Como configurar as assinaturas DKIM ED25519?

Blog

Saiba como configurar chaves de assinatura DKIM ED25519 com este guia passo-a-passo fácil.

por YunesTarada

Tempo de leitura: 4 min
Como configurar as assinaturas DKIM ED25519?
Índice-

Um método amplamente adotado para autenticação de correio eletrónico é o DomainKeys Identified Mail (DKIM), que permite aos destinatários de correio eletrónico verificar se o domínio do remetente autorizou o correio eletrónico e se este não foi adulterado durante o trânsito. Embora as assinaturas RSA tenham sido habitualmente utilizadas no DKIM, têm algumas limitações. Neste blogue, vamos explorar as vantagens das assinaturas DKIM ED25519 em relação às assinaturas RSA e guiá-lo através do processo de configuração das assinaturas DKIM ED25519.

As deficiências das assinaturas RSA

O RSA (Rivest-Shamir-Adleman) é um algoritmo de encriptação amplamente utilizado que serviu de base às assinaturas DKIM durante muitos anos. No entanto, as assinaturas RSA têm algumas desvantagens que levaram à adoção de algoritmos alternativos como o ED25519. Eis algumas das deficiências das assinaturas RSA:

Vulnerabilidade a ataques criptográficos: As assinaturas RSA são susceptíveis a determinados ataques criptográficos, como o problema da factorização. À medida que o poder computacional aumenta, o tempo necessário para decifrar chaves RSA diminui, tornando-as menos seguras ao longo do tempo.

Desempenho superior: As assinaturas RSA envolvem cálculos matemáticos complexos, levando a um aumento do tempo de processamento e do consumo de recursos. Isto pode ser uma preocupação significativa em ambientes de correio eletrónico de grande volume.

Tamanho e complexidade da chave: As chaves RSA requerem tamanhos maiores para fornecer um nível de segurança semelhante ao das chaves mais pequenas de outros algoritmos. Este facto aumenta a complexidade e os requisitos de armazenamento para manter as chaves RSA.

As vantagens das assinaturas DKIM ED25519

Para resolver as limitações das assinaturas RSA, o DKIM introduziu o suporte para assinaturas ED25519. O algoritmo ED25519 baseia-se na criptografia de curva elíptica e oferece várias vantagens:

Segurança reforçada

O ED25519 é considerado altamente seguro e resistente a ataques criptográficos conhecidos. Proporciona um nível de segurança semelhante ao do RSA com comprimentos de chave mais curtos, reduzindo o risco de comprometimento da chave.

Desempenho melhorado

As assinaturas ED25519 oferecem um desempenho superior em comparação com as assinaturas RSA. Os cálculos da curva elíptica envolvidos na geração e verificação das assinaturas ED25519 são significativamente mais rápidos, o que resulta num tempo de processamento reduzido e em menores requisitos de recursos.

Tamanhos de chave mais pequenos

As chaves ED25519 são mais curtas (256 bits) do que as chaves RSA, oferecendo o mesmo nível de segurança que as chaves de assinatura RSA de 4096 bits. Isto simplifica a gestão de chaves e reduz os requisitos de armazenamento, facilitando a gestão de implementações em grande escala.

Melhor proteção para o futuro

A segurança das assinaturas RSA depende do tamanho da chave, e são necessárias chaves maiores à medida que o poder computacional aumenta. Em contrapartida, espera-se que o ED25519 mantenha a sua força de segurança mesmo com o avanço da tecnologia, garantindo a viabilidade a longo prazo.

Configuração de assinaturas DKIM ED25519

Para configurar as assinaturas DKIM ED25519, siga estes passos:

1. Gerar chaves DKIM

Utilize uma ferramenta de geração de chaves DKIM que suporte assinaturas ED25519 para gerar uma chave privada e uma chave pública correspondente.

2. Publicar a chave pública

Publique a chave pública nos registos DNS do seu domínio como um registo TXT sob o seletor seletor DKIM especificado. Isto permite que os destinatários de correio eletrónico verifiquem a autenticidade das mensagens enviadas a partir do seu domínio.

3. Configurar o servidor de correio eletrónico

Actualize a configuração DKIM do seu servidor de correio eletrónico para utilizar a chave privada gerada para assinar mensagens de correio eletrónico de saída. Consulte a documentação do seu servidor de correio para obter instruções sobre como atualizar as definições DKIM.

4. Testar e monitorizar

Após a configuração, envie mensagens de correio eletrónico de teste para verificar se assinaturas DKIM são corretamente aplicadas e validadas pelos servidores de correio dos destinatários. Monitorize o estado da assinatura DKIM para garantir uma implementação bem sucedida.

Publicação da chave ED25519 DKIM no DNS

Ao publicar as chaves DKIM do ED25519, é necessário ter em conta a seguinte sintaxe: 

k=ed25519 (em vez do habitual RSA em maiúsculas)

p=(deve conter a chave codificada em BASE64) 

Nota: A sintaxe da chave DKIM é sensível a maiúsculas e minúsculas

Melhores práticas para a utilização de assinaturas DKIM ED25519 e RSA 

Embora as assinaturas DKIM ED25519 ofereçam inúmeras vantagens em relação às assinaturas RSA, é importante considerar a compatibilidade com versões anteriores de sistemas que podem não suportar o algoritmo mais recente. Para garantir a máxima compatibilidade e fiabilidade, recomenda-se a implementação de uma abordagem de assinatura DKIM dupla. Essa abordagem envolve a assinatura de emails com uma assinatura ED25519 e uma assinatura RSA. Eis por que razão é benéfica:

  • Compatibilidade: Ao incluir as assinaturas ED25519 e RSA, garante a compatibilidade com uma gama mais vasta de servidores de correio e clientes de correio eletrónico. Alguns sistemas mais antigos ou serviços de terceiros podem ainda não suportar ou validar assinaturas ED25519. A inclusão de uma assinatura RSA permite que esses sistemas ainda validem a assinatura DKIM e evitem falsos positivos ou rejeições.
  • Fase de teste: A implementação de uma abordagem de assinatura DKIM dupla durante a fase de teste permite-lhe avançar gradualmente para a adoção total das assinaturas ED25519. Fornece uma rede de segurança e permite-lhe monitorizar as taxas de aceitação e validação das assinaturas ED25519 por diferentes receptores.
  • Preparar o futuro: Incluir ambas as assinaturas ED25519 e RSA prepara a sua configuração DKIM para o futuro. À medida que mais sistemas e fornecedores adoptam o suporte ED25519, pode eliminar gradualmente a assinatura RSA, mantendo a compatibilidade com os sistemas antigos. Isto assegura que o seu mecanismo de autenticação de correio eletrónico permanece robusto e eficaz à medida que a indústria evolui.

Conclusão

m conclusão, a implementação das assinaturas DKIM ED25519 proporciona uma solução mais segura e eficiente para a autenticação de correio eletrónico. No entanto, considerando a compatibilidade com versões anteriores e os diferentes níveis de suporte para ED25519 em diferentes sistemas, recomenda-se a adoção de uma abordagem de assinatura dupla. Não nos podemos esquecer de seguir as melhores práticas de gestão de chaves e de nos mantermos actualizados com as tendências do sector para otimizar a nossa implementação do DKIM.

Últimas mensagens de Yunes Tarada (ver todas)
Lista de institutos de registo de marcas para VMCs - ActualizadaLista de institutos de registo de marcas para a VMC10-Desafios-empresariais-com-DMARC10 desafios empresariais com DMARC