KSKとは

KSKとは、DNSSECで使用するZSK（ゾーン署名鍵）を署名するための鍵である。Key Signing Keyの略称で、日本語では鍵署名公開鍵と訳される。

DNSSECにおけるKSKの役割

DNSSECでは、ZSK（ゾーン署名鍵）とKSKの2つの鍵を使用してDNS応答の信頼性を検証している。2つの鍵を用いるのは、運用時の負荷を軽減するためである。

DNSSECで信頼の連鎖を構築するためには、少なくとも1つは公開鍵の電子署名（DS)を親ゾーンに登録する必要がある。登録するDSの数に制限はない。登録している公開鍵を更新する際には、親ゾーンに登録しているDSも同時に更新する必要がある。 しかし、DNSSECでは鍵の信頼性を保つため、適切な頻度で鍵を更新する必要がある。そのため、登録している鍵の数や更新の頻度が多くなると管理に負荷がかかる。その負荷を軽減するため、KSK（公開鍵署名鍵）とZSK（ゾーン署名鍵）に鍵の役割を分け、親ゾーンにはKSKから生成したDSを登録する。その時に鍵の暗号強度を高めておくことで、鍵の更新頻度を低くすることができ更新作業の負荷を軽減することができる。

このような理由から、KSKには比較的暗号強度の高い鍵長（キーサイズ）を用いる(一般的に推奨されているのは、2048bit）。暗号強度が高いため、鍵の更新頻度は1年周期が推奨されている。