
<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Jun 2, 2014 at 1:56 PM, Jerry Lundström <span dir="ltr"><<a href="mailto:jerry@opendnssec.org" target="_blank">jerry@opendnssec.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="">On mån, 2014-06-02 at 11:56 +0200, Gilles Massen wrote:<br>


> Our key material is stored in an HSM (Keyper), we have a production<br>

> HSM (which is fine) and an identical setup (with copies of the keys)<br>

> as backup. And on the backup the signatures failed. I have no errors<br>

> in the Keyper's logs, so it really looks as if one specific keys was<br>

> corrupted. All other signatures are fine, so the obvious fix was to<br>

> roll the keys, and now both systems are fine.<br>

><br>

> One question that remains: has someone seen this kind of error? Is<br>

> that something to be expected?<br>

<br>

</div>A corrupt key within Keyper would create invalid signatures and<br>

OpenDNSSEC does not validate the information from the HSM, that was a<br>

job for the auditor and now days we recommend other tools such as<br>

validns to do this validation if needed.<br>

<br>

How this happened might remain a mystery, corrupt data within the HSM,<br>

unnoticed errors, who knows.<br>

<div class=""><br>

> And does OpenDNSSEC has by any chance a rough tool to create a sig<br>

> with a given key referenced by the kasp.db?<br>

<br>

</div>Only thing that I can think off is that we have ods-hsmutil which can<br>

generate a DNSKEY RR but you don't really have to have a specific<br>

OpenDNSSEC tool for this. You can list the keys used for a zone and get<br>

the CKA_ID which could be used by another tool that talks PKCS#11 to<br>

generate signatures. I do not know of such a tool.<br>

<div class=""><div class="h5"><br></div></div></blockquote><div>I use ods-ksmutil key list to obtain the CKA_ID for all keys for a zone, then dnssec-keyfromlabel to create the files with metadata for these keys, store the files in a temp directory and then I use dnssec-signzone (-S) to actually sign the zone. For the most simple scenario when there are only two active keys, ZSK and KSK, I run dnssec-keyfromlabel twice with different options to correctly create the ZSK and KSK files. In the middle of rollover or when using stand-by keys, I use dnssec-keyfromlabel few times, to create all needed key files.</div>

<div><br></div><div>Emil</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class=""><div class="h5">


--<br>

Jerry Lundström - OpenDNSSEC Developer<br>

<a href="http://www.opendnssec.org/" target="_blank">http://www.opendnssec.org/</a><br>

<br>

</div></div><br>_______________________________________________<br>

Opendnssec-user mailing list<br>

<a href="mailto:Opendnssec-user@lists.opendnssec.org">Opendnssec-user@lists.opendnssec.org</a><br>

<a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user" target="_blank">https://lists.opendnssec.org/mailman/listinfo/opendnssec-user</a><br>

<br></blockquote></div><br></div></div>