¿Cómo configurar las firmas DKIM ED25519?

Un método ampliamente adoptado para la autenticación del correo electrónico es DomainKeys Identified Mail (DKIM), que permite a los destinatarios de correo electrónico verificar que el dominio del remitente ha autorizado el correo electrónico y que no ha sido manipulado durante el tránsito. Aunque las firmas RSA se han utilizado habitualmente en DKIM, tienen ciertas limitaciones. En este blog, exploraremos las ventajas de las firmas DKIM ED25519 sobre las firmas RSA y le guiaremos a través del proceso de configuración de las firmas DKIM ED25519.

Las deficiencias de las firmas RSA

RSA (Rivest-Shamir-Adleman) es un algoritmo de cifrado ampliamente utilizado que ha servido de base para las firmas DKIM durante muchos años. Sin embargo, las firmas RSA tienen algunos inconvenientes que han llevado a la adopción de algoritmos alternativos como el ED25519. Éstos son algunos de los defectos de las firmas RSA:

Vulnerabilidad a los ataques criptográficos: Las firmas RSA son susceptibles a ciertos ataques criptográficos, como el problema de la factorización. A medida que aumenta la potencia de cálculo, disminuye el tiempo necesario para descifrar claves RSA, lo que las hace menos seguras con el tiempo.

Sobrecarga de rendimiento: Las firmas RSA implican cálculos matemáticos complejos, lo que aumenta el tiempo de procesamiento y el consumo de recursos. Esto puede ser un problema importante en entornos de correo electrónico de gran volumen.

Tamaño y complejidad de las claves: Las claves RSA requieren tamaños más grandes para proporcionar un nivel de seguridad similar al de las claves más pequeñas de otros algoritmos. Esto aumenta la complejidad y los requisitos de almacenamiento para mantener claves RSA.

¡Simplifique la seguridad con PowerDMARC!

Ventajas de las firmas DKIM ED25519

Para hacer frente a las limitaciones de las firmas RSA, DKIM ha introducido la compatibilidad con las firmas ED25519. El algoritmo ED25519 se basa en la criptografía de curva elíptica y ofrece varias ventajas:

Seguridad reforzada

ED25519 se considera altamente seguro y resistente a los ataques criptográficos conocidos. Ofrece un nivel de seguridad similar al de RSA con longitudes de clave más cortas, lo que reduce el riesgo de que la clave se vea comprometida.

Mejora del rendimiento

Las firmas ED25519 ofrecen un rendimiento superior al de las firmas RSA. Los cálculos de curva elíptica necesarios para generar y verificar las firmas ED25519 son mucho más rápidos, lo que reduce el tiempo de procesamiento y los recursos necesarios.

Tamaños de llave más pequeños

Las claves ED25519 son más cortas (256 bits) que las claves RSA, pero ofrecen el mismo nivel de seguridad que las claves de firma RSA de 4096 bits. Esto simplifica la gestión de claves y reduce los requisitos de almacenamiento, lo que facilita la gestión de despliegues a gran escala.

Mejor preparación para el futuro

La seguridad de las firmas RSA depende del tamaño de la clave, y se necesitan claves más grandes a medida que aumenta la potencia de cálculo. En cambio, se espera que la ED25519 mantenga su nivel de seguridad incluso a medida que avance la tecnología, lo que garantiza su viabilidad a largo plazo.

Configuración de firmas DKIM ED25519

Para configurar las firmas DKIM ED25519, siga estos pasos:

1. Generar claves DKIM

Utilice una herramienta de generación de claves DKIM que admita firmas ED25519 para generar una clave privada y su correspondiente clave pública.

2. Publicar la clave pública

Publique la clave pública en los registros DNS de su dominio como un registro TXT bajo el especificado selector DKIM. Esto permite a los destinatarios de correo electrónico verificar la autenticidad de los correos electrónicos enviados desde su dominio.

3. Configure su servidor de correo

Actualice la configuración DKIM de su servidor de correo para utilizar la clave privada generada para firmar los correos electrónicos salientes. Consulte la documentación de su servidor de correo para obtener instrucciones sobre cómo actualizar la configuración DKIM.

4. Prueba y seguimiento

Tras la configuración, envíe correos electrónicos de prueba para comprobar que firmas DKIM se aplican correctamente y son validadas por los servidores de correo de los destinatarios. Supervise el estado de las firmas DKIM para garantizar que la implantación se realiza correctamente.

Publicación de la clave ED25519 DKIM en el DNS

Al publicar sus claves DKIM ED25519, debe tener en cuenta la siguiente sintaxis: 

k=ed25519 (en lugar del habitual RSA en mayúsculas)

p=(debe contener la clave codificada en BASE64) 

Nota: La sintaxis de la clave DKIM distingue entre mayúsculas y minúsculas

Prácticas recomendadas para el uso de DKIM ED25519 y firmas RSA 

Aunque las firmas DKIM ED25519 ofrecen numerosas ventajas sobre las firmas RSA, es importante tener en cuenta la compatibilidad con sistemas que no admitan el nuevo algoritmo. Para garantizar la máxima compatibilidad y fiabilidad, se recomienda aplicar un enfoque de doble firma DKIM. Este enfoque implica firmar los correos electrónicos tanto con una firma ED25519 como con una firma RSA. A continuación se explica por qué es beneficioso:

• Compatibilidad: Al incluir firmas ED25519 y RSA, se garantiza la compatibilidad con una gama más amplia de servidores de correo y clientes de correo electrónico. Es posible que algunos sistemas antiguos o servicios de terceros aún no admitan o validen las firmas ED25519. Incluir una firma RSA permite a estos sistemas seguir validando la firma DKIM y evitar falsos positivos o rechazos.
• Fase de prueba: La aplicación de un enfoque de doble firma DKIM durante la fase de prueba le permite avanzar gradualmente hacia la adopción total de las firmas ED25519. Proporciona una red de seguridad y le permite supervisar los índices de aceptación y validación de las firmas ED25519 por parte de distintos receptores.
• A prueba de futuro: La inclusión de las firmas ED25519 y RSA garantiza el futuro de su configuración DKIM. A medida que más sistemas y proveedores adopten la compatibilidad con ED25519, podrá eliminar gradualmente la firma RSA manteniendo la compatibilidad con los sistemas heredados. Esto garantiza que su mecanismo de autenticación de correo electrónico siga siendo sólido y eficaz a medida que evoluciona el sector.

Conclusión

n conclusión, la implementación de firmas DKIM ED25519 proporciona una solución más segura y eficiente para la autenticación del correo electrónico. Sin embargo, teniendo en cuenta la compatibilidad con versiones anteriores y los distintos niveles de compatibilidad con ED25519 en los diferentes sistemas, se recomienda adoptar un enfoque de doble firma. Debemos recordar seguir las mejores prácticas para la gestión de claves y mantenernos actualizados con las tendencias del sector para optimizar nuestra implementación de DKIM.

• Acerca de
• Últimas publicaciones

Yunes Tarada

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.

Últimos mensajes de Yunes Tarada (ver todos)

• Email Salting Attacks: Cómo el texto oculto burla la seguridad - 26 de febrero de 2025
• Aplanamiento del FPS: ¿Qué es y por qué lo necesitas? - 26 de febrero de 2025
• DMARC frente a DKIM: diferencias clave y cómo funcionan juntos - 16 de febrero de 2025