Política de Publicação e Administração de Chaves DNSSEC

Introdução

O Registro.br utiliza-se de 3 pares de chaves para assinatura em DNSSEC:

  • KSK BR (Key Signing Key da zona BR): Sua chave privada é utilizada apenas para assinar o conjunto de chaves públicas da zona BR, ou seja, chaves públicas do KSK BR e ZSK BR.
  • ZSK BR (Zone Signing Key da zona BR): Sua chave privada é utilizada para assinar records autoritativos da zona BR: conjunto de records do apex da zona BR, com exceção do record DNSKEY e conjunto de records DS e NSEC.
  • ZSK *.BR (Zone Signing Key das zonas abaixo de BR): Sua chave privada é utilizada para assinar records autoritativos de todas as zonas BR de segundo nível: conjunto de records do apex destas zonas e conjunto de records DS e NSEC/NSEC3.

Procedimento de geração de chaves

Todos os pares de chaves são gerados com a utilização de software desenvolvido pelo Registro.br e com auxílio de hardware especializado para geração de números randômicos.

  • KSK BR: Este par de chaves é gerado e armazenado num servidor criptográfico (HSM - Hardware Security Module) conectado apenas ao servidor de publicação DNS. O algoritmo utilizado é o ECDSA Curve P-256 with SHA-256.
  • ZSK BR: Este par de chaves é gerado num servidor conectado (on-line signer) apenas ao servidor de publicação DNS. O algoritmo utilizado é o ECDSA Curve P-256 with SHA-256.
  • ZSK *.BR: Este par de chaves é gerado num servidor conectado (on-line signer) apenas ao servidor de publicação DNS. O algoritmo utilizado é o ECDSA Curve P-256 with SHA-256.

As conexões do servidor de publicação DNS com o on-line signer e com o HSM são feitas com cabo exclusivo e são utilizadas somente para envio de records a serem assinados e recebimento de suas respectivas assinaturas.

Tamanho das chaves

KSK BR:

  • De 06/2007 a 05/2015: RSASHA1 1280 bits;
  • De 05/2015 a 07/2015: 2 chaves RSASHA1 durante o rollover, sendo a antiga com 1280 bits e a nova 1536 bits;
  • De 07/2015 a 20/08/2018: RSASHA1 1536 bits;
  • De 20/08/2018 a 23/08/2018: 2 chaves durante o algorithm rollover, sendo uma RSASHA1 1536 bits e outra ECDSA Curve P-256 with SHA-256 (512 bits);
  • Desde 23/08/2018: ECDSA Curve P-256 with SHA-256 (512 bits).

ZSK BR:

  • De 06/2007 a 02/2015: RSASHA1 1152 bits;
  • De 02/2015 a 20/08/2018: RSASHA1 1280 bits;
  • 20/08/2018: 2 chaves durante o algorithm rollover, sendo uma RSASHA1 1280 bits e outra ECDSA Curve P-256 with SHA-256 (512 bits);
  • Desde 20/08/2018: ECDSA Curve P-256 with SHA-256 (512 bits).

ZSK *.BR:

  • De 06/2007 a 02/2015: RSASHA1 1024 bits;
  • De 02/2015 a 20/08/2018: RSASHA1 1280 bits;
  • 20/08/2018: 2 chaves durante o algorithm rollover, sendo uma RSASHA1 1280 bits e outra ECDSA Curve P-256 with SHA-256 (512 bits);
  • Desde 20/08/2018: ECDSA Curve P-256 with SHA-256 (512 bits).

Uso das chaves

KSK BR:

  • KSKs BR são manipuladas 2 vezes ao ano em cerimônias para geração da agenda de rollovers para períodos de 6 meses e para geração de assinaturas com a KSK BR.
  • Assinaturas geradas com KSKs BR no HSM têm validade de 3 semanas.

ZSK BR, ZSK *.BR:

  • ZSKs BR e ZSKs *.BR são utilizadas para assinaturas automáticas de zonas. Isto ocorre sempre que são feitas alterações incrementais numa zona ou numa publicação total.
  • As chaves privadas no on-line signer nunca são diretamente manipuladas no mesmo.
  • Todas as chaves no on-line signer são mantidas criptografadas em disco.
  • Assinaturas geradas com ZSKs têm validade de 14 dias.

Substituição de chaves (rollover)

Normal KSK BR

Substituições programadas da KSK BR são feitas a cada 2 a 5 anos, sempre na terceira segunda-feira de maio do ano escolhido. É utilizada a técnica de double-signing (RFC 6781 - seção 4.1.2). Durante um período de 2 meses existirão duas KSK BR ativas.

0                      Ano2                     Ano5
|------------------------|------------------------|-------->
    KSK 1
|--------------------------|
                                KSK 2
                       |------------------------------|
                                                     KSK 3
                                                |------------....

Normal ZSK BR

Substituições programadas da ZSK BR são feitas a cada 3 meses, toda primeira segunda-feira dos meses de fevereiro, maio, agosto e novembro. ZSKs BR são utilizadas por pouco mais de 3 meses e é utilizada a técnica de pre-publishing (RFC 6781 - seção 4.1.1.1).

0                     3meses                    6meses
|------------------------|------------------------|-------->
    ZSK 1                   #
|--------------------------|-|
                          *      ZSK 2               #
                         |-|------------------------|-|

Durante os períodos de pre-publishing (*) e post-publishing (#), as ZSKs não são utilizadas para assinatura.

Normal ZSK *.BR

Substituições programadas da ZSK *.BR são feitas mensalmente, toda segunda segunda-feira do mês. ZSKs *.BR são utilizadas por pouco mais de 1 mês e é utilizada a técnica de Double-DS rollover (RFC 6781 - seção 4.1.3).

0                      1mês                     2meses
|------------------------|------------------------|-------->
    ZSK 1                   #
|--------------------------|-|
                          *      ZSK 2               #
                         |-|------------------------|-|

Durante os períodos de pre-publishing (*) e post-publishing (#), as ZSKs não são utilizadas para assinatura.

Emergencial

Uma substituição emergencial de chaves pode ser necessária caso a chave privada seja comprometida. A chave é considerada comprometida quando o Registro.br perde o controle sobre a mesma devido a cópia não autorizada, perda, roubo ou ainda obtenção da chave privada por análise criptográfica.

Se uma chave for comprometida, seu uso será descontinuado o mais rapidamente possível e uma nova chave será gerada e publicada. Será feito o maior esforço possível para evitar que a cadeia de confiança seja quebrada nestas situações.

Distribuição de chaves

O .br publica o registro DS da KSK BR diretamente na raiz.