<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.MsoPlainText, li.MsoPlainText, div.MsoPlainText
        {mso-style-priority:99;
        mso-style-link:"Plain Text Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
span.PlainTextChar
        {mso-style-name:"Plain Text Char";
        mso-style-priority:99;
        mso-style-link:"Plain Text";
        font-family:"Calibri","sans-serif";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoPlainText><span style='color:#1F4E79;mso-style-textfill-fill-color:#1F4E79;mso-style-textfill-fill-alpha:100.0%'>HI Tony,<o:p></o:p></span></p><p class=MsoPlainText><span style='color:#1F4E79;mso-style-textfill-fill-color:#1F4E79;mso-style-textfill-fill-alpha:100.0%'><o:p> </o:p></span></p><p class=MsoPlainText><span style='color:#1F4E79;mso-style-textfill-fill-color:#1F4E79;mso-style-textfill-fill-alpha:100.0%'>Thanks for help.<o:p></o:p></span></p><p class=MsoPlainText><span style='color:#1F4E79;mso-style-textfill-fill-color:#1F4E79;mso-style-textfill-fill-alpha:100.0%'>I was wondering if HMAC* keys are not used for zone then why the same is displayed when we use "dnssec-keygen -h".<o:p></o:p></span></p><p class=MsoPlainText><span style='color:#1F4E79;mso-style-textfill-fill-color:#1F4E79;mso-style-textfill-fill-alpha:100.0%'><o:p> </o:p></span></p><p class=MsoPlainText><span style='color:#1F4E79;mso-style-textfill-fill-color:#1F4E79;mso-style-textfill-fill-alpha:100.0%'>Regards,<o:p></o:p></span></p><p class=MsoPlainText><span style='color:#1F4E79;mso-style-textfill-fill-color:#1F4E79;mso-style-textfill-fill-alpha:100.0%'>Gaurav Kansal<o:p></o:p></span></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>-----Original Message-----<br>From: Tony Finch [mailto:fanf2@hermes.cam.ac.uk] On Behalf Of Tony Finch<br>Sent: Monday, March 3, 2014 3:58 AM<br>To: Gaurav Kansal<br>Cc: bind-users@lists.isc.org<br>Subject: Re: Regarding HMAC-SHA256 and RSASHA512 key generation algorithm in dnssec-keygen</p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>Gaurav Kansal <<a href="mailto:gaurav.kansal@nic.in"><span style='color:windowtext;text-decoration:none'>gaurav.kansal@nic.in</span></a>> wrote:<o:p></o:p></p><p class=MsoPlainText>><o:p> </o:p></p><p class=MsoPlainText>> I have doubt in this only. What's the difference between Zone or Host ??<o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>Zone keys are used for DNSSEC signing zones.<o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>Host keys are used for TSIG transaction authentication, for securing zone transfers or dynamic updates.<o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>> I also want to know which algorithm is the best one on security <o:p></o:p></p><p class=MsoPlainText>> aspects for generating Keys for DNSSEC.<o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>Your security is affected more by how you store the keys than anything else. RSASHA256 is fine.<o:p></o:p></p><p class=MsoPlainText><o:p> </o:p></p><p class=MsoPlainText>Tony.<o:p></o:p></p><p class=MsoPlainText>--<o:p></o:p></p><p class=MsoPlainText>f.anthony.n.finch  <<a href="mailto:dot@dotat.at"><span style='color:windowtext;text-decoration:none'>dot@dotat.at</span></a>>  <a href="http://dotat.at/"><span style='color:windowtext;text-decoration:none'>http://dotat.at/</span></a><o:p></o:p></p><p class=MsoPlainText>Faeroes: East or southeast 5 to 7. Rough or very rough. Rain. Moderate.<o:p></o:p></p></div></body></html>