Vlákno názorů k článku Údržba DNSSEC klíčů od Petr - Žádný systém založený na distribuci klíčů není úplný,...

  • Článek je starý, nové názory již nelze přidávat.
  • 26. 1. 2009 18:59

    Petr (neregistrovaný)
    Žádný systém založený na distribuci klíčů není úplný, pokud není vyřešena revokace klíče.

    Představme si hypotetický scénář, kdy nemorální insider vynese z nic.cz klíč, kterým se podepisuje .cz zóna. Prodá ho třeba nějakému rhybářovi pídícímu se po heslech homebankingu. Řekněme, že nic.cz po nějaké době zjistí, že se po síti toulá podepsaná leč nesprávná zóna, tedy že došlo ke kompromitaci klíče - jak tedy nic.cz pošle do světa informaci "starému klíči okamžitě nevěřte, věřte jen novému"? (A jak bude autorizováno, že tuhle zprávu poslal nic.cz?)

    Pokud se očekává, že každý správce netrpělivě čeká u svého oblíbeného zpravodajského serveru, až se dozví o novém komprovitovaném klíči, a pak běží updatovat svůj resolver, je ... naivní.
  • 27. 1. 2009 11:27

    Adam Tkac
    Revokace klicu neni zas az tak nutna. Pokud je podpisovy klic (KSK) kompromitovan, spravce domeny ho muze jednoduse "zahodit" a podepsat domenu novym klicem. Pote musi uplynout cas, kdy vyprsi TTL stareho klice a starych podpisu v cache resolveru (obvykle 1 den). Pote se bude resolver znovu dotazovat autoritativniho serveru na KSK a pouzije novy. Zde samozrejme nastane problem, protoze se novy KSK nenachazi mezi tzv. "trust anchors" resolveru. Resolver tedy bude vracet servfail a domena bude nedostupna. Administrator resolveru ho pote updatuje.

    Lepsi reseni, ktere zatim neni siroce implementovano, je popsano v RFC 5011 (Automated Updates of DNS Security (DNSSEC) Trust Anchors). Zde je detailne rozebrana problematika aktualizace/revokace KSK.