O Registro.br utiliza-se de 3 pares de chaves para assinatura em DNSSEC:

• KSK BR (Key Signing Key da zona BR): Sua chave privada é utilizada apenas para assinar o conjunto de chaves públicas da zona BR, ou seja, chaves públicas do KSK BR e ZSK BR.
• ZSK BR (Zone Signing Key da zona BR): Sua chave privada é utilizada para assinar records autoritativos da zona BR: conjunto de records do apex da zona BR e conjunto de records DS e NSEC.
• ZSK *.BR (Zone Signing Key das zonas abaixo de BR): Sua chave privada é utilizada para assinar records autoritativos das zonas gov.br, eng.br, eti.br e blog.br: conjunto de records do apex destas zonas e conjunto de records DS e NSEC.

Todos os pares de chaves são gerados com a utilização de software desenvolvido pelo Registro.br utilizando a biblioteca OpenSSL e com auxílio de hardware especializado para geração de números randômicos.

• KSK BR: Este par de chaves é gerado num servidor (off-line signer) totalmente desconectado da rede e armazenado em mídia removível com sistema de arquivos criptografado. Esta mídia é armazenada em local seguro. O algoritmo utilizado é o RSA/SHA-1 e o tamanho da chave é de 1280 bits.
• ZSK BR: Este par de chaves é gerado num servidor conectado (on-line signer) apenas ao servidor de publicação DNS. O algoritmo utilizado é o RSA/SHA-1 e o tamanho da chave é de 1152 bits.
• ZSK *.BR: Este par de chaves é gerado num servidor conectado (on-line signer) apenas ao servidor de publicação DNS. O algoritmo utilizado é o RSA/SHA-1 e o tamanho da chave é de 1024 bits.

A conexão do servidor de publicação DNS com o on-line signer é feita com cabo exclusivo e é utilizada somente para envio de records a serem assinados e recebimento de suas respectivas assinaturas.

KSK BR:

KSKs BR são manipuladas apenas quando é necessário reassinar o conjuntos de chaves da zona BR, por exemplo, quando uma nova ZSK BR é colocada em produção.

A entrada de chaves públicas e retirada dos respectivos records RRSIG do off-line signer é feita via mídia removível.

Assinaturas geradas com KSKs BR têm validade de 4 meses.

 

ZSK BR e ZSK *.BR:

ZSKs BR e ZSKs *.BR são utilizadas para assinaturas automáticas de zonas. Isto ocorre sempre que são feitas alterações incrementais numa zona ou numa publicação total.

As chaves privadas no on-line signer nunca são diretamente manipuladas no mesmo.

Assinaturas geradas com ZSKs têm validade de 7 dias.

Normal KSK BR

Substituições programadas da KSK BR são feitas uma vez ao ano. KSKs são utilizadas por 14 meses e é utilizada a técnica de double-signing (RFC 4641). Durante um período de 2 meses existirão duas KSK BR ativas.

     0                      Ano1                     Ano2
     |------------------------|------------------------|-------->
         KSK 1
     |---------------------------|
                                     KSK 2
                           |------------------------------|
                                                          KSK 3
                                                    |------------....

 

Normal ZSK BR

Substituições programadas da ZSK BR são feitas a cada 3 meses. ZSKs BR são utilizadas por pouco mais de 3 meses e é utilizada a técnica de pre-publishing (RFC 4641).

     0                     3meses                    6meses
     |------------------------|------------------------|-------->
         ZSK 1                   #
     |--------------------------|-|
                               *      ZSK 2               #
                              |-|------------------------|-|

Durante os períodos de pre-publishing (*) e post-publishing (#), as ZSKs não são utilizadas para assinatura.

 

Normal ZSK *.BR

Substituições programadas da ZSK *.BR são feitas mensalmente. ZSKs *.BR são utilizadas por pouco mais de 1 mês e é utilizada a técnica de pre-publishing (RFC 4641).

     0                      1mês                     2meses
     |------------------------|------------------------|-------->
         ZSK 1                   #
     |--------------------------|-|
                               *      ZSK 2               #
                              |-|------------------------|-|

Durante os períodos de pre-publishing (*) e post-publishing (#), as ZSKs não são utilizadas para assinatura.

 

Emergencial

Uma substituição emergencial de chaves pode ser necessária caso a chave privada seja comprometida. A chave é considerada comprometida quando o Registro.br perde o controle sobre a mesma devido a cópia não autorizada, perda, roubo ou ainda obtenção da chave privada por análise criptográfica.

Se uma chave for comprometida, seu uso será descontinuado o mais rapidamente possível e uma nova chave será gerada e publicada. Será feito o maior esforço possível para evitar que a cadeia de confiança seja quebrada nestas situações.

A KSK BR é publicada no site do Registro.br. Sempre que uma nova chave pública KSK BR for disponibilizada, um anúncio será enviado para a lista anuncios-dnssec.

A KSK BR também é publicada no Registro DLV do ISC.