Межсетевое экранирование



              

Создание пары открытый / закрытый ключи (DNSSEC-ОР1) - часть 3


С точки зрения компрометации воздействие ограничено одной зоной, потому что применение ключа ZSK ограничено подписыванием множества ресурсных записей только данной зоны, он не используется для предоставления аутентифицированного делегирования родительской зоне. Следовательно, ключ ZSK может иметь меньшую длину, чем ключ KSK.

Выбор периода использования (периода обновления) определяется риском раскрытия ключа. В случае KSK объем подписываемой информации не очень большой (потому что ключ KSK подписывает только множество ресурсных записей DNSKEY, и частота изменения данного множества ресурсных записей также маленькая). Минимальная вероятность раскрытия ключа (небольшой объем данных, доступный для угадывания KSK-private) в комбинации с большой длиной ключа приводит к тому, что период использования KSK может быть большим (обычно год или два).

В случае ключа ZSK риск раскрытия больше. Большая, чем для KSK вероятность раскрытия ключа есть результат того, что подписываемый объем данных является достаточно большим (так как ZSK подписывает все ресурсные записи в зоне, и изменения ресурсных записей происходят чаще, чем ресурсных записей DNSKEY, тем самым количество создаваемых подписей больше). Этот фактор в сочетании с относительно небольшой длиной ключа приводит к тому, что период действительности ключей ZSK должен быть меньше, чем период действительности ключей KSKобычно месяц или два).

Рекомедация:

Длина ключа для KSK должна быть достаточно большой, потому что компрометация KSK-ключа сильно влияет на безопасность DNS. Период действительности (период обновления) для ZSK должен быть сравнительно коротким, потому что существует больший риск угадывания ключа в результате большей незащищенности ZSK-ключа.

С точки зрения количества создаваемых ключей каждого типа (KSK и ZSK), хорошей практикой считается создание дополнительного ключа ZSK к тому, который используется в текущий момент. Следовательно, администратор зоны должен использовать программу создания ключа для создания одного KSK и двух ZSKs при начальном развертывании DNSSEC.Один ZSK рассматривается как активный ключ, и его закрытая часть (ZSK-private) используется для создания подписей. Другой ZSK (ZSK-public) помещается в множество ресурсных записей DNSKEY, но соответствующая закрытая часть (ZSK-private) не будет использоваться для подписывания множества ресурсных записей. Данный дополнительный ключ ZSK дает возможность немедленно обновить ZSK в случае аварийных ситуаций, таких как компрометация ключа. Этот подход предоставляет способ предварительного уведомления resolver’ов, которые будут проверять подписи зон, что это тот ключ, который станет новым ключом после истечения периода действительности текущего ключа. Указание периода действительности ключа в множестве ресурсных записей DNSKEY дает возможность resolver’ам кэшировать и устанавливать доверие к новому ключу так, что они могут немедленно после обновления использовать новый ключ для проверки подписи.




Содержание  Назад  Вперед