté... ouais, ouais, bien sûr... c'est pour cela que j'ai dropper .42 directos pour mes activités, pourtant je trouvais cela intéressant)

    • [^] # Re: namecoin

      Posté par . Évalué à 3.

      Le .42 ne dépend pas de l'ICANN mais je trouve ça centralisé quand même (et puis leur chartre…).

      Ils ont enfermé leur charte dans une chartre à Chartre, et puis ils lui ont coupé le zizi.

  • # Le .42 n'est pas vraiment ce que j'appelerais décentralisé

    Posté par (page perso) . Évalué à 6.

    Je pense qu'il faut commencer par se poser la question de se dire ce qu'on veut comme propriété. Car le .42 est certes loin de l'icann, mais tu remplaces l'icann par un autre groupe. Et sans remettre en cause les régles du projet ou le reste, c'est pas ce que j'appelerais un nommage décentralisé.

    je pense que les services cachés de tor, avec des noms en TRUCSENHEXA.onion sont ce que tu cherches. Il n'y a pas d'autorité central à couper ( autre que celle de tor, mais on rentre dans une attaque à un autre niveau que le service de nommage ), et les risques de collisions sont faibles.

    Depuis l'affaire megaupload, je cherche un article que j'ai vu il y a longtemps expliquant que tu peux pas avoir un système qu'un humain peut retenir tout en étant à la fois décentralisé et sans risque de collision. Ou un truc de ce genre ( à vérifier, je me souviens plus de tout ). Si quelqu'un retrouve ça...

  • # Le DNS? on s'en ...., on a Google

    Posté par (page perso) . Évalué à 4.

    tic tic tic : connaissez quelqu'un qui utilise en la barre d'url pour accéder directement à des sites?

    Le centralisation volontaire, on y est tous à coups de Google & co.

    ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: Le DNS? on s'en ...., on a Google

      Posté par (page perso) . Évalué à 4.

      Ouais, sauf que google c'est juste pour le web déjà, et aussi contrairement au problème des noms de domaine, on peut faire sans (avec un peu de volonté et de masochisme, je le concède, mais on peut).

      De ses yeux vastes comme des océans, encroûtés de chassie et de poussière d'astéroïdes, Elle fixe le But Ultime.

    • [^] # Re: Le DNS? on s'en ...., on a Google

      Posté par . Évalué à 4.

      En simplifiant énormément : la barre d'adresse, c'est pour accéder à un site que l'on connait (que l'on tape son adresse ou que cela passe par Google), et pour accéder à une page que l'on ne connait pas, on suit un hyperlien sans passer par Google (que ce soit un lien sur un site ou dans un email ou autre).

      • [^] # Re: Le DNS? on s'en ...., on a Google

        Posté par (page perso) . Évalué à 4.

        Faux. Aujourd'hui, on utilise aussi Google pour aller sur un site que l'on connaît, parce que c'est plus rapide de taper un mot-clé que l'adresse entière. Vérifié tous les jours, auprès de nombreuses personnes.

        • [^] # Re: Le DNS? on s'en ...., on a Google

          Posté par . Évalué à 2.

          Mon impression limitée a mon petit entourage, c'est que désormais on laisse son navigateur avec 40.000 onglets ouverts, avec juste la favicon du site visible, et de temps en temps on cherche sur google (si il reste assez de ram).

        • [^] # Re: Le DNS? on s'en ...., on a Google

          Posté par . Évalué à 3.

          Vous répondez

          Faux. Aujourd'hui, on utilise aussi Google pour aller sur un site que l'on connaît

          à mon message qui disait

          la barre d'adresse, c'est pour accéder à un site que l'on connait (que l'on tape son adresse ou que cela passe par Google),

          J'ai du mal à voir en quoi cela me contredit, surtout que la partie importante de mon message était la suite du message, à savoir que quand l'on est sur un site (sans compter Google), et que l'on clique sur un hyperlien, que ce soit un lien interne au site, ou un lien vers un autre site, on utilise le DNS, sans utiliser Google.
          Ma simplification consistait à dire que Google ne remplaçait DNS qu'au début d'une session de navigation : vous ouvrez Google et tapez "linuxfr" : OK, vous avez utilisé Google au lieu de taper linuxfr.org. Une fois sur LinuxFR, vous cliquez sur "journaux" pour voir les nouveaux journaux que vous ne connaissez pas : vous ne passez pas par Google ; ce présent journal contient un lien vers 42registry, vous cliquez sur le lien : vous ne passez pas par Google.

