1000bit 。（自從UnitedStatesNationalSecurityAgency答應(yīng)使用高于512bitRSA模的
編密碼系統(tǒng)的輸出，使用小的模數(shù)，i.e.n，必須認(rèn)為是不可靠的 。）
只用于安全數(shù)據(jù)而不對(duì)于其它安全密鑰的RSA密鑰，704bit在此時(shí)顯得更合適 。
4.2DSS密鑰長(zhǎng)度
DSS密鑰在相同的長(zhǎng)度下可能與RSA密鑰有相同的安全性，但是DSS運(yùn)算法制更小 。
5.私有密鑰存儲(chǔ)
建議那里可能的話，區(qū)域私有密鑰和區(qū)域原版拷貝文件必須只在脫機(jī)，無網(wǎng)絡(luò)連接，本
身絕對(duì)可靠的機(jī)器上保留和使用 。周期性的，一個(gè)應(yīng)用程序可以通過對(duì)分區(qū)/運(yùn)算法則增加
SIG與NXTRRs并增加無密鑰類型的KEYRR用來增強(qiáng)驗(yàn)證，在這些地方帶有這種運(yùn)算法則
的分區(qū)的確切的KEYRR并不被提供 。那樣擴(kuò)展文件就能被傳輸，也許通過暗網(wǎng)，到達(dá)初級(jí)
服務(wù)機(jī)的網(wǎng)絡(luò)區(qū)域 。
這個(gè)想法對(duì)于網(wǎng)絡(luò)來說是避免來自網(wǎng)絡(luò)的損害的一種信息流 。在網(wǎng)絡(luò)上在線保留區(qū)域原
版文件并簡(jiǎn)單地通過立憲的簽名人回收并不像以上所說的那樣 。假如主機(jī)借居的環(huán)境是是危
險(xiǎn)的話，這種再現(xiàn)的譯本仍然會(huì)被損害 。為了最大的安全考慮，區(qū)域的原版拷貝文件應(yīng)該離
線并不應(yīng)該在基于以通信為媒介的不可靠網(wǎng)絡(luò)上被升級(jí) 。
區(qū)域的動(dòng)態(tài)安全更新是不可能的[RFC2137] 。在這種情況下，私有密鑰的更新SOA和
NXT系列至少必須是在線的 。
安全問題的解決者必須用一些可信的在線公共密鑰信息（或是對(duì)解決者來說的一個(gè)安全
路徑）來完成配置，否則他們不能進(jìn)行鑒別 。盡管在線，這種公共密鑰信息必須被保護(hù)，否
則它就能被改變，以致騙取DNS數(shù)據(jù)成為可信的 。
無區(qū)域私有密鑰，例如主機(jī)或者用戶的密鑰，一般必須保持在線，用于像DNS事務(wù)安全
方面的實(shí)際目的 。
6.高級(jí)別區(qū)域,根區(qū)域和Meta-Root密鑰
高級(jí)別區(qū)域通常比的級(jí)別區(qū)域更敏感 。任何控制或是破壞一個(gè)區(qū)域安全的人能獲取它的
子域的所有權(quán)力（除非解決問題的人在本地配置了子域的公共密鑰） 。因此，對(duì)于高級(jí)別區(qū)
域必須非凡地小心并使用強(qiáng)大的密鑰 。
根區(qū)域是所有區(qū)域中最危急的 。某個(gè)控制或危機(jī)根區(qū)域安全的人將控制使用根區(qū)域的所
有用戶的完全DNS名稱空間（除非解決問題的人在本地配置了子域的公共密鑰） 。因此，根
區(qū)域必須盡最大可能的小心 。必須使用最強(qiáng)大和最小心的密鑰 。根區(qū)域私有密鑰應(yīng)該一直處
于離線狀態(tài) 。
許多問題的解決者將會(huì)在原服務(wù)器開始使用和驗(yàn)證DNS數(shù)據(jù) 。全世界龐大的問題解決人
員的安全升級(jí)將會(huì)變得相當(dāng)?shù)睦щy 。盡管在上面第3節(jié)的指導(dǎo)政策暗示根區(qū)域密鑰一年改變
一次或是更頻繁，假如它在所有問題解決這種實(shí)行靜態(tài)配置，它將會(huì)在改變的時(shí)候被更新 。
答應(yīng)根區(qū)域密鑰的相關(guān)頻繁改變使得DNS樹的最終密鑰的暴露減為最小，將會(huì)有一個(gè)使
用很少的“meta-root”密鑰，只用來標(biāo)記帶有重疊時(shí)間有效性的滾動(dòng)周期的常規(guī)根密鑰RR
的次序 。根區(qū)域包含meta-root和通用常規(guī)的根KEYRR(s)，在meta-root和其它根私有密
鑰自身下被SIGRRs標(biāo)記 。
在存儲(chǔ)和使用meta-root密鑰中使用盡可能強(qiáng)的安全機(jī)制是很有必要的 。用于防范的精
確技術(shù)的使用不在這篇文章的討論范圍 。由于它的非凡地位，它也許最好是由對(duì)于擴(kuò)展時(shí)段，
例如5到10年，的相同meta-root密鑰來延續(xù) 。
7.安全考慮
整篇文章是出于公共/私有密鑰這一對(duì)DNS安全性的可操作考慮的 。
參考書目
[RFC1034]Mockapetris,P.,"DomainNames-Conceptsand

推薦閱讀

• 

  鴿子火鍋如何做
• 

  沙灘排球的比賽規(guī)則
• 

  電動(dòng)車鑰匙丟了能配嗎
• 

  沉香由來
• 

  手機(jī)內(nèi)存不足怎么清理 快來一起為手機(jī)瘦身吧
• 

  原神曲徑通幽之處機(jī)關(guān)怎么破解? 原神曲徑通幽之處機(jī)關(guān)如何破解?
• 

  電腦重裝系統(tǒng)后連不上網(wǎng)怎么回事
• 

  帶風(fēng)字的網(wǎng)名
• 

  入黨志愿書丟失嚴(yán)重嗎
• 

  藕包子怎么做好吃 藕包子怎么做好吃竅門
• 

  風(fēng)云拍賣群是什么意思,公司資產(chǎn)被拍賣
• 

  路亞跳底注意什么，路亞跳底和收線怎樣配合
• 

  怎么破解手機(jī)密碼
• 

  美團(tuán)信用評(píng)分在哪里看。
• 

  成都有哪些本科學(xué)校
• 

  市場(chǎng)營(yíng)銷專業(yè)有哪些專業(yè)課程

• Photoshop排版一寸照片具體操作流程
• wps中替換字體具體操作方法
• 魅族16s怎么添加安全掃碼
• iPhone遠(yuǎn)程格式化詳細(xì)操作
• 使用Axure RP 8設(shè)計(jì)彈窗交互模型具體操作步驟
• A615搖動(dòng)換壁紙操作簡(jiǎn)要
• 抖音中隨拍設(shè)置好友可見具體操作方法
• 在網(wǎng)易云音樂里查看歌詞操作流程
• 如何判斷安全玻璃
• 如何連接公司的打印機(jī)