先日の JPNIC主催DNSSECセミナーで、「KSKの鍵長は4096bitが標準だ」と聞いた。
え、以前JPRSのセミナで聞いたときは 2048bit推奨だったんで、2048bitのまま運用してたよー。
情報収集をさぼってたせいですかねぇ (>_<)
というわけで、今回 KSK鍵を4096bitに変更した。
ただし、運用に支障なく、というのを大前提で。
まず、KSKの鍵長を変えるということでポリシーファイルをいじる必要がある。
ウチの場合は現在3種類のポリシーを持っている。
- default 通常運用を想定した、KSK 1年ローテ
- monthly テスト用で通常運用を想定した KSK 1か月ローテ
- weekly テスト用で、できるだけ最短に更新確認をしたい、KSK 1週間ローテ
で、ポリシーファイルは kasp.xml
変更箇所は省略。
とはいえ、まぁ、こんな場所。
<!-- Parameters for KSK only -->
<KSK>
<Algorithm length="2048">8</Algorithm>
……
</KSK>全ポリシーのこの部分を4096に変更して再起動して、最短のKSKが更新されるのを待つ。
その日が過ぎて……
ods-ksmutil key list -v をしたところ、新しいKSKも2048bit。へっ?
・設定(kasp.xml)は変わってる
→ エディタで目視。
・DB (kasp.db) の parameters_policies テーブル内のKSK鍵長は2048のまま
→ dbダンプして確認
dsec01# sqlite3 kasp.db ".dump parameters_policies"
第二パラメータ policy_id が 19のやつがそう。
dsec01# sqlite3 kasp.db ".dump parameters_policies" | grep ',19,'
INSERT INTO "parameters_policies" VALUES(18,19,1,2048);
INSERT INTO "parameters_policies" VALUES(56,19,2,2048);
INSERT INTO "parameters_policies" VALUES(94,19,3,2048);
dsec01#
DB上では変わってないので、DBを直接いじることも考えたけど、まずはコマンド確認。
ods-ksmutil update kasp ってのがあった。
これを実行して、再度DBダンプしたところ、ちゃんと4096に変わってた。
試しにダミードメイン名で zone add したら、KSKが4096になってた。めでたし。
んで、ただいま、最短のKSKが更新されるの待ち中。
補足
本件も過去の個人ブログからの発掘です。
OpenDNSSEC 1.2.x での運用です。
COBOL系SE,PG から NetNews(nntp)配送管理者(tnn.netnews.stats集計担当) を経て現職。
社内業務改善(「やりたくない」がモチベーション)でいろいろ社内ツールを作ってきました。
ネットワーク系の機器をいじることも多いので、それらの管理や制御に関するツールもちらほら。
perlで書くことが多いですね。(COBOLやFORTRAN、Pascal でもいいですけど……)
どれだけ読みやすく書けるか、10年後の自分に手紙でも書くような気持ちで。
最近はDNSを少しかじったりしてますが、いろいろ悩ましいことが多すぎます (>_<)
好きなポート番号は53、119、123です。
LINK
クラウドベリージャム:プロフィールページ