メインコンテンツまでスキップ

2. Definitions of Important DNSSEC Terms (重要な DNSSEC 用語の定義)

本節は本文書セットで使用される多数の用語を定義します。これは文書セットの残りの部分を読む際の参考として有用であることを意図しているため, 初めての読者は本節を素早く読み飛ばし, 本文書の残りを読んでから, 本節に戻ることを推奨します。

Authentication Chain (認証チェーン): DNS 公開鍵 (DNSKEY) RRset と委任署名者 (Delegation Signer, DS) RRset の交互のシーケンスが署名されたデータのチェーンを形成し, チェーン内の各リンクが次のリンクを保証します。DNSKEY RR は DS RR を覆う署名を検証するために使用され, DS RR の認証を可能にします。DS RR は別の DNSKEY RR のハッシュを含み, この新しい DNSKEY RR は DS RR 内のハッシュと一致することによって認証されます。この新しい DNSKEY RR は次に別の DNSKEY RRset を認証し, このセット内の一部の DNSKEY RR が別の DS RR を認証するために使用される可能性があり, 最終的にチェーンは対応する秘密鍵が所望の DNS データに署名する DNSKEY RR で終了します。例えば, ルート DNSKEY RRset は "example." の DS RRset を認証するために使用できます。"example." DS RRset は一部の "example." DNSKEY と一致するハッシュを含み, この DNSKEY の対応する秘密鍵が "example." DNSKEY RRset に署名します。"example." DNSKEY RRset の秘密鍵対応物は "www.example." などのデータレコードおよび "subzone.example." などの委任のための DS RR に署名します。

Authentication Key (認証鍵): セキュリティ認識リゾルバが検証し, したがってデータの認証に使用できる公開鍵。セキュリティ認識リゾルバは3つの方法で認証鍵を取得できます。第一に, リゾルバは一般的に少なくとも1つの公開鍵について知るように構成されています, この構成データは通常, 公開鍵自体または DS RR で見つかる公開鍵のハッシュです ("trust anchor" を参照)。第二に, リゾルバは認証された公開鍵を使用して DS RR および DS RR が参照する DNSKEY RR を検証できます。第三に, リゾルバは新しい公開鍵がリゾルバが検証した別の公開鍵に対応する秘密鍵によって署名されたことを判断できる場合があります。リゾルバは新しい公開鍵を認証するかどうかを決定する際には常にローカルポリシーに導かれなければならないことに注意してください, たとえローカルポリシーがリゾルバが署名を検証できる任意の新しい公開鍵を単に認証することであっても。

Authoritative RRset (権威 RRset): 特定のゾーンのコンテキスト内で, RRset の所有者名がゾーン頂点またはその下にあり, ゾーンをその子 (もしあれば) から分離するカット点またはその上にある名前空間のサブセット内にある場合にのみ, RRset は "authoritative" です。ゾーン頂点のすべての RRset は権威的ですが, このドメイン名の特定の RRset (存在する場合) は除外され, これらはこのゾーンの親に属します。これらの RRset には DS RRset, この DS RRset を参照する NSEC RRset ("parental NSEC"), およびこれらの RRset に関連する RRSIG RR が含まれる可能性があり, これらはすべて親ゾーンで権威的です。同様に, このゾーンに委任ポイントが含まれている場合, 親 NSEC RRset, DS RRset, およびこれらの RRset に関連する任意の RRSIG RR のみがこのゾーンに対して権威的です。

Delegation Point (委任ポイント): ゾーンカットの親側の名前を説明するために使用される用語。つまり, "foo.example" の委任ポイントは "example" ゾーン内の foo.example ノードになります ("foo.example" ゾーンのゾーン頂点ではなく)。zone apex も参照してください。

Island of Security (セキュリティの島): 委任親からの認証チェーンを持たない署名された委任ゾーンを説明するために使用される用語。つまり, 委任親ゾーンに島の DNSKEY RR のハッシュを含む DS RR が存在しません ([RFC4034] を参照)。セキュリティの島はセキュリティ認識ネームサーバによって提供され, 任意の委任された子ゾーンに認証チェーンを提供する可能性があります。セキュリティの島またはその子孫からの応答は, その認証鍵が DNS プロトコルの帯域外の信頼できる手段によって認証できる場合にのみ認証できます。

Key Signing Key (KSK, 鍵署名鍵): 特定のゾーンの1つ以上の他の認証鍵に署名するために使用される秘密鍵に対応する認証鍵。通常, 鍵署名鍵に対応する秘密鍵はゾーン署名鍵に署名し, ゾーン署名鍵は他のゾーンデータに署名する対応する秘密鍵を持ちます。ローカルポリシーはゾーン署名鍵を頻繁に変更することを要求する場合がありますが, 鍵署名鍵はゾーンへのより安定した安全なエントリポイントを提供するためにより長い有効期間を持つ場合があります。認証鍵を鍵署名鍵として指定することは純粋に運用上の問題です: DNSSEC 検証は鍵署名鍵と他の DNSSEC 認証鍵を区別せず, 単一の鍵を鍵署名鍵とゾーン署名鍵の両方として使用することが可能です。鍵署名鍵については [RFC3757] でより詳細に議論されています。zone signing key も参照してください。

