Inför signering av rotzonen diskuteras flitigt vem som skall utöva kontrollen över den kryptografiska nyckelsigneringsnyckel (KSK) som ligger till grund för validering av rotzonen och därmed alla underliggande zoner i domännamnssystemet (DNS). I potten ligger förtroendet för rotzonen och det organ som administrerar och driver denna, ICANN. Hotet man försöker avvärja är en partitionering av Internet med flera olika alternativa rotzoner. För att stärka ICANN:s legitimitet och förtroendet för rotzonen förespråkar en del att kontrollen av nycklarna bör delas upp över flera olika intresseorganisationer genom s.k. M av N.
Säkerhetsmekanismen M av N syftar till att försvåra eller förhindra för enskilda tjänstemän att åsidosätta uppsatta säkerhetsföreskrifter. De tekniska styrmedlen för M av N bygger på att åtkomst till en fysiskt skyddad signeringsenhet (säkerhetsmodul, HSM) med nyckellagring och manipulationsskydd regleras så att M av N tjänstemän måste närvara vid nyckeloperationer. Denna åtkomstkontroll innebär som regel inte att själva nyckelmaterialet delas över tjänstemännen, utan endast åtkomst till säkerhetsmodulen.
Även om det är kryptografiskt möjligt att dela en datamängd över M av N är det i detta fallet opraktiskt och ger dessutom möjlighet för en grupp av tjänstemän att slå sig samman och röja nyckelmaterialet. Att dela upp nyckelmaterialet försvagar de privata nycklarnas konfidentialitetsskydd och motverkar därför syftet att stärka tilliten.
Åtkomst reglerad med M av N är inte heller ett lämpligt sätt att delegera (del)ansvar för driften till andra organisationer. Driftmiljön blir alltför sårbar med svåra konsekvenser om nödvändiga personer inte kan eller vill infinna sig (av politiska eller praktiska orsaker), för att med kort varsel genomföra kryptografiska operationer.
Man bör i alla avseenden sträva efter att reducera komplexiteten vid drift och förvaltning av rotzonen. Organisatorisk, politisk och teknisk stabilitet är det primära målet, tilliten följer därav.
Ett vanligt missförstånd är att förtroendet till rotnyckeln är överordnad förtroendet till ICANN. I själva verket är det tvärt om. De förlitande parterna väljer själva vem de litar på genom att peka sina namnservrar mot ICANN-roten och konfigurera det av ICANN publicerade tillitsankaret. Det är inte viktigt vem eller vilka som kontrollerar och utför signeringsoperationerna så länge innehållet i zonen är kontrollerat. M av N över flera organisationer riskerar istället att introducera osäkerhetsmoment som i förlängningen kan motverka syftet att förhindra en uppdelning av namnrymden på Internet. Tilliten till roten är inte heller beroende av att man kan ta nyckelmaterialet och överföra till en annan organisation - en ny organisation måste ändå använda nya nycklar och måste på samma sätt vinna tillit. Tilliten är inte detsamma som att råda över nyckelmaterialet.
Vi anser att det inte finns någon anledning att komplicera driften av rotzonen genom att blanda in fler parter vid nödvändiga nyckeloperationer. M av N bör endast användas inom förvaltningsorganisatonen som ett sätt stärka förtroendet för rotzonens integritet.
Tillit är ett mjukt värde som inte ytterst vilar på detta tekniska styrmedel.