Hlavní navigace

Přechod domény CZ na algoritmus ECDSA vstupuje do třetí fáze

Ondřej Caletka

Přesně podle plánu byl dnes v 10:00 na DNS serverech sdružení CZ.NIC publikován veřejný klíč algoritmu ECDSA. Historicky druhá výměna algoritmu v TLD zóně .CZ tedy úspěšně ukončila druhou fázi.

$ dig cz. dnskey +edns +multi +dnssec
…
cz.           3500 IN DNSKEY 257 3 13 (
                      nqzH7xP1QU5UOVy/VvxFSlrB/XgX9JDJzj51PzIj35TX
                      jZTyalTlAT/f7PAfaSD5mEG1N8Vk9NmI2nxgQqhzDQ==
                      ) ; KSK; alg = ECDSAP256SHA256 ; key id = 20237
cz.           3500 IN DNSKEY 257 3 10 (
                      AwEAAay0hi4HN2r/BqMQTpIPIVDyjmyF+9ZWvr5Lewx+
                      q+947o/GrRv4FGFfkZxf9CFfYVUf0jG5Yq4i06pGVNwJ
                      l81HS9Ux2oeHRXUvgtLnl5HeRVLL+zgI5byx9HSNr4bP
                      O8ZEn5OjoayhkNyGSFr4VWrzQk/K02vLP4d1cCEzUQy3
                      0eyZto2/tG5ZwCU/iRkS1PJOcOW98hiFIfFDZv1XjbEp
                      qEYhT2PATs6rt+BKwSHKGISmg1PNdg+y0rItemYMWr1f
                      9BGAdtTWoPCPCYPjOZMPoIyA4tMscD+ww54Jf/QNoHcc
                      Y4hO1yHiuAXG7SUn8jo0IKQ9W7JJxES0aqFCX/0=
                      ) ; KSK; alg = RSASHA512 ; key id = 54576
cz.           3500 IN RRSIG DNSKEY 10 1 3600 (
                      20180630000000 20180529000000 54576 cz.
                      hF8b6DqkjXOmAlzrhqw2XUSvYCwD2HBhlLBjIba7ypEb
                      hfkcWwaEIeOXMkqnFwuD18xxMvp+FLh+PnlHtNGSjLTc
                      fA3D98AyXOgKFuT4oZtCH6lDpouU9gKoSF62WB1s/LuV
                      2B3HeGlA5i6r+wZmp4EYTlk4F8FBPhv4O9zgllQdJkiu
                      SzXDsbKNct8K7pAPhTOzAI780vgB5H2RhRdeEFsePgGf
                      PYct5biQ4LebedwJ19Hw/WOFAg0k2gWuCNFjZqvLrw2/
                      dIwQoDBQQka2EedWt+UX00WVp3lnoF8vdVK0tcKpvaVd
                      lThf0Ko5ukVkPcB7ICzRNgm/hlDpuOy93Q== )
cz.           3500 IN RRSIG DNSKEY 13 1 3600 (
                      20180630000000 20180529000000 20237 cz.
                      QWhin24463BRXt6GifcZGDUWYk6sXYxkFpVT8uVqPAJa
                      yv6HJdLjU1a1AX4+r2z2FwvKblFhCeXLmpOMOgGRdQ== )

V tuto chvíli je tedy zóna cz plnohodnotně podepsána jak původním RSA klíčem s identifikátorem 54576, tak i novým ECDSA klíčem s identifikátorem 20237. V ukázce výše je vidět dramatický rozdíl velikosti klíčů i podpisů pro nový algoritmus. V tuto chvíli je tedy možné v jednom změnit bezpečnou delegaci v kořenové zóně ze starého klíče na nový.


DNSviz.net

Vizualizace aktuálního vztahu klíčů

Na změnu bezpečné delegace v kořenové zóně má IANA sedm dnů, pravděpodobně k ní však dojde dříve. Po jejím provedení budou následovat fáze úklidu – nejprve odstranění RSA klíčů a o den později bude přechod dokončen odstraněním RSA podpisů.

Našli jste v článku chybu?