<tt><font size=2>John Dickinson <jadsab@googlemail.com> wrote on
03/05/2009 05:41:13 PM:<br>
<br>
> On 5 Mar 2009, at 13:54, Roy Arends wrote:<br>
> <br>
> > Matthijs Mekking wrote on 03/05/2009 02:38:33 PM:<br>
> ><br>
> > > The discussion continued at our office.<br>
> > > RFC 4641 says the ZSK should sign all the RRsets.<br>
> > > For the sake of OpenDNSSEC, perhaps we should add an attribute
to  <br>
> > keys<br>
> > > called 'sign-what' or something, that can have the following
values:<br>
> ><br>
> > Okay, lets ignore the terminology SEP/KSK/ZSK for now.<br>
> ><br>
> > > - sign nothing<br>
> > > - sign all<br>
> > > - sign all but keyset<br>
> > > - sign only keyset.<br>
> > ><br>
> > > Makes sense?<br>
> ><br>
> > Yes it does. We need to have a set of keys, that when combined,
 <br>
> > signs everything in the zone (the keys need to complement each
 <br>
> > other), and also note that overlap is not an issue.<br>
> ><br>
> > I can think of a variety of 'ranges' for a key:<br>
> ><br>
> > DNSSEC signing, three bits:<br>
> ><br>
> > sign keyset: 001<br>
> > sign data:   010<br>
> > sign NSEC/3: 100<br>
> ><br>
> > So, a key with range 7 would sign everything (similarly like
a ZSK),  <br>
> > and a key with range 1 would be a KSK.<br>
> ><br>
> > All the keys that are currently in use, must have a combined
range  <br>
> > of "7"<br>
> ><br>
> > I can also see seperate DNSKEY uses, for instance signatures
over  <br>
> > SSHFP's or over CERT records, which would automatically get a
range  <br>
> > of 0, and an associated range.<br>
> ><br>
> <br>
> Do we really need all this complexity? What is wrong with<br>
> <br>
> KSK = SEP = Sign only DNSKEY RRSet.<br>
> ZSK = !SEP = Sign all RRSets.<br>
> <br>
> This might be boring but it causes no surprises and is as people  <br>
> expect when they read the Pro DNS and BIND book or the dnssec-keygen/
<br>
> signzone man pages. One of the aims of OpenDNSSEC is to make DNSSEC
 <br>
> simple.</font></tt>
<br>
<br><tt><font size=2>There is nothing wrong with the assumption that KSK=SEP=Sign
DNSKEY, and ZSK=!SEP=Sign All. That can be taken care of in the presentation
layer, right? The gui, the default settings, etc.</font></tt>
<br>
<br><tt><font size=2>However, with an increasing flexible and dynamic name-service
environment, while we might see new applicability of DNSSEC to specific
needs, why not provision for that. Is it really so much more? Is it really
so complex? Mind you, we're not actually presenting this  flexibility
and complexity to the end user, but we could take it into account now.</font></tt>
<br>
<br><tt><font size=2>To converge, why not have the KSK functionality have
a value of "1" and the ZSK functionality a value of "7".
Leave the rest undefined, ffu, or what not.</font></tt>
<br>
<br><tt><font size=2>Regards,</font></tt>
<br>
<br><tt><font size=2>Roy Arends</font></tt>
<br><tt><font size=2>Sr. Researcher</font></tt>
<br><tt><font size=2>Nominet UK</font></tt>