DKIM-Schlüsselstärke im Realitätscheck: Reichen 1024 Bit heute noch aus?
Die Sicherheit unserer E-Mail-Kommunikation basiert maßgeblich auf kryptografischen Signaturen. Doch während die Welt über Quantencomputer diskutiert, stellt sich im Alltag eine viel pragmatischere Frage: Ist der alte Standard von 1024-Bit für DKIM-Schlüssel noch zeitgemäß? In diesem Artikel werfen wir einen Blick unter die Motorhaube von RSA. Wir klären, wie Primzahlen die Stärke Ihres Keys bestimmen, warum die reine Bit-Zahl oft trügerisch ist und wieso die Art der Generierung wichtiger ist als die bloße Rechenleistung eines Angreifers.
Erklärung eines DKIM-RSA-Schlüssels: Wie ist er aufgebaut?
Ein DKIM-RSA-Schlüssel basiert auf zwei sehr großen Primzahlen (𝑝 * 𝑞) das Produkt (𝑛 = 𝑝 * 𝑞) bildet den sogenannten Modulus, welcher Teil des öffentlichen Schlüssels (Public Key) ist. Zusätzlich wird ein öffentlicher Exponent (e) veröffentlicht, der für die Verifizierung der Signatur in der E-Mail notwendig ist.
Für eine maximale Sicherheit ist es entscheidend, dass beide Primzahlen etwa die gleiche Bit-Länge haben (bei 1024-Bit also jeweils ca. 512-Bit), aber nicht identisch sind, da der Schlüssel sonst mathematisch leicht angreifbar wäre.
Was ist eine Primzahl?
Primzahlen sind Zahlen größer als 1, die nur durch 1 und sich selbst teilbar sind. Das bei kleinen Zahlen zu prüfen, ist leicht - bei riesigen Zahlen wird es jedoch extrem aufwendig.
Hier zwei Beispiele für Primzahlen mit 512-Bit, wie man sie für einen DKIM mit 1024-Bit benötigt.
Beispiel 1 - 155 Dezimalziffern (512-Bit)
67039039649712985497870124991029230637396829102961966888617807218608820150367734884009371490834517138450159290932430254268769414059732849866216824503042521
Beispiel 2 - 155 Dezimalziffern (512-Bit)
13407807929942597099574024998205846127479365820592393377723561443721764030073546976801874298166903427690031858186486050853753882811946569946433649006084171
Wie lange dauert es, Primzahlen im 512-Bit-Bereich zu berechnen?
Ausgehend von einer 512-Bit-Zahl (≈ 10¹⁵⁴) dauert die Suche nach lediglich 1.000 Primzahlen mittels einfacher, iterativer Prüfung auf moderner Hardware etwa 2 bis 4 Sekunden. Während das Finden neuer Primzahlen für die Schlüsselgenerierung also schnell geht, ist der umgekehrte Weg – das Zerlegen (Faktorisieren) eines fertigen Schlüssels in seine Primfaktoren - eine astronomische Herausforderung.
| CPU | Erscheinungsdatum | 1000 Berechnungen |
|---|---|---|
| Core Ultra 7 265T | Q1'25 | 4045ms |
| i5-13600K | Q4'22 | 2000ms |
| i9-13900 | Q1'23 | 3136ms |
Eine vollständige Durchsuchung des 512-Bit-Zahlenraums ist selbst mit modernster Hardware und massiver Parallelisierung in der Praxis nicht realisierbar – 100 Jahre wären dabei nicht einmal ansatzweise ausreichend.
Die Tests wurden mit folgendem Tool durchgeführt: PrimeNumberCalculator
Ist ein DKIM-RSA-1024-Bit-Schlüssel noch sicher?
Ein 1024-Bit-RSA-Schlüssel gilt heute als grenzwertig und wird nicht mehr als langfristig sicher empfohlen. Neben der reinen Schlüssellänge spielt jedoch die Qualität der Schlüsselgenerierung eine entscheidende Rolle.
In der Vergangenheit kam es vor, dass bei der Erzeugung der Primzahlen nicht ausreichend kryptographisch sichere Zufallsquellen verwendet wurden. Fehlende oder schwache Entropie (Zufälligkeit) kann dazu führen, dass sich Primzahlen wiederholen oder vorhersagbare Strukturen entstehen. In solchen Fällen können Angreifer durch mathematische Verfahren – etwa durch GCD-Vergleiche vieler öffentlicher Schlüssel oder gezielte Faktorisierungsangriffe – die Primfaktoren eines Modulus bestimmen und daraus den privaten Schlüssel rekonstruieren.
Solche Implementierungsschwächen stellen ein erhebliches Risiko für RSA-basierte Verfahren wie DKIM dar, selbst wenn die nominelle Schlüssellänge noch als ausreichend erscheint.
Historische Ursachen schwacher DKIM-Schlüssel
- Debian OpenSSL Bug (2006-2008): Der Zufallszahlengenerator (RNG) erzeugte nur eine sehr geringe Anzahl möglicher Schlüssel, wodurch private Keys leicht vorhersehbar waren.
