Jump to first page
 -47
DS RDATA
n16 bits: key tag
n8 bits: algorithm
n8 bits: digest type
n20 bits: SHA-1 Digest
$ORIGIN ripe.net.
disi.ripe.net    3600 IN   NS   ns.disi.ripe.net
disi.ripe.net.   3600 IN   DS   3112 1 1 (
                                239af98b923c023371b52
                                1g23b92da12f42162b1a9
                                )
This field indicates which key is
the next in the chain of trust
draft-ietf-dnsext-delegation-signer-xx.txt


                           1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3
       0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |        type covered           |  algorithm    |  digest type  |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                         SHA-1 digest                          |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                         20 bytes                              |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                                                               |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                                                               |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                                                               |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+


Note that the same 20 bytes hash is also used in the creation of a RSA SHA1 signature. The crypto strength of the pointer is thus comparable to the crypto strength of the signature over the key. In other words you do not weaken the chain of trust.