JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト


用語辞典

JPRSの用語辞典では、ドメイン名やDNS、サーバー証明書に関する用語を紹介、解説しています。

解説

ZSK(Zone Signing Key、ゾーン署名鍵)

DNSSECにおいて、ゾーンのリソースレコードに署名するための鍵です。
DNSSECでは運用上の理由から、KSK(Key Signing Key、鍵署名鍵)とZSK(Zone Signing Key、ゾーン署名鍵)という、2種類の鍵を使用することが一般的です。
ZSKは、署名対象となるゾーンが権威を持つRRsetを署名する鍵で、署名にはZSK秘密鍵を用います。署名により、それぞれのRRsetに対応するRRSIGリソースレコードが当該ゾーンに付加されます。

KSKとZSKによる署名前・署名後のゾーン比較

また、ZSK公開鍵をDNSKEYリソースレコードの形式でゾーンに登録し、KSK秘密鍵で署名することにより、当該ゾーン内におけるKSKとZSKの間の信頼の連鎖を構築します。

DNSSECでは、DNSKEY RRsetを署名する鍵に対応するDS RRsetが親ゾーンに登録されることで、親子間の信頼の連鎖が構築されます。一般に、DS RRsetの登録には親への依頼、つまり申請作業が必要です。申請作業にはコスト(所要時間、手間)がかかるため、その頻度を下げるためにDS RRsetに対応する署名鍵には、十分な強度(ビットサイズ、鍵長)が必要になります。

また、DNSSECでは、署名鍵そのものを含むゾーンの内容の更新時・署名の有効期間の満了時に、ゾーンの再署名が必要になります。その際、ゾーンに存在するリソースレコードの署名に要するコスト(システム負荷、所要時間)とゾーンに付加されるRRSIGリソースレコードのデータサイズ(それに伴うDNS応答のサイズ)を小さくするためには、署名鍵は比較的短い鍵長である必要があります。

この、「十分な強度(ビットサイズ、鍵長)」「比較的短い鍵長」という相矛盾する要求は、以下のようなKSKとZSKの二つの鍵を使った運用により両立できます。



・KSKの鍵長を長くすることで、そのKSKを長期間使用でき、申請作業が必要になる親ゾーンへのDS RRsetの登録の頻度を下げることができる

・ZSKの鍵長を短くすることで、ゾーンの署名に要するコストと付加されるRRSIGレコードのデータサイズを小さくできる

・鍵をKSKとZSKに分けることで、信頼の連鎖の構造が「親のDS RRset→KSK→ZSK→ゾーンに存在するリソースレコード」という形になり、ZSKの更新時には親のDS RRsetの変更、つまり申請作業が不要になるため、鍵長の短いZSKを頻繁に更新しても運用コストが抑えられる


* JPRSトピックス&コラム(No.13):DNSSECの概要と今後の展開〜「本当に正しい」を証明するために〜(JPRS)
* JPRSトピックス&コラム(No.14):DNSSECに関するよくある質問と回答(基礎技術編)(JPRS)
* JPRSトピックス&コラム(No.15):DNSSECの円滑導入と安定運用の実現のために〜考えなければならない「対応と現実」〜(JPRS)
* JPRSトピックス&コラム(No.16):DNSSECに関するよくある質問と回答(技術仕様編)(JPRS)
* JPRSトピックス&コラム(No.17):本格運用が始まったDNSSEC〜運用ノウハウの蓄積と共有が今後の課題に〜(JPRS)
* JPRSトピックス&コラム(No.18):運用者から見たDNSSECと従来のDNSの違い〜運用上特に注意が必要なポイント〜(JPRS)
* RRset(リソースレコードセット)(JPRS)
* DSリソースレコード(ディーエスリソースレコード)(JPRS)
* DNSKEYリソースレコード(ディーエヌエスキーリソースレコード)(JPRS)
* RRSIGリソースレコード (アールアールシグリソースレコード)(JPRS)
* DNSSEC(ディーエヌエスセック)(JPRS)
* 親ゾーン(JPRS)
* 子ゾーン(JPRS)
* 電子署名(Digital Signature)(JPRS)
* RFC 3757 Domain Name System KEY (DNSKEY) Resource Record (RR) Secure Entry Point (SEP) Flag