- Fehlerhafte Implementierungen in Mailservern oder Libraries: Unsichere Key-Generierung, z. B. Nutzung von rand() statt kryptographisch sicherer Bibliotheken.
- Entropie-Mangel in virtuellen Maschinen und Containern: Ohne Hardware-Zufall oder CPU-Befehle wie RDRAND war die Initialisierung des RNG oft zu vorhersehbar; moderne Hypervisor geben jedoch Entropie an die VMs weiter, um dieses Problem zu mildern.
Welche Angriffe gibt es?
Falls eine der Primzahlen (𝑝 oder 𝑞) aufgrund schlechter Zufallsgeneratoren in verschiedenen öffentlichen Schlüsseln identisch ist, kann ein Angreifer mittels des Euklidischen Algorithmus (größter gemeinsamer Teiler, GCD) den Schlüssel in Sekundenbruchteilen knacken.
Ein echter Brute-Force-Angriff auf einen korrekt erzeugten 1024-Bit-Schlüssel ist hingegen deutlich komplexer. Dennoch gilt: Mit spezialisierter Hardware oder Cloud-Clustern rückt die Faktorisierung von 1024-Bit-Moduli in greifbare Nähe, weshalb der Standard als "depreciated" (veraltet) gilt.
1024-Bit RSA ist heute veraltet – besonders wenn Angreifer über hohe Rechenressourcen verfügen.
Vermeiden Sie Online-Tools zur Generierung von RSA-Schlüsseln
Im Internet finden sich zahlreiche Dienste, die angeblich RSA-Schlüssel für DKIM oder andere Zwecke generieren. Von der Nutzung solcher Online-Tools ist dringend abzuraten.
Es lässt sich nicht überprüfen, wie zuverlässig die zugrunde liegenden Primzahlen erzeugt werden – sie könnten unzureichend zufällig sein oder im schlimmsten Fall absichtlich festgelegt werden. Darüber hinaus hat der Anbieter bei jeder Schlüsselgenerierung Zugriff auf den privaten Schlüssel, was ein erhebliches Sicherheitsrisiko darstellt.
Für maximale Sicherheit sollten RSA-Schlüssel lokal auf vertrauenswürdigen Systemen mit bewährten kryptografischen Bibliotheken erzeugt werden.
2048-Bit RSA-Keys
Heute gelten 2048-Bit RSA-Schlüssel als Standard für DKIM. Sie bieten derzeit ein gutes Sicherheitsniveau gegen klassische Faktorisierungsangriffe: Mit heutiger Hardware und bekannten Algorithmen wie dem Number Field Sieve sind 2048-Bit-Moduli praktisch nicht faktorisierbar.
Nachteile von 2048-Bit RSA-Keys
2048-Bit-Schlüssel bieten zwar deutlich höhere Sicherheit, haben aber auch einige praktische Nachteile.
- Größerer Speicherbedarf: Die Schlüssel und Signaturen sind deutlich größer als bei 1024-Bit-Keys. Im Kontext von DKIM bedeutet das, dass die öffentlichen Schlüssel im DNS mehr Platz benötigen. Bei begrenzten DNS-Paketgrößen kann dies zu Problemen beim Übertragen oder Abrufen der Schlüssel führen. In einigen Fällen reicht eine Standard-UDP-DNS-Abfrage nicht aus, sodass das System zusätzlich eine TCP-basierte DNS-Abfrage durchführen muss, um den vollständigen Schlüssel abzurufen.
- Leistungsaufwand: Die Verarbeitung längerer Schlüssel erfordert etwas mehr Rechenleistung bei der Signaturerstellung und -prüfung, insbesondere auf älteren oder ressourcenbeschränkten Systemen.
Trotz dieser Nachteile überwiegt in den meisten Szenarien der Sicherheitsgewinn, weshalb 2048-Bit heute als Standard gilt.
Gibt es sichere Alternativen?
Ed25519-SHA256 könnte diese Probleme lösen, die geringe Verbreitung und Akzeptanz hält aber derzeit noch viele ab ihn einzusetzen. Zusätzlich dazu gibt es Schwierigkeiten im DMARC Reporting wo der Einsatz dieser modernen Variante zu Fehlerhaften DMARC Reports führt.
Fazit: 1024-Bit ist das Risiko nicht mehr wert
Technisch gesehen ist ein perfekt generierter 1024-Bit-RSA-Key heute noch schwer zu knacken. Doch die Realität zeigt: Das Risiko liegt in der Implementierung. Mangelhafte Entropie und die stetig steigende Rechenleistung machen den alten Standard zu einer tickenden Zeitbombe.
Unsere Empfehlungen für 2026:
- Standardmäßig 2048-Bit: Nutzen Sie diesen Standard für alle neuen Setups. Achten Sie auf die DNS-Größenbeschränkungen.
- Hände weg von Online-Generatoren: Erzeugen Sie Keys nur lokal via OpenSSL oder direkt in Ihrem Mail-Gateway.
- Zukunftsblick: Behalten Sie Ed25519 im Auge. Sobald die Akzeptanz im DMARC-Reporting steigt, ist dies der effizientere Weg.