<tt><font size=2>Matthijs Mekking wrote on 03/05/2009 02:38:33 PM:<br>
<br>
> The discussion continued at our office.<br>
> RFC 4641 says the ZSK should sign all the RRsets.<br>
> For the sake of OpenDNSSEC, perhaps we should add an attribute to
keys<br>
> called 'sign-what' or something, that can have the following values:</font></tt>
<br>
<br><tt><font size=2>Okay, lets ignore the terminology SEP/KSK/ZSK for
now.</font></tt>
<br><tt><font size=2> <br>
> - sign nothing<br>
> - sign all<br>
> - sign all but keyset<br>
> - sign only keyset.<br>
> <br>
> Makes sense?<br>
</font></tt>
<br><tt><font size=2>Yes it does. We need to have a set of keys, that when
combined, signs everything in the zone (the keys need to complement each
other), and also note that overlap is not an issue.</font></tt>
<br>
<br><tt><font size=2>I can think of a variety of 'ranges' for a key:</font></tt>
<br>
<br><tt><font size=2>DNSSEC signing, three bits:</font></tt>
<br>
<br><tt><font size=2>sign keyset: 001</font></tt>
<br><tt><font size=2>sign data:   010</font></tt>
<br><tt><font size=2>sign NSEC/3: 100</font></tt>
<br>
<br><tt><font size=2>So, a key with range 7 would sign everything (similarly
like a ZSK), and a key with range 1 would be a KSK.</font></tt>
<br>
<br><tt><font size=2>All the keys that are currently in use, must have
a combined range of "7"</font></tt>
<br>
<br><tt><font size=2>I can also see seperate DNSKEY uses, for instance
signatures over SSHFP's or over CERT records, which would automatically
get a range of 0, and an associated range.</font></tt>
<br>
<br><tt><font size=2>Just a thought,</font></tt>
<br>
<br><tt><font size=2>Regards,</font></tt>
<br>
<br><tt><font size=2>Roy Arends</font></tt>
<br><tt><font size=2>Sr. Researcher</font></tt>
<br><tt><font size=2>Nominet UK</font></tt>
<br>