Fragen? Antworten! Siehe auch: Alternativlos
Das ist schon deshalb sportlich, weil DNSSEC bei den Kryptoprimitiven immer etwas hinterherhinkt. Die haben 2048 Bit RSA-Schlüssel erst Jahre später spezifiziert, nachdem die paranoideren Leute das schon für ihr SSH und PGP und SSL ausgerollt hatten.
Bei DNSSEC war daher Designentscheidung, dass die privaten Schlüssel gar nicht erst im Server stecken sollen. Man signiert seine Zonen off-line und lädt dann die signierten Zonen zum Server hoch. Selbst wenn jemand den Server hackt, kann er den Schlüssel nicht klauen, weil der nicht auf dem Server ist.
Die Idee ist natürlich, dass der Schlüssel gar nicht am Internet hängt. Jetzt stellt sich aber raus: das mit dem off-line, das ist so unhandlich, wir machen das lieber online!1!! Damit das automatisierbar ist. Bei einer TLD wie .de oder .ch kommen ja auch im Sekundentakt Änderungen rein. Da muss dann jeweils neu signiert werden. Da erhöhen sich dann natürlich die Anforderungen an das Hosting entsprechend. Immerhin könnte die Sicherheit der ganzen Welt auf diesem DNSSEC ankern.
Wie wird das denn dann am Ende gehostet? Hier gibt es Webcams. Das ist ein kleiner Server in einem Safe, in einem Safe. Mit klein meine ich den Stromverbrauch, denn Abwärmeabtransport ist ein bisschen schwierig, könnt ihr euch ja vorstellen. Alleine von der "Alien Power Source"-Optik her ein echter Sieger, dieses Hosting. Oh und der Schlüssel ist nicht auf dem PC sondern auf einem separaten sicheren Hardwaremodul. Wenn jemand die Kiste hackt, kann er zwar Änderungen signieren, aber er kann nicht den Schlüssel extrahieren. Nachdem der Hacker gefunden und rausgeschmissen wurde, kann er nichts mehr signieren. Er kann natürlich immer noch anderen Leuten seine vorher signierten Falschdaten unterschieben. Dazu sagt die DNSSEC-Spec: Aber, äh, *räusper* *aufdieuhrguck* oh schaut mal, schon sooo spät *wegrenn*
Oh, übrigens. Wie bindet man so ein Hardwaremodul an? Per IP über Ethernet! Genau wie den Rechner selbst. Auf dem läuft übrigens Linux, der ist also unhackbar!1!!
Noch ein paar Zahlen: der Rechner verbraucht so 30W, und die LEDs draußen auch noch mal so viel :-)
Update: Solange die Site down ist, könnt ihr euch ja die Folien hier angucken, die haben noch ein paar Details zu dem Setup.