Подготовлен итоговый отчет по результатам исследования алгоритма обновления ключа для подписания корневой зоны для DNSSEC-протокола

Интернет-корпорация по присвоению имен и номеров (ICANN) с удовлетворением сообщает о подготовке итогового отчета об исследовании вопроса смены алгоритмов DNSSEC-протокола (расширений безопасности системы доменных имен). Отчет, подготовленный группой разработчиков и волонтерами, содержит ряд рекомендаций как о подходе к выбору криптографического алгоритма, так и о том, как можно выполнить процедуру обновления ключа в корневой зоне DNS.

После публикации этого отчета ICANN начнет пользоваться выводами исследования для внесения изменений в алгоритм, который используются для подписи корневой зоны. Не ожидается, что рекомендации группы разработчиков отразятся на текущей процедуре смены ключа для подписания ключей (KSK), но они будут использоваться при выполнении этой процедуры в будущем. В рамках текущей процедуры будет осуществлена смена ключевого оборудования, которое используется для хранения KSK (известное под названием программно-аппаратный криптографический модуль, HSM) в связи с решением его поставщика прекратить заниматься этой деятельностью.

При нормальных обстоятельствах ICANN предполагает осуществлять смену ключа раз в три года. Это значит, что следующий ключ будет сгенерирован приблизительно в 2027 году, а до того ICANN изучит, соответствует ли текущий алгоритм подписи ключа рекомендациям группы разработчиков. Этих сроков достаточно для того, чтобы ICANN и ее партнеры по управлению корневой зоной могли разработать планы работы и системы, необходимые для внесения изменений в алгоритм.

Безопасность и стабильность DNS требует возможности менять ключи. Обновление ключа корневого KSK, то есть замена одного ключа другим, позволяет реализовать эти механизмы для обеспечения рабочей готовности.

Для участия в обсуждении вопросов, связанных с обновлением KSK, подпишитесь на лист рассылки ksk-rollover.