1組織1ドメイン名AAAAリソースレコード(AAAAレコード)AAビットACE(エース)ADR(エーディーアール)
AIT(エーアイティー)ALACAP*、APstar(エーピースター)APAN(エーパン)APCAUCE(エーピーコース)
APCERT(エーピーサート)APIA(エーピーアイエー)APNG Camp(エーピーエヌジーキャンプ)APNG(エーピーエヌジー)APNIC(エーピーニック)
APOPS(エーピーオプス)APRICOT(アプリコット)APTLD(エーピーティーエルディー)ARPANET(アーパネット)ASCII(アスキー)
ASO(エーエスオー)At-Large(アットラージ)Aリソースレコード(Aレコード)BIND(バインド)CAAリソースレコード(シーエーエーリソースレコード)
CA(Certification Authority:認証局)ccNSO(シーシーエヌエスオー)ccTLD(国別トップレベルドメイン)ccTLDスポンサ契約CENTR(センター)
CERT(サート)CNAMEリソースレコード(シーネームリソースレコード)CPS(Certification Practices Statement:認証運用規定)CP(Certificate Policy)CRL(Certificate Revocation List:証明書失効リスト)
CT(Certificate Transparency)DNS-Based List(DNSBL)DNS-OARC(ディーエヌエスオーアーク)DNSKEYリソースレコード(ディーエヌエスキーリソースレコード)DNSO(ディーエヌエスオー)
DNSSEC(ディーエヌエスセック)DNS(ディーエヌエス)DNSキャッシュポイズニングDNSフォワーダー(DNSプロキシー)DNSブロッキング
DNSプリフェッチ(DNS prefetching、DNS prefetch)DNSリフレクター攻撃(DNSアンプ攻撃)DoS攻撃(DDoS攻撃)DRP(ドメイン名紛争処理方針)DSリソースレコード(ディーエスリソースレコード)
EDNS0(イーディエヌエスゼロ)ENUM(イーナム)EPP(イーピーピー)FQDN(エフキューディーエヌ)GAC(ギャックまたはジーエーシー)
GNSO(ジーエヌエスオー)gTLD(分野別トップレベルドメイン)hostsファイル(HOSTS.TXT)IAB(アイエービー)IAHC(アイエーエイチシー)
IANA(アイアナ)IA(Issuing Authority:発行局)ICANN(アイキャン)IDNA(アイディーエヌエー)IETF(アイイーティーエフ)
InterNIC(インターニック)IP Anycast(アイピーエニーキャスト)IP53B(Inbound Port 53 Blocking)IPv4IPv6
IP(アイピー)IPアドレスIPフラグメンテーション(IP fragmentation)ISO 3166ISOC(アイソック)
ISP(アイエスピー)ITU(アイティーユー)J-LIS(ジェイリス)JDNA(ジェーディーエヌエー)JP DNS(ジェーピーディーエヌエス)
JP-DRP(JPドメイン名紛争処理方針)JPCERT/CC(ジェーピーサート/シーシー)JPDirect(ジェーピーダイレクト)JPNIC(ジェーピーニック)JPRS(ジェーピーアールエス)
JPドメイン名JPドメイン名諮問委員会JUNET(ジェーユーネット)KSK(Key Signing Key、鍵署名鍵)LACTLD(ラックティーエルディー)
lame delegation(レイムデレゲーション)MXリソースレコード(MXレコード)NAMEPREP(ネームプレップ)NomCom(ノムコム)NSD(エヌエスディー)
NSリソースレコードOCSP(Online Certificate Status Protocol)OP53B(Outbound Port 53 Blocking)OPT疑似リソースレコード(オプトギジリソースレコード)PKI(Public Key Infrastructure:公開鍵基盤)
PTRリソースレコード(ポインターリソースレコード)Punycode(ピュニコード)RA(Registration Authority:登録局)RFC(アールエフシー)RIPE NCC(ライプエヌシーシー)
