Действительно, если хитрый хакер умеет подделывать ответы DNS, то логичным будет допущение, что он сможет подделать и пару ключей, необходимых для работы с цифровыми подписями. Да, вычислить секретный ключ по открытому чрезвычайно трудно. Но хакер может легко сгенерировать собственную пару ключей и подписать подложные данные DNS с помощью секретного ключа из этой пары, а соответствующий открытый ключ также подсунуть жертве атаки, выдав его за ключ правомерного администратора зоны. При проверке хакерской подписи относительно хакерского открытого ключа жертва не сможет обнаружить подлог. Более того, думая, что работает с данными, достоверность которых подтверждена цифровой подписью, наивный пользователь интернета вообще может утратить бдительность: ложное чувство безопасности - страшная вещь.

Выходит, что введение цифровой подписи лишь сместило фокус проблемы. Раньше вопрос сводился к тому, можно ли доверять открытым данным из таблиц DNS. Теперь вопрос сводится к тому, можно ли доверять конкретному открытому ключу из той же самой DNS. Парадоксальная катастрофа надежд. Или нет?