Política de publicação e administração de chaves DNSSEC

Última atualização em 15 Mar 2018
por FabioCosta

Introdução

Este documento descreve a política de administração e publicação de chaves DNSSEC no POP-BA. Este documento foi baseado na política de chaves do Registro.br.

O POP-BA possui dois pares de chaves para assinatura DNSSEC:
  • KSK POP-BA (Key Signing Key da zona \popba):

Sua chave privada é utilizada apenas para assinar o conjunto de chaves públicas da zona pop-ba.rnp.br, ou seja, chaves públicas do KSK POP-BA e ZSK POP-BA.

  • ZSK POP-BA (Zone Signing Key da zona POP-BA):

Sua chave privada é utilizada para assinar registros autoritativos da zona POP-BA: conjunto de registros do apex da zona pop-ba.rnp.br (A, AAAA, DS, CNAME, etc.), com exceção do registro DNSKEY (assinado pela KSK POP-BA, conforme visto acima).

Da geração das chaves

  • KSK POP-BA: O algoritmo utilizado é o RSA/SHA-1 e o tamanho da chave é de 1280 bits.
  • ZSK POP-BA: O algoritmo utilizado é o RSA/SHA-1 e o tamanho da chave é de 1152 bits.

Da substituição das chaves

  • Substituição Normal da KSK POP-BA:

Substituições programadas da KSK POP-BA são feitas a cada 2 anos, sempre na primeira segunda-feira de Maio do ano escolhido. É utilizada a técnica de double-signing (RFC 4641), onde divulgaremos a nova chave e assinaremos as chaves públicas da zona pop-ba.rnp.br com as duas KSK's disponíveis. Assim, durante um período de 2 meses existirão duas KSK POP-BA ativas.

  • Substituição Normal da ZSK POP-BA:

Substituições programadas da ZSK POP-BA são feitas a cada 3 meses, toda primeira segunda-feira dos meses de Março, junho, setembro e dezembro. ZSKs POP-BA são utilizadas por pouco mais de 3 meses e é utilizada a técnica de pre-publishing (RFC 4641). O período de validade da ZSK é menor pois ela assina muito mais registros que a KSK.

  • Substituições emergenciais:

A substituição emergencial de chaves ocorre quando a chave torna-se comprometida: cópia não autorizada, perda, roubo ou ainda obtenção da chave privada por análise criptográfica. Nesse caso, a chave utilizada será imediatamente trocada por uma outra chave, que passará a assinar sozinha os registros da zona. As chaves são mantidas com a maior segurança possível no servidor, a fim de evitar seu comprometimento.

Da distribuição de chaves

O POP-BA não recomenda ancorar nossa chave DNSSEC na configuração do seu servidor recursivo. Invés disso, disponibilizamos um hash de nossa DNSKEY na zona rnp.br (através do registro DS), que por sua vez é disponibilizada na zona br (também através do DS). Assim, basta ancorar a chave da zona .BR ou configurar a chave da zona DLV do ISC.