RIPE(ライプ)RIR(アールアイアール)RRset(リソースレコードセット)RRSIGリソースレコード (アールアールシグリソースレコード)RSSAC(アールエスエスエーシーまたはアールエスサック)
RTT (Round Trip Time)SANOG(サノグ)SCT(Signed Certificate Timestamp)SHA-256(Secure Hash Algorithm 256)SLD(セカンドレベルドメイン)
SOAリソースレコードSPF(エスピーエフ)SRS(エスアールエス)SSAC(エスエスエーシーまたはエスサック)STRINGPREP(ストリングプレップ)
TCP/IP(ティーシーピーアイピー)TCP(ティーシーピー)TCビットThickレジストリモデルThinレジストリモデル
TLD(トップレベルドメイン)TTL(ティーティーエル)TXTリソースレコード (テキストリソースレコード)UDP(ユーディーピー)UDRP(ユーディーアールピー)
Unbound(アンバウンド)Unicode(ユニコード)URL(ユーアールエル)Whois(フーイズ)WIDE Project(ワイドプロジェクト)
WIPO(世界知的所有権機関)WWW(ダブリューダブリューダブリュー)ZSK(Zone Signing Key、ゾーン署名鍵)インシデントインターネットガバナンス
インフラストラクチャドメイン(Infrastructure TLD)エスクローオープンリゾルバーオクテットオルタネート・ルート(Alternate Roots)
カミンスキー型攻撃手法(The Dan Kaminsky attack)キーセレモニーキーロールオーバーキャッシュ(cache)グリーンペーパー(Green Paper)
グルーレコード(glue record)コネクションレス型コネクション型サイバースクワッティング(Cybersquatting)サブドメイン
サンライズ期間(sunrise period)スタブリゾルバー(DNSクライアント)セカンダリサーバー(スレーブサーバー)ソースポートランダマイゼーションゾーン
ゾーンファイルゾーン転送(zone transfer)トラストアンカードメインドメイン名(Domain Name)
ドメイン名テイスティングドメイン名ハイジャックネームサーバー(DNSサーバー)ネガティブキャッシュ(negative cache)ハッシュ値(ダイジェスト値)
バーチャルドメインバーチャルホストフィッシング(phishing)フルサービスリゾルバー(キャッシュDNSサーバー)プライマリサーバー(マスターサーバー)
プライミング(priming)プロトコルホスティングホストホワイトペーパー
ポート番号(port number)メールアドレスユニバーサルアクセプタンス(Universal Acceptance: UA)ラベルランダムサブドメイン攻撃(DNS水責め攻撃)
リカーシブモードリソースレコード(RR)リポジトリルートルートサーバー(root servers)
ルートゾーンレジストラレジストリレジストリロックサービスローカルプレゼンス(国内住所要件)
委任委任情報応答外部名逆引き
共通鍵暗号権威(オーソリティ)権威サーバー(権威DNSサーバー)公開鍵暗号公開連絡窓口情報
国際化ドメイン名(Internationalized Domain Name: IDN)再帰的問い合わせ(recursive query)子ゾーン指定事業者親ゾーン
正引き正規化属性型JPドメイン名多言語ドメイン名 (MDN:Multilingual Domain Name)地域型JPドメイン名
中間者攻撃(man-in-the-middle attack)通常応答電子署名(Digital Signature)都道府県型JPドメイン名内部名
日本語JPドメイン名(日本語ドメイン名)日本知的財産仲裁センター汎用JPドメイン名非再帰的問い合わせ(non-recursive query)不在応答(Negative Answers)
名前解決(Name Resolution)問い合わせ優先登録申請期間予約ドメイン名