DKIM：我可以使用大于 2048 位（即 4096）的 RSA 密钥吗？

Question

我想知道我是否可以简单地将 4096 位 RSA 密钥用于 DKIM（在 DNS TXT 记录中）。
是否有任何缺点（忽略计算工作）？
也许有些邮件服务器无法处理这么大的密钥？

另外：是否有使用大于 2048 位的 RSA 密钥的大型邮件提供商？谷歌、雅虎和微软似乎都使用 2048 位密钥。

Answer 1

来自 IETF RFC 4871（强调）：

3.3.3. 钥匙尺寸

选择合适的密钥大小是成本、性能和风险之间的权衡。由于较短的 RSA 密钥更容易屈服于离线攻击，因此签名者必须使用至少 1024 位的 RSA 密钥作为长期密钥。验证者必须能够使用512 位到 2048 位的密钥来验证签名，并且他们可以使用更大的密钥来验证签名。验证者策略可以使用签名密钥的长度作为确定签名是否可接受的一个度量。

应影响密钥大小选择的因素包括：

• 大（例如，4096 位）密钥可能不适合 512 字节 DNS UDP 响应数据包的实际约束

• 小于1024位的密钥易受离线攻击的安全约束

• 较大的密钥会增加验证和签署电子邮件的 CPU 成本

• 钥匙可以定期更换，因此它们的寿命可能相对较短

• 与采用数字签名的其他系统的典型目标相比，该规范的安全目标是适度的

有关选择密钥大小的进一步讨论，请参阅 [ RFC3766 ]。