  • # question toute bête

    Posté par . Évalué à 1. Dernière modification le 22/01/12 à 10:34.

    Je me pose une question depuis longtemps : pourquoi le DNS ?

    On n'aurait pas pu faire une norme IPv6 qui puisse donner un identifiant unique à un serveur, un peu comme pour les livres par exemple, et qui soit compréhensible par tous ?

    • [^] # Re: question toute bête

      Posté par . Évalué à 7.

      [i]
      Je me pose une question depuis longtemps : pourquoi le DNS ?
      [/i]
      Qu'est ce que tu retient plus facilement ?
      * 143.54.23.43
      * mondomain.com

      • [^] # Re: question toute bête

        Posté par . Évalué à 3.

        Il faudrait un bon hash de 128 bits, pour que l'adresse ipv6 soit hash(mondomain.com). Cela résoudrait qq problème :)

        "La première sécurité est la liberté"

      • [^] # Re: question toute bête

        Posté par . Évalué à 1.

        Justement, pourquoi au lieu d'avoir « 143.54.23.43 » ne pas avoir un identifiant plus personnalisable « mondomaine.com » par exemple ?

        • [^] # Re: question toute bête

          Posté par . Évalué à 5.

          Les adresses IP ont une topologie réseau et un routeur sait à qui transmettre le message grâce à cela. Avec un nom de domaine comme adresse, je ne vois pas comment nous pourrions faire cela. Par exemple, tu cherche 12.34.56.78, ton routeur utilise sa route par défaut car il ne sais pas qu'elle machine c'est et ainsi de suite jusqu'à ce qu'un routeur possède sache que pour les ip 12.0.0.0/8, il faut envoyer à tel routeur, celui-ci sait que les 12.34 doivent être transmit à tel routeur et ainsi de suite.

          Dans un nom de domaine il y a pas moyen de faire de la résolution incrémentale à moyen d'avoir un réseau par TLD (c'est ce que fait DNS). Dans ce cas les routeurs (on va les appeler centraux :) ) ont une liste d'adresse MAC -> nom de domaine.

          Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

      • [^] # Re: question toute bête

        Posté par (page perso) . Évalué à 2.

        Le fait d'avoir des noms parlants et mémorisables n'est qu'une partie des motivations au DNS, et pas la plus importante. L'essentiel est que le DNS fournit de la stabilité. linuxfr.org est aujourd'hui en 88.191.250.176 (incroyablement, il n'a toujours pas d'adresse IPv6). Demain, si linuxfr.org change d'hébergement et quitte sa Dedibox, c'est grâce au DNS qu'on pourra continuer à y accéder. http://www.bortzmeyer.org/pourquoi-le-dns.html

    • [^] # Re: question toute bête

      Posté par . Évalué à 6.

      DNS a 2 intérêts distincts :

      • rendre accessible une machine de manière humainement intelligible
      • découpler un serveur de son nom de domaine pour pouvoir faire du load balancing ou de la migration de serveur

      Je ne suis pas sûr que ce dernier point soit possible (après il y a aussi qu'on utilise plusieurs nom de domaine par machine, par exemple).

      Tous les contenus que j'écris ici sont sous licence CC0 (j'abandonne autant que possible mes droits d'auteur sur mes écrits)

  • # La décentralisation est déjà effective

    Posté par (page perso) . Évalué à 6.

    Il n'y a pas que le .com dans la vie !

    Tous mes sites sont en .fr, ce domaine ne dépend pas des américains mais dépend de la loi française... Il y a aussi le .eu pour l'europe !

