よくある質問・用語集

  • もっと調べる
  • どうやって使う?

ZSKとは

ZSKとは、DNSSECで使用するゾーンを署名する鍵である。Zone Signing Keyの略称で、日本語ではゾーン署名鍵と訳される。

DNSSECにおけるZSKの役割

DNSSECでは、ZSKとKSK(鍵署名公開鍵)の2つの鍵を使用してDNS応答の信頼性を検証している。2つの鍵を用いるのは、運用時の負荷を軽減するためである。

DNSSECでは信頼の連鎖を構築するため、必ず1つは公開鍵の電子署名(DS)を親ゾーンに登録しなければならない。登録するDSの数はいくつでも構わないが、登録している公開鍵を更新する際には、親ゾーンに登録しているDSも同時に更新しなければならない。しかし、DNSSECは公開鍵暗号方式を採用しているため、鍵を定期的に更新する必要がある。親ゾーンに登録している鍵が多くなるとこの作業が管理の負荷となってしまう。 その負荷を軽減するため、KSK(公開鍵署名鍵)とZSK(ゾーン署名鍵)に分け、親ゾーンにはKSKから生成したDSを登録する。その際にKSKの暗号強度を高めておくことで、更新頻度を抑えることができ、管理の負担を軽減できる。

一方、ZSKの更新は親ゾーンとは関係なく独立して行うことができるため、比較的暗号強度の低い鍵長(キーサイズ)を用いる。これは、更新時に運用の負荷を軽減すると同時に、セキュリティ強化のためでもある。ZSKはDNSKEYレコードとして公開されるため、外部から解析される危険がある。そこで、鍵の更新を頻繁に行うことにより、解析される危険を減らしている。

【カテゴリ】:DNS  セキュリティ  

  • もっと調べる
  • どうやって使う?

【追加日程】【Webセミナー】『Rocky Linux』VS『AlmaLinux』 CentOS8の代替OS比較セミナー

日程: 9月29日(水)Webセミナー「BigBlueButton」を使用します。
内容: 今回は、新たに『Rocky Linux』を調査・検証しました!調査結果を踏まえ『AlmaLinux』と『Rocky Linux』を比較検討します。
ご興味のあるかたはぜひご参加ください。

セミナー申込

関連用語

ZSKに関連するページ(事例など)

ZSKとは先頭へ