Certificados KES

Este certificado es temporal, y deberás actualizarlo pasado de tiempo establecido en el protocolo.

Para crear un certificado operacional para un nodo productor de bloques, debe crear un par de claves KES. "KES" quiere decir Key Evolving Signature, lo que significa que después de un cierto período, la clave evolucionará a una nueva clave y descartará su versión anterior. Esto es útil, porque significa que incluso si un atacante obtiene acceso a la clave de firma, solo puede usarla para firmar bloques de ahora en adelante, pero no bloques que datan de períodos anteriores, lo que hace imposible que el atacante reescribir la historia. Desafortunadamente, hay un problema: una clave KES solo puede evolucionar durante un cierto número de períodos y después se vuelve inútil. Esto significa que antes de que haya transcurrido ese número de períodos, el operador del pool tiene que generar un nuevo par de claves KES, emitir un nuevo certificado de nodo operativo con ese nuevo par de claves y reiniciar el nodo productor con el nuevo certificado.

Creamos el par de claves KES

cardano-cli node key-gen-KES \
    --verification-key-file kes.vkey \
    --signing-key-file kes.skey

Para saber cuánto dura un período y cuánto tiempo dura una clave, podemos buscar en el archivo de génesis mainnet-shelley-genesis.json

slotsPerKESPeriod=$(cat $HOME/cnode/config/mainnet-shelley-genesis.json | jq -r '.slotsPerKESPeriod')
echo slotsPerKESPeriod: ${slotsPerKESPeriod}

"slotsPerKESPeriod": 129600, "maxKESEvolutions": 62,

Obtener el último slot

slotNo=$(cardano-cli query tip --mainnet | jq -r '.slotNo')
echo slotNo: ${slotNo}

Antes de que podamos crear un certificado operativo para nuestro nodo, necesitamos averiguar el inicio del período de validez de KES, es decir, en qué período de evolución de KES estamos. 

kesPeriod=$((${slotNo} / ${slotsPerKESPeriod}))
echo kesPeriod: ${kesPeriod}

Creamos las cold keys

cd
mkdir ~/cold-keys
pushd ~/cold-keys
cardano-cli node key-gen \
    --cold-verification-key-file node.vkey \
    --cold-signing-key-file node.skey \
    --operational-certificate-issue-counter node.counter

Generamos el certificado operacional:

cardano-cli node issue-op-cert \
    --kes-verification-key-file kes.vkey \
    --cold-signing-key-file $HOME/cold-keys/node.skey \
    --operational-certificate-issue-counter $HOME/cold-keys/node.counter \
    --kes-period $kesPeriod \
    --out-file node.cert

Creamos el par de claves VRF

cardano-cli node key-gen-VRF \
    --verification-key-file vrf.vkey \
    --signing-key-file vrf.skey

Ajustamos los permisos:

Solo lectura para el creador del archivo. Ningún permiso para grupos u otros.

chmod 400 vrf.skey
AnteriorCertificado de stakeSiguienteAñadir registro a la blockchain

Última actualización

¿Te fue útil?