Public DENIC mailinglist

[DENIC Presse <presse AT denic.de>]

Sehr geehrte Damen und Herren,

DENIC hat die kryptographische Hardware zur Signierung der .de-Zone 
erneuert und dabei einen neuen KSK aktiviert.

Nach fünf Jahren Produktionsbetrieb mit DNSSEC und vorangegangenem Testbed 
war die Zeit gekommen, die für die Signierung der .de-Zone eingesetzte 
kryptographische Hardware (Hardware Security Module, HSM) abzulösen. Weil 
die privaten DNSSEC-Schlüssel – bestimmungsgemäß – nicht aus dem HSM 
ausgelesen werden können, kommen mit neuem HSM auch neue Schlüssel – hier: 
ein neuer Key Signing Key (KSK) – zum Einsatz. Während die 
Schlüsselwechsel der Zone Signing Keys (ZSK) schon jetzt regelmäßig alle 
fünf Wochen erfolgen, haben wir nun den ersten vollständigen KSK-Rollover 
durchgeführt. Künftige KSK-Wechsel werden entsprechend nach Bedarf 
vorgenommen. 

Handlungsbedarf: Keiner
Diesen für die validierenden Resolver vollständig transparenten Vorgang 
haben wir mit dem „Double DS“-Schema nach RFC 6781 durchgeführt. Dadurch 
sind noch für eine Übergangszeit zwei DS-Records für DE in der Rootzone 
hinterlegt. „Double DS“ ist insbesondere beim gleichzeitigen Wechsel von 
KSK und HSM von Vorteil, weil es ohne doppelte KSK-Signaturen auskommt.

Zukunftsmusik: Elliptische Kurven
Die kryptographischen Parameter, insbesondere den Algorithmus (RSA) und 
die Schlüssellänge (2048 Bit), haben wir beibehalten. Auch wenn neue 
Verfahren wie „elliptische Kurven“ (EC) Vorteile durch deutlich kürzere 
Signaturen bieten, halten wir einen Umstieg auf TLD-Ebene derzeit noch für 
verfrüht. An den entsprechenden Diskussionen in der Standardisierung und 
in der operativen Community ist DENIC beteiligt.

Seit September 2015 unterstützt DENIC für Second Level Domains die 
Registrierung von ECDSA- und GOST-Schlüsseln. Von den aktuell etwa 50.000 
signierten .de-Domains nutzen ca. 250 diese EC-Verfahren.

Übrigens:
Auch für die Rootzone steht ein Wechsel des KSK ins Haus, geplant ist 
derzeit ein bis Anfang 2018 laufendes Verfahren. Dabei ist eine 
Aktualisierung der Root-Trust-Anchor in jedem validierenden Resolver 
zwingend notwendig. Betreiber solcher Resolver sollten sich rechtzeitig 
etwa über ICANN informieren und gegebenenfalls notwendige Aktualisierungen 
durchführen. 

________________________________

Dear Sir or Madam,

DENIC has replaced the cryptographic hardware for signing the .de zone and 
rolled out a new KSK.

After five years of productive operation with DNSSEC and the preceding 
testbed, time had come to replace the cryptographic hardware (Hardware 
Security Module, HSM) used for signing the .de zone. Since the private 
DNSSEC keys cannot – by definition – be read out from the HSM, the new HSM 
brings along new keys. This time a new Key Signing Key (KSK). While the 
Zone Signing Keys (ZSK) are already being replaced every five weeks, this 
is the first time for us to perform a complete KSK rollover. In the 
future, KSK rollovers will be implemented as required. 

Need for Action: None
We have performed this action applying the "Double-DS" scheme as defined 
in RFC 6781, which is fully transparent for the validating resolver. With 
this scheme, two DS records remain valid for DE in the root zone for a 
transition period. "Double DS" is particularly suited when replacing the 
KSK and the HSM at the same time because it does not need double KSK 
signatures.

Dreams of the Future: Elliptical Curves
We have maintained the cryptographic parameters, in particular the 
algorithm (RSA) and the key length (2048 bit). Even though new solutions 
like elliptical curves (EC) offer advantages due to significantly reduced 
signature length, we think it is too early to switch to this solution at 
the TLD level. DENIC is involved in the related discussion in the 
standardisation and the operative communities.

Since September 2015, DENIC supports the registration of ECDSA and GOST 
keys for second level domains. About 250 of the currently roughly 50,000 
signed .de domains make use of this EC procedure.

Good to know:
Also for the root zone, a KSK rollover is coming up. At present we are 
planning an implementation that will be finished in early 2018. An update 
of the root trust anchor is mandatory in this context for each validating 
resolver. The operators of these resolvers should obtain information from 
ICANN in due time and carry out the necessary update, if required.


Mit freundlichen Grüßen / Best regards

Susanne Knauf-Hochvárt
Unternehmenskommunikation / Public Relations
-- 

DENIC eG | Kaiserstraße 75 - 77 | 60329 Frankfurt am Main | GERMANY
E-Mail: presse AT denic.de | Fon: +49 69 27235-274 | Fax: -235
https://www.denic.de

Angaben nach § 25a Absatz 1 GenG:
DENIC eG (Sitz: Frankfurt am Main)
Vorstand: Helga Krüger, Martin Küchenthal, Andreas Musielak, Dr. Jörg 
Schweiger 
Vorsitzender des Aufsichtsrats: Thomas Keller
Eingetragen unter Nr. 770 im Genossenschaftsregister, Amtsgericht 
Frankfurt am Main

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature

____________________________________
Mailinglist-Managenment:
http://mailinglists.denic.de/mailman/listinfo/public-l