    Il suffit de ne pas prendre les noms de domaine américain. Il y a en Europe déjà beaucoup de nom de domaine, rien n'empêche de les utiliser.

    Il n'est écrit nulle part que le .com est plus intelligent que les autres. Soyez vous plus intelligent et ne donnez pas votre argent aux DNS américains ;-)

    PS : mes sites web en .fr sont très bien indexé dans Google, le .com n'est pas forcément utile !

    • [^] # Re: La décentralisation est déjà effective

      Posté par . Évalué à 7. Dernière modification le 22/01/12 à 14:14.

      le .fr dépend d'une institution française. Mais le "." (il est généralement omis mais il y a un . à la fin des URL, par exemple mondomaine.fr.) dépend uniquement de l'ICANN, en dehors du .42 .

      • [^] # Re: La décentralisation est déjà effective

        Posté par . Évalué à 2.

        Bordel, je m'en étais jamais rendu compte... (linuxfr.org.)

      • [^] # Re: La décentralisation est déjà effective

        Posté par (page perso) . Évalué à 3.

        Par simplicité, on remonte effectivement au . initial. Sur mes serveur DNS, le domaine en .42 fonctionne ! Il est très facile de nos jours de faire un paquet DNSROOT qui aurait les serveurs racines des différents pays et serait régulièrement remis à jour, un peu comme TZDATA...

        Bref, si jamais les américains coupe une nom de domaine d'un pays, ce sera la fin du . sommital, et la parade pour les FAI sera très rapide à mettre en place. Je pense que le scénario est guère probable !

        • [^] # Re: La décentralisation est déjà effective

          Posté par . Évalué à 2.

          Il est très facile de nos jours de faire un paquet DNSROOT qui aurait les serveurs racines des différents pays et serait régulièrement remis à jour

          Ce fichier existe déjà depuis longtemps: http://www.internic.net/zones/ . Il est même accessible en AXFR (transfert de zones) depuis certains serveurs racines (f en l'occurrence).

    • [^] # Re: La décentralisation est déjà effective

      Posté par . Évalué à 1.

      Tous mes sites sont en .fr, ce domaine ne dépend pas des américains mais dépend de                 la loi française... Il y a aussi le .eu pour l'europe !
      

      Justement, et tu crois que les noms de domaine européens sortes du lots parce que ce n'est pas ".com", ou non américain. Voyons... Ça reste centraliser et contrôler...

      • [^] # Re: La décentralisation est déjà effective

        Posté par (page perso) . Évalué à 5.

        Et qu'est-ce que vous voulez ? Un espace sans règle ni loi ?

        On vit sous le régime des états nations. Tout n'est pas idéal mais je réfère cela à celui des entreprises nations qui est une voie possible ;-)

        Si on est en France, on applique le droit français et s'il est dépassé, il faut essayer de le mettre à jour. C'est difficile et long mais tout est possible... Le .fr applique le droit Français, je ne vois pas ou est le problème.

        Je me souviens des débuts du web, le droit français s'appliquait déjà. Je me souviens d'une descente de la DST chez nous car un de nos étudiants nous avait piraté ! Ce couillon, s'il avait été Canadien, il n'aurait jamais été embêté car les procédures inter-état étaient (sont toujours ?) bien trop lourde.

        Il ne faut pas mélanger liberté d'expression et zone de non droit... Le web peut être soumis au droit sans qu'on tombe forcément dans big brother...

        • [^] # Re: La décentralisation est déjà effective

          Posté par . Évalué à 0. Dernière modification le 22/01/12 à 18:54.

          <défenseur internet>
          Ouais mais non au fait, Internet c'est la liberté, c'est pour ça que ces vieux des gouvernements ils aiment pas. Ils y pigent rien et j'aimerais bien qu'on me laisse télécharger le dernier navet américain.

          Faut se battre pour la liberté d'expression, et contre ces régimes dictatoriaux qui veulent qu'il y ai des règles. {{insérer ici une allusion au nazisme, à Vichy ou à une une dictature actuelle}}.

