<tt><font size=2>Rick van Rein wrote on 03/06/2009 09:52:55 AM:<br>
<br>
> Hi,<br>
> <br>
> > <key><br>
> >   <label>KEY-1</label><br>
> >   <sign>ANY</sign><br>
> > </key><br>
> > <key><br>
> >   <label>KEY-2</label><br>
> >   <sign>DNSKEY</sign><br>
> > </key><br>
> <br>
> So, <sign>ANY</sign> means "sign anything by DNSKEY"?
 That sounds like<br>
> a recipe for confusion.  A more orthogonal alternative, with
less<br>
> opportunities for confusion, could be:<br>
> <br>
> <key><br>
>   <label>KEY-1</label><br>
>   <sign>ANY</sign><br>
>   <not-sign>DNSKEY</not-sign><br>
> </key><br>
> <key><br>
>   <label>KEY-2</label><br>
>   <sign>DNSKEY</sign><br>
> </key><br>
> <br>
> or even<br>
> <br>
> <key><br>
>   <label>KEY-1</label><br>
>   <sign>ANY<except>DNSKEY</except></sign><br>
> </key><br>
> <key><br>
>   <label>KEY-2</label><br>
>   <sign>DNSKEY</sign><br>
> </key><br>
</font></tt>
<br><tt><font size=2>Rick, that does not look less complex to me.</font></tt>
<br>
<br><tt><font size=2>The rule in our scheme is basically that you explicitly
assign keys to types they need to sign. Anything not explicity assigned
falls in the category 'ANY'. </font></tt>
<br>
<br><tt><font size=2>kind of like the 'default:' part of the switch/case
statement.</font></tt>
<br>
<br><tt><font size=2>Regards,</font></tt>
<br>
<br><tt><font size=2>Roy Arends</font></tt>
<br><tt><font size=2>Sr. Researcher</font></tt>
<br><tt><font size=2>Nominet UK</font></tt>