<div dir="ltr">... and, for the last hour or so I've been generating lots of keys using ISC BIND dnssec-keygen.<div><br></div><div>Currently I'm up to:</div><div><div>wkumari@eric:~/tmp/tmp$ wc -l keytags</div><div>5209 keytags</div></div><div>(and, boy, are my fingers tired...)</div><div><br></div><div>How did you generate the keys? I've been doing:</div><div><div>dnssec-keygen -K keys -a RSASHA256 -b 2048 -f KSK -v \</div><div>0 -r /dev/urandom <a href="http://example.com">example.com</a> > /dev/null 2>&1</div></div><div><br></div><div>W</div></div><br><div class="gmail_quote"><div dir="ltr">On Mon, Nov 30, 2015 at 10:24 AM Roy Arends <<a href="mailto:roy@dnss.ec">roy@dnss.ec</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 29 Nov 2015, at 23:20, Roy Arends wrote:<br>
<br>
> I am only able to generate about 16K unique keytags for a 2K RSASHA256<br>
> KSK (*), even after generating hundreds of thousands of keys in a<br>
> loop.<br>
><br>
> I expected the entire 16 bit keytag space used (i.e. 64K keytags), as<br>
> the keytag is simply the sum of the DNSKEY RDATA (as a series of two<br>
> byte values) with the high two bytes of the resulting 32 bit value<br>
> added to the low 2 byte without carry.<br>
><br>
> Since the RDATA contains 256 bytes of modulus (a result of multiplying<br>
> two randomly generated 128 byte primes), I thought it had a fair<br>
> amount of entropy so that the resulting key tags would be nicely<br>
> distributed.<br>
><br>
> Apparently not.<br>
><br>
> Anyone able (willing) to explain the math, please?<br>
<br>
Peter van Dijk generated a large set of DNSKEYs with the same algorithm,<br>
flags and exponent and was able to generate a lot more unique keytags.<br>
Peter is using PowerDNS ’pdnssec add-zone-key’ which uses mbedTLS<br>
2.1.0, while I was using dnssec-keygen and ldns-keygen which both used<br>
OpenSSL 0.9.8zg.<br>
<br>
It looks like the difference stems from the libraries involved. At least<br>
we can fingerprint the key generators behind the keys used :-)<br>
<br>
Not sure if I can find out more, or if this is important. Will keep<br>
looking though.<br>
<br>
Thanks<br>
<br>
Roy<br>
_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operationsdns-jobs" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations<br>
dns-jobs</a> mailing list<br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-jobs" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-jobs</a></blockquote></div>