Não há nada "sensível" no arquivo bind.keys que você precise proteger para que não possa ser lido por usuários normais - ele contém "âncoras de confiança" para DNSSEC (os dados iniciais usados para validar a zona raiz, e para DLV ).
Você deve, no entanto, garantir que o arquivo não seja WRITABLE por usuários regulares (ou o usuário BIND é executado como) - na verdade, não há necessidade de o arquivo ser gravável. Ele não precisa ser atualizado com freqüência (se for necessário) e, caso precise substituí-lo, você pode fazer isso como root.