- 概要
- DNSクエリはクライアント → recursive resolver(RR) → ルートサーバー → TLDサーバー → 権威DNS の順に進行する
- ここでルート層とTLD層の信頼は、鍵ベースの署名によって維持されている
- この文書では、ルート署名式でどのような手順を経て更新されるのかを詳しく見ていく
- 内容
- ルートDNSSECでは2種類の鍵を使用する
- KSK(Key Signing Key): DNSKEY集合全体に署名する最上位の署名鍵
- ZSK(Zone Signing Key): 各ゾーン(zone)のレコードに署名する鍵
- KSKは7年ごとにロールオーバーされていたが、今後は3年ごとに1回実施するという
- ZSKは3か月ごとに更新している
- そのため、ICANN主導のルート署名式は、多数のセキュリティ担当者とHSMベースの多要素認証によって進められ、進行状況はYouTube Liveで公開される
- 署名式で使用した文書、チェックサム検証と公開ログ、録画映像は後日外部に共有される
- 結論
- このような透明なプロセスを通じて、インターネット最上位の信頼の中核であるルートDNSは、暗号学的完全性と信頼体系によって維持されている
1件のコメント
記憶の中でぼんやりしていたこの映像を長い間探していたのですが、概念がわからず見つけられないまま、ようやく見つけられました。ありがとうございます!