Итак, для того, чтобы оборот цифровых подписей оказался возможен, используется пара криптографических ключей: закрытый, секретный ключ и соответствующий ему открытый ключ. Закрытый ключ позволяет с помощью криптографических алгоритмов сгенерировать цифровую подпись для исходных данных. Открытый ключ позволяет только проверить достоверность предъявленной подписи относительно этого ключа и сопоставленных с подписью данных. Закрытый ключ, позволяющий подписывать данные, сохраняется в тайне. Открытый ключ доступен всем желающим проверять подписи.

У многих людей, впервые сталкивающихся с современной криптографией, возникает некоторое недоумение: как же так получается, что открытый ключ позволяет проверять подписи, но не позволяет самостоятельно подписывать другие данные? Дело в том, что, конечно, нет никакого строгого теоретического запрета на вычисление закрытого ключа на основе открытого или запрета на генерирование валидной цифровой подписи для произвольного текста или данных из таблицы адресации с помощью лишь открытого ключа.

Криптографическая смекалка проявляется тут в том, что такая задача очень трудна для сколько-нибудь сложных ключей. Другими словами, раскрыть секретный ключ можно, но при современном состоянии математики для этого потребуется невообразимое количество вычислительных ресурсов, недоступное на практике. Так что криптография с открытым ключом не обладает строгой теоретической стойкостью, но пока не подводила на практике. Все эти моменты следует иметь в виду, размышляя о нагрузке на DNS, создаваемой DNSSEC, о механизмах обновления ключей и о надёжности новой технологии в перспективе, ведь DNS предстоит существовать ещё долгие годы.