Обновление ключа KSK в глобально безопасной зоне
Ключ KSK (KSK-public) является ключом, для которого родитель данной безопасной зоны обеспечивает доверие. Для этого он использует ресурсную запись DS, которая содержит хэш дочернего ключа KSK. Делегирующий родитель подписывает данную ресурсную запись DS своим собственным ключом ZSK для того, чтобы отношения доверия осталось в силе. Для обновления ключа KSK дочерней зоны следует выполнить следующее:
-
создать новый ключ KSK и добавить его в множество зонных ключей;
-
подписать множество ключей зоны новым ключом KSK, а также старым ключом KSK (ключом, который истекает);
-
передать новый ключ KSK своему родителю таким способом, при котором родитель мог бы аутентифицировать этот ключ;
-
в родительской зоне создать новую DS-ресурсную запись (которая заменит старую DS-ресурсную запись), содержащую хэш нового ключа KSK, затем подписать заново созданную DS-ресурсную запись.
Для того чтобы родитель мог аутентифицировать новый ключ KSK (будем называть его KSK2), основываясь на существующей цепочке доверия, дочерняя зона при выполнении обновления ключа создает DNSKEY-множество ресурсных записей, используя DNSKEY-ресурсные записи существующего ключа вместе с новой DNSKEY-ресурсной записью для KSK2. Затем создаются две подписи (две RRSIG-ресурсные записи) – одна с использованием существующего ключа KSK, другая с использованием нового ключа KSK2. Затем родителю посылается заново созданное DNSKEY множество ресурсных записей вместе с RRSIG-ресурсными записями (во множественном числе, потому что существуют две подписи, соответствующие ключам KSK и KSK2). Множество ресурсных записей, посылаемое родителю, приведено ниже в некотором псевдоформате:
example.ru DNSKEY <key-id: 43543> /* новый KSK*/ example.ru DNSKEY <key-id: 78546> /* существующий KSK*/ example.ru DNSKEY <key-id: 98342> /* ZSK*/ example.ru RRSIG (DNSKEY) <signer:example.ru signing-key:78546> /* весь DNSKEY RRset подписан существующим KSK */ example.ru RRSIG (DNSKEY) <signer:example.ru signing-key:43543> /* весь DNSKEY RRset подписан новым KSK */
При получении данной информации родитель выполняет следующие действия:
проверяет правильность подписи, сделанной ключом KSK 78456 для заново созданного множества ресурсных записей DNSKEY, которое включает новый ключ KSK2. Это выполняется с использованием первой из RRSIG-ресурсных записей заново созданного DNSKEY-множества ресурсных записей, (записи, в которой указан 78456 в качестве ключа подписывания) и своей собственной DS-ресурсной записи;
проверяет аутентичность ключа KSK2 по открытому ключу KSK2 дочерней зоны. Для этого он проверяет вторую RRSIG-ресурсную запись (запись, в которой указан 43543 в качестве ключа подписывания) из DNSKEY-множества ресурсных записей;
создает новую DS-ресурсную запись, содержащую хэш нового ключа KSK2;
создает RRSIG для новой DS-ресурсной записи ключа KSK2.
Когда данные задачи выполнены родителем, процесс обновления ключа KSK с точки зрения дочерней зоны полностью выполнен. Родительская зона должна затем обновить свой зонный файл с новой DS-ресурсной записью. Это аналогично обновлению любого другого множества ресурсных записей, которое включает создание, если требуется, любых новых RRSIG. Данное обновление может выполняться автоматически. Это означает, что старая DS-ресурсная запись может быть сброшена и одновременно новая DS-ресурсная запись добавлена. При этом будет выполнено только одно переподписывание в зоне.
Делегированная дочерняя зона должна сохранять истекший ключ KSK в своем множестве ключей до тех пор, пока она не получит подтверждение, что родительская зона выполнила соответствующее обновление DS для гарантии целостности цепочки аутентификации при обновлении ключа KSK. После того как дочерняя зона получает подтверждение, что делегирующий родитель обновил информацию делегирования для дочерней зоны, администратор дочерней зоны должен удалить старый ключ KSK из набора ключей и переподписать с использованием ключа ZSK новый ключ KSK.
