Synonymer: RZA (Root Zone Administrator Key)
KSK står for Key Signing Key og er en vigtig del af sikkerhedsinfrastrukturen i DNSSEC (Domain Name System Security Extensions). KSK spiller en central rolle i at sikre integriteten og autenticiteten af data, der sendes via DNS.
Når man anvender DNSSEC, introducerer man digitale signaturer til DNS-data, hvilket hjælper med at forhindre manipulation og forfalskning. KSK er en særlig type nøgle, der bruges til at signere de såkaldte Zone Signing Keys (ZSK). ZSK signerer igen de individuelle DNS-data i en zonefil. Denne todelte nøglearkitektur (KSK og ZSK) skaber et ekstra sikkerhedslag.
For at forstå KSK i praksis, kan vi tage et konkret eksempel: Når en internetbruger forsøger at tilgå et websted, sendes en DNS-forespørgsel for at finde IP-adressen til det ønskede domæne. Hvis domænet bruger DNSSEC, vil den tilhørende DNS-record være digitalt signeret. Først verificeres signaturen med ZSK. For at sikre at ZSK’en selv ikke er blevet kompromitteret, verificeres ZSK-signaturen med KSK.
KSK er normalt gemt på en meget sikker måde og bruges sjældnere end ZSK, som opdateres oftere. En af de mest kendte anvendelser af KSK er i rodzonen af DNS, hvor internettets “Root KSK” signerer de øverste niveauer af DNS hierarkiet, hvilket skaber tillid, der nedarves gennem hele DNS-systemet.
I praksis betyder det, at KSK hjælper med at sikre, at de oplysninger, du modtager fra DNS, virkelig kommer fra den oprindelige kilde og ikke er blevet ændret undervejs.