Política de Publicação e Administração de Chaves DNSSEC

Introdução

O Registro.br utiliza-se de 4 pares de chaves para assinatura em DNSSEC:

Procedimento de geração de chaves

Todos os pares de chaves são gerados com a utilização de software desenvolvido pelo Registro.br utilizando a biblioteca OpenSSL e com auxílio de hardware especializado para geração de números randômicos.

As conexões do servidor de publicação DNS com o on-line signer e com o HSM são feitas com cabo exclusivo e são utilizadas somente para envio de records a serem assinados e recebimento de suas respectivas assinaturas.

Tamanho das chaves

Uso das chaves

KSK BR:
KSKs BR são manipuladas 2 vezes ao ano em cerimônias para geração da agenda de rollovers para períodos de 6 meses e para geração de assinaturas com a KSK BR.
Assinaturas geradas com KSKs BR no HSM têm validade de 3 semanas.
 
ZSK BR, ZSK *.BR e ZSK *.BR NSEC3:
ZSKs BR e ZSKs *.BR são utilizadas para assinaturas automáticas de zonas. Isto ocorre sempre que são feitas alterações incrementais numa zona ou numa publicação total.
As chaves privadas no on-line signer nunca são diretamente manipuladas no mesmo.
Todas as chaves no on-line signer são mantidas criptografadas em disco.
Assinaturas geradas com ZSKs têm validade de 7 dias.

Substituição de chaves (rollover)

Normal KSK BR
Substituições programadas da KSK BR são feitas a cada 2 a 5 anos, sempre na terceira segunda-feira de maio do ano escolhido. É utilizada a técnica de double-signing (RFC 4641). Durante um período de 2 meses existirão duas KSK BR ativas.
     0                      Ano2                     Ano5
     |------------------------|------------------------|-------->
         KSK 1
     |--------------------------|
                                     KSK 2
                            |------------------------------|
                                                          KSK 3
                                                     |------------....
			

 
Normal ZSK BR
Substituições programadas da ZSK BR são feitas a cada 3 meses, toda primeira segunda-feira dos meses de fevereiro, maio, agosto e novembro. ZSKs BR são utilizadas por pouco mais de 3 meses e é utilizada a técnica de pre-publishing (RFC 4641).
     0                     3meses                    6meses
     |------------------------|------------------------|-------->
         ZSK 1                   #
     |--------------------------|-|
                               *      ZSK 2               #
                              |-|------------------------|-|
			
Durante os períodos de pre-publishing (*) e post-publishing (#), as ZSKs não são utilizadas para assinatura.
 
Normal ZSK *.BR e ZSK *.BR NSEC3
Substituições programadas da ZSK *.BR são feitas mensalmente, toda segunda segunda-feira do mês. ZSKs *.BR são utilizadas por pouco mais de 1 mês e é utilizada a técnica de pre-publishing (RFC 4641).
     0                      1mês                     2meses
     |------------------------|------------------------|-------->
         ZSK 1                   #
     |--------------------------|-|
                               *      ZSK 2               #
                              |-|------------------------|-|
			
Durante os períodos de pre-publishing (*) e post-publishing (#), as ZSKs não são utilizadas para assinatura.
 
Emergencial
Uma substituição emergencial de chaves pode ser necessária caso a chave privada seja comprometida. A chave é considerada comprometida quando o Registro.br perde o controle sobre a mesma devido a cópia não autorizada, perda, roubo ou ainda obtenção da chave privada por análise criptográfica.
Se uma chave for comprometida, seu uso será descontinuado o mais rapidamente possível e uma nova chave será gerada e publicada. Será feito o maior esforço possível para evitar que a cadeia de confiança seja quebrada nestas situações.

Distribuição de chaves

O .br publica o registro DS da KSK BR diretamente na raiz.