คีย์ 1024 หรือ 2048 บิตสำหรับ DKIM?

อ้างอิงสิ่งนี้: https://crypto.stackexchange.com/questions/72297/recommended-key-size-for-dkim

สิ่งที่ฉันได้รับจากสิ่งนี้คือ (ในขณะนั้น) ผู้ให้บริการ DNS (ปกติ) อนุญาตให้ใช้คีย์ได้สูงสุด 1024 บิต แต่ไม่ใช่ 2048 บิต ตอนนี้ ผู้ให้บริการของฉันอนุญาตให้ฉันใช้ 2048 และยืนยันสัญญาณ DKIM แน่นอนว่าโพสต์อ้างว่า 1024 ปลอดภัยอย่างสมบูรณ์ แต่ถ้าฉันมีตัวเลือกให้ใช้ 2048 ฉันก็อยากทำ

ฉันสบายดีไหม ตราบใดที่ผู้ให้บริการของฉันรองรับระเบียน TXT ขนาดใหญ่ขนาดนั้น หรืออาจยังมีปัญหาอยู่?

ขึ้นอยู่กับกรณีการใช้งานของคุณ วัตถุประสงค์ที่ระบุไว้ของ DKIM คือการตรวจสอบความถูกต้องของข้อความ หากเป็นกรณีนี้ โดยทั่วไปจะยอมรับให้ใช้คีย์ RSA แบบ 2048 บิต การพิจารณาเซิร์ฟเวอร์ DNS มีไว้สำหรับเนมเซิร์ฟเวอร์ที่เชื่อถือได้ของคุณ ดังนั้นหากยอมรับการป้อนบันทึกที่ยาวกว่า 255 อักขระ ข้อควรพิจารณาเพียงอย่างเดียวคือการรับเซิร์ฟเวอร์ที่สามารถยอมรับบันทึกหลายสตริงและรองรับ 2048 บิต

หากด้วยเหตุผลบางอย่าง มีเซิร์ฟเวอร์รับที่ไม่สามารถอ่านบันทึกหรือรองรับขนาดใหญ่กว่า 1024 บิตได้ คุณสามารถสร้างคีย์ DKIM ใหม่ด้วยตัวเลือกใหม่ที่เกี่ยวข้องได้บ่อยเท่าที่ต้องการ พูดทุกวัน ทำให้ความน่าจะเป็นของคีย์ ถูกบุกรุกต่ำมาก เนื่องจากข้อความมักจะได้รับการรับรองภายในไม่กี่วินาทีหลังจากได้รับ

นอกจากนี้ยังมีตัวเลือกของคีย์ Ed25519 แต่ยังไม่รองรับเซิร์ฟเวอร์รับข้อมูลในวงกว้าง

หากกรณีการใช้งานของคุณพิสูจน์ได้ว่าผ่านการทดสอบการป้องกันสแปมต่างๆ คุณอาจใช้ 1024 บิตได้หาก 2048 บิตทำให้เกิดปัญหา ยังมีบริษัทขนาดใหญ่ที่ใช้ 1024 บิต โดยเฉพาะ Substack และฉันรู้ว่าฉันเคยเห็นบริษัทอื่น

สุดท้าย แต่ไม่ท้ายสุด รองรับมาตรฐาน DKIM ส่วนหัวของลายเซ็นหลายรายการดังนั้น ขึ้นอยู่กับโอเวอร์เฮดของเซิร์ฟเวอร์ คุณสามารถเซ็นชื่อโดยใช้หลายลายเซ็น และเซิร์ฟเวอร์ที่รับสามารถเลือกลายเซ็นที่จะตรวจสอบความถูกต้อง