Hlavní navigace

Vlákno názorů k článku Bezpečné DNS a DANE do každého počítače? od Kouli - Podle mne ten koncept ZSK+KSK je dobrý tak...

  • Článek je starý, nové názory již nelze přidávat.
  • 15. 8. 2016 8:27

    Kouli (neregistrovaný)

    Podle mne ten koncept ZSK+KSK je dobrý tak pro kořenovou zónu. V nižších existují často technická opatření pro jednoduchou změnu toho "top" klíče (tj. KSK) - tj. pro nové podepsání klíčů v nadřazené zóně. Podobně i v .CZ: změna KSK pro doménu něco.cz v databázi NICu je o dost jednodušší, než třeba změny certifikátů X.509 (revokace).

    Dá se na to dívat také tak, že KSK+ZSK nesníží množství dat z 2k na 1k bitů, ale že ho zvýší na 3k. Za úplně zbytečný ho považuji hlavně na serverech 2. úrovně (něco.cz), kde bývají KSK i ZSK uloženy na jednom místě a skripty okopírované z různých návodů jen podepisují/mění KSK a ZSK s různou časovou periodou. Já používám jediný RSA klíč 2k...

  • 15. 8. 2016 9:45

    Ondřej Caletka
    Zlatý podporovatel

    Podobně i v .CZ: změna KSK pro doménu něco.cz v databázi NICu je o dost jednodušší, než třeba změny certifikátů X.509 (revokace).

    To záleží případ od případu. Třeba revokace certifikátu od Let's Encrypt je jedno API volání, vystavení nového další tři. Změna DS záznamu v .CZ se liší registrátor od registrátora, s tím že někteří ani žádné API nemají. A změna DS záznamů v jiné TLD se zase dělá úplně jinak. Domnívám se, že drtivá většina držitelů domén edituje DS záznamy ručně a asi by něco takového nechtěla dělat každý měsíc.

    Dá se na to dívat také tak, že KSK+ZSK nesníží množství dat z 2k na 1k bitů, ale že ho zvýší na 3k.

    Tak to ale není. Stačí prolomit kterýkoli z nich a zóna je kompromitovaná.

    Za úplně zbytečný ho považuji hlavně na serverech 2. úrovně (něco.cz), kde bývají KSK i ZSK uloženy na jednom místě a skripty okopírované z různých návodů jen podepisují/mění KSK a ZSK s různou časovou periodou. Já používám jediný RSA klíč 2k...

    Dvojice klíčů nemá jen bezpečnostní, ale i výkonostní význam. Kratší klíče generují kratší podpisy, zabírají méně místa a ověřují se rychleji. Pro zóny, kde je hodně záznamů tam tedy může být výkonostní benefit, pokud je ZSK kratší než KSK. Pro zóny, kde je jen pár jmen, případně kde jsou ZSK i KSK stejně dlouhé, je použití dvojice klíčů uložených na stejném uložišti skutečně zbytečné.