Что такое приемлемые длины ключа для DNSSEC KSK/ZSK?

dnssec-keygen по умолчанию читает из / dev / random . Если энтропия в вашей системе низкая, вы не получите достаточно случайных данных для своевременной генерации ключей. strace, вероятно, покажет много чего вроде:

select(4, [3], [], NULL, NULL)          = 1 (in [3])
read(3, "5%\5\32\316\337\241\323", 46)  = 8
read(3, 0x7fff5b6c3df0, 38)             = -1 EAGAIN (Resource temporarily unavailable)
select(4, [3], [], NULL, NULL)          = 1 (in [3])
read(3, "\305\35\201c\31\343\251\21", 38) = 8
read(3, 0x7fff5b6c3df0, 30)             = -1 EAGAIN (Resource temporarily unavailable)

/ dev / random блоков, если энтропии недостаточно, так что это может занять некоторое время.

У вас есть несколько вариантов, чтобы сделать это намного быстрее. Самый простой - использовать изменение -r / dev / random на -r / dev / urandom , чтобы использовать неблокирующий (но не такой безопасный) генератор случайных чисел. Это может считаться небезопасным для чего-то вроде ключа GPG или SSH, который вы ожидаете использовать в течение нескольких лет, но, вероятно, безопасно для чего-то, что вы будете менять каждые 30 дней.

Другой вариант - использовать что-то вроде EGD или haveged в качестве замены для / dev / random .

Если вам нужен гораздо более безопасный ГСЧ, вам лучше использовать специальный аппаратный ГСЧ. Это, вероятно, излишек для DNSSEC, если вы не управляете TLD или банковскими доменами.

Вы можете использовать / dev / random для KSK, но / dev / urandom должно быть подходящим для ZSK.