5. Considérations de sécurité (Security Considerations)

La sécurité des systèmes cryptographiques dépend à la fois de la force des algorithmes cryptographiques choisis et des clés utilisées avec ces algorithmes. La sécurité dépend également de l'ingénierie du protocole utilisé par le système pour garantir qu'il n'existe pas de moyens non cryptographiques de contourner la sécurité du système global.

Ce document concerne la sélection d'algorithmes cryptographiques pour l'utilisation de DNSSEC, en particulier la sélection d'algorithmes "obligatoires à implémenter". Dans ce document, les algorithmes identifiés comme MUST (doit) ou RECOMMENDED (recommandé) à implémenter ne sont pas connus pour être cassés à l'heure actuelle, et la recherche cryptographique jusqu'à présent nous amène à croire qu'ils resteront probablement suffisamment sûrs à moins qu'une découverte significative et inattendue ne soit faite. Cependant, ce n'est pas nécessairement pour toujours, et il est prévu que de futurs documents seront publiés de temps à autre pour refléter les meilleures pratiques actuelles dans ce domaine.

Retirer un algorithme trop tôt entraînerait la rétrogradation d'une zone signée avec l'algorithme retiré à l'équivalent d'une zone non signée. Par conséquent, la dépréciation d'un algorithme ne doit être effectuée qu'après un examen attentif et idéalement lentement lorsque cela est possible.