Registro.br

Ir para o conteúdo

Núcleo de Informação e Coordenação do Ponto BR

Imprensa
Domínios .br
Política de publicação e administração de chaves DNSSEC

$Revision: 705 $
$Date: 2010-09-28 15:06:11 -0300 (Tue, 28 Sep 2010) $

Introdução

O Registro.br utiliza-se de 4 pares de chaves para assinatura em DNSSEC:

  • KSK BR (Key Signing Key da zona BR): Sua chave privada é utilizada apenas para assinar o conjunto de chaves públicas da zona BR, ou seja, chaves públicas do KSK BR e ZSK BR.
  • ZSK BR (Zone Signing Key da zona BR): Sua chave privada é utilizada para assinar records autoritativos da zona BR: conjunto de records do apex da zona BR, com exceção do record DNSKEY e conjunto de records DS e NSEC.
  • ZSK *.BR (Zone Signing Key das zonas abaixo de BR): Sua chave privada é utilizada para assinar records autoritativos de todas as zonas br de segundo nível que usam tecnologia de assinatura RSA/SHA-1: conjunto de records do apex destas zonas e conjunto de records DS e NSEC.
  • ZSK *.BR NSEC3 (Zone Signing Key das zonas abaixo de BR): Sua chave privada é utilizada para assinar records autoritativos de todas as zonas br de segundo nível que usam tecnologia de assinatura RSA/SHA-1-NSEC3: conjunto de records do apex destas zonas e conjunto de records DS e NSEC3.
Procedimento de geração de chaves

Todos os pares de chaves são gerados com a utilização de software desenvolvido pelo Registro.br utilizando a biblioteca OpenSSL e com auxílio de hardware especializado para geração de números randômicos.

  • KSK BR: Este par de chaves é gerado e armazenado num servidor criptográfico (HSM - Hardware Security Module) conectado apenas ao servidor de publicação DNS. O algoritmo utilizado é o RSA/SHA-1 e o tamanho da chave é de 1280 bits.
  • ZSK BR: Este par de chaves é gerado num servidor conectado (on-line signer) apenas ao servidor de publicação DNS. O algoritmo utilizado é o RSA/SHA-1 e o tamanho da chave é de 1152 bits.
  • ZSK *.BR: Este par de chaves é gerado num servidor conectado (on-line signer) apenas ao servidor de publicação DNS. O algoritmo utilizado é o RSA/SHA-1 e o tamanho da chave é de 1024 bits.
  • ZSK *.BR NSEC3: Este par de chaves é gerado num servidor conectado (on-line signer) apenas ao servidor de publicação DNS. O algoritmo utilizado é o RSA/SHA-1-NSEC3 e o tamanho da chave é de 1024 bits.

As conexões do servidor de publicação DNS com o on-line signer e com o HSM são feitas com cabo exclusivo e são utilizadas somente para envio de records a serem assinados e recebimento de suas respectivas assinaturas.

Uso das chaves
KSK BR:
KSKs BR são manipuladas 2 vezes ao ano em cerimônias para geração da agenda de rollovers para períodos de 6 meses e para geração de assinaturas com a KSK BR.
Assinaturas geradas com KSKs BR no HSM têm validade de 3 semanas.
 
ZSK BR, ZSK *.BR e ZSK *.BR NSEC3:
ZSKs BR e ZSKs *.BR são utilizadas para assinaturas automáticas de zonas. Isto ocorre sempre que são feitas alterações incrementais numa zona ou numa publicação total.
As chaves privadas no on-line signer nunca são diretamente manipuladas no mesmo.
Todas as chaves no on-line signer são mantidas criptografadas em disco.
Assinaturas geradas com ZSKs têm validade de 7 dias.
Substituição de chaves (rollover)
Normal KSK BR
Substituições programadas da KSK BR são feitas a cada 2 a 5 anos, sempre na terceira segunda-feira de maio do ano escolhido. É utilizada a técnica de double-signing (RFC 4641). Durante um período de 2 meses existirão duas KSK BR ativas. 
     0                      Ano2                     Ano5
     |------------------------|------------------------|-------->
         KSK 1
     |--------------------------|
                                     KSK 2
                            |------------------------------|
                                                          KSK 3
                                                     |------------....

 
Normal ZSK BR
Substituições programadas da ZSK BR são feitas a cada 3 meses, toda primeira segunda-feira dos meses de fevereiro, maio, agosto e novembro. ZSKs BR são utilizadas por pouco mais de 3 meses e é utilizada a técnica de pre-publishing (RFC 4641). 
     0                     3meses                    6meses
     |------------------------|------------------------|-------->
         ZSK 1                   #
     |--------------------------|-|
                               *      ZSK 2               #
                              |-|------------------------|-|
Durante os períodos de pre-publishing (*) e post-publishing (#), as ZSKs não são utilizadas para assinatura.
 
Normal ZSK *.BR e ZSK *.BR NSEC3
Substituições programadas da ZSK *.BR são feitas mensalmente, toda segunda segunda-feira do mês. ZSKs *.BR são utilizadas por pouco mais de 1 mês e é utilizada a técnica de pre-publishing (RFC 4641). 
     0                      1mês                     2meses
     |------------------------|------------------------|-------->
         ZSK 1                   #
     |--------------------------|-|
                               *      ZSK 2               #
                              |-|------------------------|-|
Durante os períodos de pre-publishing (*) e post-publishing (#), as ZSKs não são utilizadas para assinatura.
 
Emergencial
Uma substituição emergencial de chaves pode ser necessária caso a chave privada seja comprometida. A chave é considerada comprometida quando o Registro.br perde o controle sobre a mesma devido a cópia não autorizada, perda, roubo ou ainda obtenção da chave privada por análise criptográfica.
Se uma chave for comprometida, seu uso será descontinuado o mais rapidamente possível e uma nova chave será gerada e publicada. Será feito o maior esforço possível para evitar que a cadeia de confiança seja quebrada nestas situações.
Distribuição de chaves

O .br publica o registro DS da KSK BR diretamente na raiz.