5. Considerazioni sulla sicurezza (Security Considerations)

La sicurezza dei sistemi crittografici dipende sia dalla forza degli algoritmi crittografici scelti sia dalle chiavi utilizzate con tali algoritmi. La sicurezza dipende anche dall'ingegnerizzazione del protocollo utilizzato dal sistema per garantire che non esistano modi non crittografici per aggirare la sicurezza del sistema complessivo.

Questo documento riguarda la selezione di algoritmi crittografici per l'uso di DNSSEC, in particolare la selezione di algoritmi "obbligatori da implementare". In questo documento, gli algoritmi identificati come MUST (deve) o RECOMMENDED (raccomandato) da implementare non sono noti per essere compromessi al momento attuale, e la ricerca crittografica finora ci porta a credere che probabilmente rimarranno adeguatamente sicuri a meno che non venga fatta una scoperta significativa e inaspettata. Tuttavia, questo non è necessariamente per sempre, e ci si aspetta che futuri documenti vengano pubblicati di tanto in tanto per riflettere le attuali migliori pratiche in questo settore.

Ritirare un algoritmo troppo presto comporterebbe il declassamento di una zona firmata con l'algoritmo ritirato all'equivalente di una zona non firmata. Pertanto, la deprecazione dell'algoritmo deve essere effettuata solo dopo attenta considerazione e idealmente lentamente quando possibile.