          {{maintenant il faut partir faire la révolussion sur FB, s'indigner sur tout un tas de forums, et puis surtout militer en allant télécharger de la musique alors qu'on a pas le droit}}
          </défenseur internet>

          EDIT : je lis juste trop souvent des trucs comme ça, je veux pas être méchant mais ça me fait pitié que des gens puissent tenir des propos comme ça.

          207829⁶+118453⁶=193896⁶+38790⁶+14308⁶+99043⁶+175539⁶

        • [^] # Re: La décentralisation est déjà effective

          Posté par . Évalué à 4.

          Bah, je pense qu'on veut tous un système quelque part entre les deux :
          * Un internet traçable pour pouvoir chopper les vilains pédophiles
          * Une structure souple pour garantir la liberté d'expression dans tous les pays et quel que soit le régime, y compris le notre
          À mon avis, les deux aspects sont contradictoires, ce qui fait qu'on est tous un peu schizo quand on défend la liberté d'expression -- au final, ça se termine sur des arguments du type "vous défendez les pédophiles et les pirates" "et vous êtes un nazi".

        • [^] # Re: La décentralisation est déjà effective

          Posté par . Évalué à 2.

          Ce qui (me) pose problème, c'est que ces domaines sont transverses.
          Bon en effet pour le .fr, le problème ne se pose pas, il faut que la personne morale soit en france (il me semble)

          Par contre les .com (but lucratif), .org (but non lucratif), .net (infrastructure du réseau), .info (source d'information), .xxx (photos de chatons) sont valables pour tout le réseau, et donc par définition ne peuvent (ou ne doivent) pas être soumis à la législation d'un état particulier. Une loi du réseau pourrait exister, néanmoins je ne vois pas comment la mettre en place.

        • [^] # Re: La décentralisation est déjà effective

          Posté par . Évalué à 6.

          On vit sous le régime des états nations. Tout n'est pas idéal mais je réfère cela à celui des entreprises nations qui est une voie possible ;-)

          Sincèrement, je pense qu'on est aujourd'hui plus proche du second que du premier…

          Article Quarante-Deux : Toute personne dépassant un kilomètre de haut doit quitter le Tribunal. -- Le Roi de Cœur

          • [^] # Re: La décentralisation est déjà effective

            Posté par . Évalué à 1.

            Je n'ai pas encore vu de milices privées, par contre une police municipale aux droits et à l'armement étendu oui. Il ne faut pas se leurrer ce qui menace encore et toujours nos libertés individuelles ce sont les États tout-puissants et non les sociétés privés, qui n'ont elles pas spécialement intérêt à nous diriger. Que l'État agisse pour des intérêts particuliers n'est qu'une dérive de l'État*, mais ce n'est pas fondamentalement la faute des privés (même si ils sont condamnables moralement et juridiquement). Un État trop puissant sert de relais pour des privés très puissants, qui acquièrent un effet levier énorme. C'est la faute de l'État (et donc de nous tous) qui est trop omniprésent.

            *: autre version, plus marxiste, l'État n'agit toujours que pour certains intérêts particuliers, et de façon plus ou moins visible.

  • # Quelques rectifications

    Posté par (page perso) . Évalué à 1.

    DaveNull écrit

    qui ne dépendent que d'un seul organisme, privé, américain : l'ICANN 

    L'ICANN n'a joué aucun rôle dans le cas de Megaupload. L'ICANN sert surtout à faire des réunions, le travail opérationnel se partage entre le gouvernement états-unien et Verisign. C'est Verisign qui a redirigé le domaine megaupload.com.

    Pour un résumé technique http://seenthis.net/messages/53427

    (via le fichier /etc/resolv.conf il me semble).

    C'est nettement plus complexe http://www.bortzmeyer.org/changer-dns.html

    La décentralisation de la résolution des noms de domaines est-elle possible/réalisable/efficace contre la censure ?

    Dans le cas de Megaupload, cela n'aurait rien changé puisqu'il y a eu aussi saisie des serveurs.

    Quant aux projets de DNS en pair-à-pair, c'est une vieille lune http://www.bortzmeyer.org/dns-p2p.html

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.