5. 安全考虑
密码系统的安全性既取决于所选密码算法的强度, 也取决于这些算法所使用密钥的强度. 安全性还取决于系统所用协议的工程设计, 以确保不存在可绕过整体系统安全性的非密码学途径.
本文档关注 DNSSEC 使用的密码算法选择, 特别是 "mandatory-to-implement" 算法的选择. 在本文档中, 被标识为实现时 MUST 或 RECOMMENDED 的算法目前尚不知已被攻破, 迄今的密码学研究也使我们认为, 除非出现重大的意外发现, 它们很可能会继续保持足够的安全性. 然而, 这并不一定永远成立, 预计未来会不时发布新的文档, 以反映这一领域当前的最佳实践.
过早退役某个算法会导致使用该已退役算法签名的区域被降级为等同于未签名区域的状态. 因此, 算法弃用必须只在审慎考虑后进行, 并且在可能时最好缓慢推进.