- 개요
- DNS 질의는 클라이언트 → recursive resolver(RR) → 루트 서버 → TLD 서버 → 권한 DNS 순으로 진행됨
- 여기서 루트와 TLD 레이어의 신뢰는 키 기반 서명으로 유지됨
- 이 문서에서는 루트 서명식에서 어떤 절차를 거쳐 갱신되는지 자세히 알아봄
- 내용
- 루트 DNSSEC는 두 가지 키를 사용함
- KSK(Key Signing Key): 전체 DNSKEY 집합을 서명하는 최상위 서명 키
- ZSK(Zone Signing Key): 각 존(zone)의 레코드에 서명하는 키
- KSK는 7년 간격으로 롤오버되고 있었지만, 이제는 3년마다 한번씩 할거라고 함
- ZSK는 3개월 마다 갱신하고 있음
- 이를 위해 ICANN 주관으로 루트 서명식은 다수의 보안 담당자와 HSM 기반 다중 인증으로 진행하고, 진행 상황을 유튜브 라이브로 공개
- 서명식에서 사용한 문서와 체크섬 검증 및 공개 로그, 녹화 영상은 차후 외부로 공유
- 결론
- 이런 투명한 과정을 통해 인터넷 최상위 신뢰의 핵심인 루트 DNS는 암호학적 무결성과 신뢰 체계로 유지되고 있음