JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト
JPRSの用語辞典では、ドメイン名やDNS、サーバー証明書に関する用語を紹介、解説しています。
DNSSECにおいて、KSKおよびZSKの公開鍵に署名するための鍵です。
DNSSECでは運用上の理由から、KSK(Key Signing Key、鍵署名鍵)とZSK(Zone Signing Key、ゾーン署名鍵)という、2種類の鍵を使用することが一般的です。
KSKは、署名対象となるゾーンのDNSKEYリソースレコード(RRset)のみを署名する鍵で、署名にはKSK秘密鍵を用います。署名により、DNSKEY RRsetに対応するRRSIGリソースレコードが当該ゾーンに付加されます。
DNSSECでは、DNSKEY RRsetを署名する鍵に対応するDS RRsetが親ゾーンに登録されることで、親子間の信頼の連鎖が構築されます。一般に、DS RRsetの登録には親への依頼、つまり申請作業が必要です。申請作業にはコスト(所要時間、手間)がかかるため、その頻度を下げるためにDS RRsetに対応する署名鍵には、十分な強度(ビットサイズ、鍵長)が必要になります。
また、DNSSECでは、署名鍵そのものを含むゾーンの内容の更新時・署名の有効期間の満了時に、ゾーンの再署名が必要になります。その際、ゾーンに存在するリソースレコードの署名に要するコスト(システム負荷、所要時間)とゾーンに付加されるRRSIGリソースレコードのデータサイズ(それに伴うDNS応答のサイズ)を小さくするためには、署名鍵は比較的短い鍵長である必要があります。
この、「十分な強度(ビットサイズ、鍵長)」と「比較的短い鍵長」という相矛盾する要求は、以下のようなKSKとZSKの二つの鍵を使った運用により両立できます。