Non-Validating Security-Aware Stub Resolver (非検証セキュリティ認識スタブリゾルバ): 本文書セットで議論されているタスクのほとんどを代わりに実行するために1つ以上のセキュリティ認識再帰ネームサーバを信頼するセキュリティ認識スタブリゾルバ。特に, 非検証セキュリティ認識スタブリゾルバは DNS クエリを送信し, DNS 応答を受信し, セキュリティ認識スタブリゾルバの代わりにこれらのサービスを提供するセキュリティ認識再帰ネームサーバへの適切に保護されたチャネルを確立できるエンティティです。security-aware stub resolver, validating security-aware stub resolver も参照してください。

Non-Validating Stub Resolver (非検証スタブリゾルバ): 非検証セキュリティ認識スタブリゾルバの簡潔な用語。

Security-Aware Name Server (セキュリティ認識ネームサーバ): 本文書セットで定義された DNS セキュリティ拡張を理解するネームサーバの役割で動作するエンティティ ([RFC1034] のセクション 2.4 で定義)。特に, セキュリティ認識ネームサーバは DNS クエリを受信し, DNS 応答を送信し, EDNS0 ([RFC2671]) メッセージサイズ拡張と DO ビット ([RFC3225]) をサポートし, 本文書セットで定義された RR タイプとメッセージヘッダビットをサポートするエンティティです。

Security-Aware Recursive Name Server (セキュリティ認識再帰ネームサーバ): セキュリティ認識ネームサーバとセキュリティ認識リゾルバの両方の役割で動作するエンティティ。より煩雑ですが同等のフレーズは "再帰サービスを提供するセキュリティ認識ネームサーバ" です。

Security-Aware Resolver (セキュリティ認識リゾルバ): 本文書セットで定義された DNS セキュリティ拡張を理解するリゾルバの役割で動作するエンティティ ([RFC1034] のセクション 2.4 で定義)。特に, セキュリティ認識リゾルバは DNS クエリを送信し, DNS 応答を受信し, EDNS0 ([RFC2671]) メッセージサイズ拡張と DO ビット ([RFC3225]) をサポートし, 本文書セットで定義された RR タイプとメッセージヘッダビットを使用して DNSSEC サービスを提供できるエンティティです。

Security-Aware Stub Resolver (セキュリティ認識スタブリゾルバ): セキュリティ無認識スタブリゾルバでは利用できない追加サービスを提供するために本文書セットで定義された DNS セキュリティ拡張について十分に理解しているスタブリゾルバの役割で動作するエンティティ ([RFC1034] のセクション 5.3.1 で定義)。セキュリティ認識スタブリゾルバは, スタブリゾルバが自身で DNSSEC 署名を検証しようとするか, 友好的なセキュリティ認識ネームサーバを信頼してそれを行うかに応じて, "validating" または "non-validating" のいずれかになります。validating stub resolver, non-validating stub resolver も参照してください。

Security-Oblivious <anything> (セキュリティ無認識 <何か>): "security-aware" ではない <何か>

Signed Zone (署名されたゾーン): RRset が署名され, 適切に構築された DNSKEY, リソースレコード署名 (Resource Record Signature, RRSIG), 次の安全 (Next Secure, NSEC), および (オプションで) DS レコードを含むゾーン。

Trust Anchor (トラストアンカー): 構成された DNSKEY RR または DNSKEY RR の DS RR ハッシュ。検証セキュリティ認識リゾルバは, 署名された DNS 応答への認証チェーンを構築するための開始点としてこの公開鍵またはハッシュを使用します。一般に, 検証リゾルバは DNS プロトコル外の何らかの安全または信頼できる手段を介してトラストアンカーの初期値を取得する必要があります。トラストアンカーの存在は, リゾルバがトラストアンカーが指すゾーンが署名されることを期待すべきであることも意味します。

Unsigned Zone (署名されていないゾーン): 署名されていないゾーン。

Validating Security-Aware Stub Resolver (検証セキュリティ認識スタブリゾルバ): 再帰モードでクエリを送信しますが, 上流のセキュリティ認識再帰ネームサーバを盲目的に信頼するのではなく, 自身で署名検証を実行するセキュリティ認識リゾルバ。security-aware stub resolver, non-validating security-aware stub resolver も参照してください。

Validating Stub Resolver (検証スタブリゾルバ): 検証セキュリティ認識スタブリゾルバの簡潔な用語。

Zone Apex (ゾーン頂点): ゾーンカットの子側の名前を説明するために使用される用語。delegation point も参照してください。

Zone Signing Key (ZSK, ゾーン署名鍵): ゾーンに署名するために使用される秘密鍵に対応する認証鍵。通常, ゾーン署名鍵は, 対応する秘密鍵がこの DNSKEY RRset に署名する鍵署名鍵と同じ DNSKEY RRset の一部になりますが, ゾーン署名鍵はわずかに異なる目的で使用され, 有効期間などの他の点で鍵署名鍵と異なる場合があります。認証鍵をゾーン署名鍵として指定することは純粋に運用上の問題です, DNSSEC 検証はゾーン署名鍵と他の DNSSEC 認証鍵を区別せず, 単一の鍵を鍵署名鍵とゾーン署名鍵の両方として使用することが可能です。key signing key も参照してください。

最終更新