D

Délka klíče (DKIM)

Délka klíče DKIM určuje sílu digitálního podpisu e-mailu. Zjistěte, proč se doporučuje 2048 bitů a jak to ovlivňuje bezpečnost a doručitelnost.


Co je délka klíče (DKIM)?

Délka klíče v DKIM (DomainKeys Identified Mail) označuje velikost kryptografického klíče používaného k podepisování a ověřování e-mailových zpráv. Určuje sílu digitálního podpisu, který odesílající poštovní server aplikuje, i to, jak obtížné je pro útočníka jej padělat. V DKIM poskytují delší klíče silnější zabezpečení, protože je díky nim těžší podpis prolomit nebo podvrhnout hrubou silou či kryptografickými útoky.

Každý pár klíčů DKIM se skládá ze soukromého klíče (používaného k podepisování zpráv) a veřejného klíče (zveřejněného v DNS TXT záznamu domény). Když je zpráva přijata, poštovní server získá veřejný klíč z DNS, tímto klíčem ověří podpis a potvrdí, že zpráva nebyla během přenosu změněna.

Jak délka klíče v DKIM funguje

Délka klíče určuje velikost šifrovacího klíče v bitech. DKIM podle použitého algoritmu podporuje několik délek klíčů, ale většina domén používá RSA s 1024bitovými nebo 2048bitovými klíči. Velikost klíče přímo ovlivňuje výkon i zabezpečení:

  • 512bitové klíče: Zastaralé a nezabezpečené. Snadno prolomitelné pomocí moderního výpočetního výkonu.
  • 1024bitové klíče: Minimum přijatelné pro mnoho poštovních systémů, ale podle dnešních měřítek považované za slabé.
  • 2048bitové klíče: Doporučený osvědčený postup pro zabezpečené a vyhovující zavedení DKIM.
  • 4096bitové klíče: Poskytují dodatečné zabezpečení, ale mohou zvětšit velikost DNS záznamu a prodloužit dobu vyhledávání.

Příklad veřejného klíče DKIM zveřejněného v DNS:

selector1._domainkey.example.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQD..."
 

Parametr p= obsahuje veřejný klíč zakódovaný v Base64, který příjemci pošty používají k ověření kryptografického podpisu v hlavičce DKIM-Signature každého e-mailu.

Aspekty zabezpečení a souladu

Délka klíče má přímý dopad na zabezpečení DKIM. Kratší klíče (1024 bitů a méně) jsou vůči kryptografickým útokům zranitelnější, zvláště s rostoucím výpočetním výkonem. Hlavní poskytovatelé schránek a bezpečnostní rámce včetně DMARC doporučují používat RSA klíče o délce 2048 bitů nebo silnější, aby se předešlo padělání a ochránilo proti kompromitaci.

Mezi důležité osvědčené postupy patří:

  • U nových DKIM záznamů používejte klíče o délce alespoň 2048 bitů.
  • Pravidelně obměňujte klíče, abyste omezili expozici v případě kompromitace.
  • Sledujte limity velikosti DNS - 2048bitové klíče mohou prodloužit délku záznamu, proto v případě potřeby rozdělte dlouhé řetězce do několika uvozovkami oddělených segmentů.
  • Nepoužívejte tentýž selektor opakovaně napříč různými službami nebo poštovními toky.
  • Pravidelně kontrolujte všechny selektory DKIM a ověřujte, že splňují moderní kryptografické standardy.

Řada podnikových bezpečnostních standardů (například ISO 27001 a NIST SP 800-177) klade důraz na silnou správu klíčů jako součást bezpečných politik pro ověřování e-mailů. Používání zastaralých nebo slabých klíčů DKIM může vést k odmítnutí zprávy nebo k selhání kontrol sladění při vyhodnocování DMARC.

Jak délka klíče ovlivňuje doručitelnost

Poskytovatelé schránek jako Google, Yahoo a Microsoft sílu klíčů DKIM aktivně kontrolují. Zprávy podepsané slabými klíči (zejména 512bitovými nebo 1024bitovými RSA klíči) mohou být označeny jako nezabezpečené nebo v ověřování zcela selhat. To může snížit reputaci odesílatele a zvýšit umístění do složky se spamem.

Přechod na 2048bitové klíče zlepšuje zabezpečení i důvěryhodnost. Konfiguraci DNS je však třeba pečlivě otestovat, protože delší záznamy mohou překročit limity velikosti nebo způsobit selhání vyhledávání, pokud nejsou správně naformátovány. Ověření DKIM podpisu po zveřejnění nového klíče zajišťuje hladké doručování a přesný reporting v analýzách DMARC.

Délka klíče a DMARCeye

DMARCeye průběžně monitoruje konfigurace DKIM napříč všemi doménami a subdoménami a zajišťuje dodržování kryptografických osvědčených postupů. Platforma analyzuje délku klíče každého selektoru, označuje zastaralé nebo nezabezpečené klíče a upozorňuje administrátory dříve, než ovlivní doručitelnost nebo úspěšnost ověřování.

Korelací dat o klíčích s výsledky ověřování zpráv poskytuje DMARCeye podrobný přehled o tom, které selektory se používají, které je třeba obměnit a kde může síla klíče klesat pod standardy souladu. To organizacím pomáhá udržovat zabezpečené a standardům odpovídající nastavení DKIM, které podporuje spolehlivou ochranu domény a silné vynucování DMARC.

Vyzkoušejte DMARCeye zdarma a zabezpečte svou e-mailovou doménu.


Chcete-li se dozvědět více o DMARC a souvisejících pojmech, prozkoumejte Slovník pojmů DMARCeye.


Similar posts

Získejte upozornění na nové marketingové poznatky

Buďte první, kdo se dozví o nových poznatcích, které vám pomohou vytvořit nebo vylepšit vaši strategii DMARC.