メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です

ロゴ:JPNIC

WHOIS 検索 サイト内検索 WHOISとは? JPNIC WHOIS Gateway
WHOIS検索 サイト内検索

KSK/ZSKとは

「KSK (key-signing key)」および「ZSK (zone-signing key)」は、 DNSSEC (Domain Name System Security Extensions)において、 各ゾーンの署名に用いられる署名鍵の通称です。 署名対象が公開鍵(DNSKEYレコード)の鍵はKSK、 署名対象がゾーンに含まれる残りのレコードとなる鍵はZSKと呼ばれています。 このように2種類の署名鍵が存在するのは、DNSSECの構造上、 複数の鍵を使い分けた方が運用しやすいという、次のような理由からです。

DNSSECでは、署名鍵をいくつ作成するかや、 どの署名鍵をどのレコードに対する署名に用いるかは、自由に決めることができます。 また、DNSSECでは信頼の連鎖を構築するために、 少なくとも一つは署名鍵に関する情報(DSレコード)を親ゾーンに登録する必要があります。 親ゾーンに登録する署名鍵はいくつでも問題ありませんが、 署名鍵を更新する場合には同時に親ゾーンへのDSレコードの登録が必要です。 しかし、DNSSECは公開鍵暗号方式を利用しており、適切な頻度で鍵を更新する必要があるため、 登録している署名鍵の数や更新回数が多くなると、更新作業のコスト上昇を招きます。 そのため、作業コストを抑えるために、署名鍵を二つの役割に分けて利用する手法が考え出されました。

その手法では、署名鍵を複数用意し、公開鍵を署名する鍵とその他のレコードを署名する鍵の、 二つの署名対象ごとに鍵を分けます。そして、親ゾーンには前者の署名鍵のDSレコードを登録します。 このとき、鍵の暗号強度を高めておけば鍵を更新する頻度を低くすることができるため、 親ゾーンへの登録回数も少なくすることが可能となります。

この手法における前者の鍵は、鍵を署名するための鍵ということから「key-signing key」、 後者の鍵は署名鍵以外のレコード、 すなわちゾーンのデータを署名する鍵ということから「zone-signing key」と呼ぶようになりました。

■参考

RFC 3757
- Domain Name System KEY (DNSKEY) Resource Record (RR) Secure Entry Point (SEP) Flag
 http://tools.ietf.org/html/rfc3757

RFC 4034
- Resource Records for the DNS Security Extensions
 http://tools.ietf.org/html/rfc4034

RFC 6840
- Clarifications and Implementation Notes for DNS Security (DNSSEC)
 http://tools.ietf.org/html/rfc6840

JPNIC News & Views vol.1367(2015年12月15日発行)より

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。

ロゴ:JPNIC

Copyright© 1996-2019 Japan Network Information Center. All Rights Reserved.