O Registro.br utiliza-se de 4 pares de chaves para assinatura em DNSSEC:

• KSK BR (Key Signing Key da zona BR): Sua chave privada é utilizada apenas para assinar o conjunto de chaves públicas da zona BR, ou seja, chaves públicas do KSK BR e ZSK BR.
• ZSK BR (Zone Signing Key da zona BR): Sua chave privada é utilizada para assinar records autoritativos da zona BR: conjunto de records do apex da zona BR, com exceção do record DNSKEY e conjunto de records DS e NSEC.
• ZSK *.BR (Zone Signing Key das zonas abaixo de BR): Sua chave privada é utilizada para assinar records autoritativos de todas as zonas br de segundo nível que usam tecnologia de assinatura RSA/SHA-1: conjunto de records do apex destas zonas e conjunto de records DS e NSEC.
• ZSK *.BR NSEC3 (Zone Signing Key das zonas abaixo de BR): Sua chave privada é utilizada para assinar records autoritativos de todas as zonas br de segundo nível que usam tecnologia de assinatura RSA/SHA-1-NSEC3: conjunto de records do apex destas zonas e conjunto de records DS e NSEC3.

Todos os pares de chaves são gerados com a utilização de software desenvolvido pelo Registro.br utilizando a biblioteca OpenSSL e com auxílio de hardware especializado para geração de números randômicos.

• KSK BR: Este par de chaves é gerado e armazenado num servidor criptográfico (HSM - Hardware Security Module) conectado apenas ao servidor de publicação DNS. O algoritmo utilizado é o RSA/SHA-1 e o tamanho da chave é de 1280 bits.
• ZSK BR: Este par de chaves é gerado num servidor conectado (on-line signer) apenas ao servidor de publicação DNS. O algoritmo utilizado é o RSA/SHA-1 e o tamanho da chave é de 1152 bits.
• ZSK *.BR: Este par de chaves é gerado num servidor conectado (on-line signer) apenas ao servidor de publicação DNS. O algoritmo utilizado é o RSA/SHA-1 e o tamanho da chave é de 1024 bits.
• ZSK *.BR NSEC3: Este par de chaves é gerado num servidor conectado (on-line signer) apenas ao servidor de publicação DNS. O algoritmo utilizado é o RSA/SHA-1-NSEC3 e o tamanho da chave é de 1024 bits.

As conexões do servidor de publicação DNS com o on-line signer e com o HSM são feitas com cabo exclusivo e são utilizadas somente para envio de records a serem assinados e recebimento de suas respectivas assinaturas.

KSK BR:

KSKs BR são manipuladas 2 vezes ao ano em cerimônias para geração da agenda de rollovers para períodos de 6 meses e para geração de assinaturas com a KSK BR.

Assinaturas geradas com KSKs BR no HSM têm validade de 3 semanas.

 

ZSK BR, ZSK *.BR e ZSK *.BR NSEC3:

ZSKs BR e ZSKs *.BR são utilizadas para assinaturas automáticas de zonas. Isto ocorre sempre que são feitas alterações incrementais numa zona ou numa publicação total.

As chaves privadas no on-line signer nunca são diretamente manipuladas no mesmo.

Todas as chaves no on-line signer são mantidas criptografadas em disco.

Assinaturas geradas com ZSKs têm validade de 7 dias.

Normal KSK BR

Substituições programadas da KSK BR são feitas a cada 2 a 5 anos, sempre na terceira segunda-feira de maio do ano escolhido. É utilizada a técnica de double-signing (RFC 4641). Durante um período de 2 meses existirão duas KSK BR ativas.

     0                      Ano2                     Ano5
     |------------------------|------------------------|-------->
         KSK 1
     |--------------------------|
                                     KSK 2
                            |------------------------------|
                                                          KSK 3
                                                     |------------....

 

Normal ZSK BR

Substituições programadas da ZSK BR são feitas a cada 3 meses, toda primeira segunda-feira dos meses de fevereiro, maio, agosto e novembro. ZSKs BR são utilizadas por pouco mais de 3 meses e é utilizada a técnica de pre-publishing (RFC 4641).

     0                     3meses                    6meses
     |------------------------|------------------------|-------->
         ZSK 1                   #
     |--------------------------|-|
                               *      ZSK 2               #
                              |-|------------------------|-|

Durante os períodos de pre-publishing (*) e post-publishing (#), as ZSKs não são utilizadas para assinatura.

 

Normal ZSK *.BR e ZSK *.BR NSEC3

Substituições programadas da ZSK *.BR são feitas mensalmente, toda segunda segunda-feira do mês. ZSKs *.BR são utilizadas por pouco mais de 1 mês e é utilizada a técnica de pre-publishing (RFC 4641).

     0                      1mês                     2meses
     |------------------------|------------------------|-------->
         ZSK 1                   #
     |--------------------------|-|
                               *      ZSK 2               #
                              |-|------------------------|-|

Durante os períodos de pre-publishing (*) e post-publishing (#), as ZSKs não são utilizadas para assinatura.

 

Emergencial

Uma substituição emergencial de chaves pode ser necessária caso a chave privada seja comprometida. A chave é considerada comprometida quando o Registro.br perde o controle sobre a mesma devido a cópia não autorizada, perda, roubo ou ainda obtenção da chave privada por análise criptográfica.

Se uma chave for comprometida, seu uso será descontinuado o mais rapidamente possível e uma nova chave será gerada e publicada. Será feito o maior esforço possível para evitar que a cadeia de confiança seja quebrada nestas situações.

A KSK BR é publicada no site do Registro.br. Sempre que uma nova chave pública KSK BR for disponibilizada, um anúncio será enviado para a lista anuncios-dnssec.

A KSK BR também é publicada no ITAR da IANA e no Registro DLV do ISC.