Einleitung
DomainKeys Identified Mail (DKIM) ist ein bewährter Mechanismus zur E-Mail-Authentifizierung, der mithilfe digitaler Signaturen die Integrität von Nachrichten sicherstellt und Spoofing verhindert. Seit 2018 ist Ed25519-SHA256 als neuer Signaturalgorithmus für DKIM spezifiziert (siehe RFC 8463). Dennoch fehlt es an einer breiten Unterstützung durch große E-Mail-Provider. Dieser Artikel untersucht die Hintergründe und möglichen Gründe für diese Entwicklung.
Hintergrund
Die elliptische Kurve Curve25519, die 2005 von Daniel J. Bernstein veröffentlicht wurde, bildet die Grundlage für Ed25519. Seit 2014 kommt sie als Standard in OpenSSH zum Einsatz – einem weit verbreiteten Protokoll für sichere Netzwerkkommunikation und SSH-Verbindungen. Die Vorteile von Ed25519-SHA256 liegen auf der Hand: Er bietet eine vergleichbare Sicherheit wie ein 3072-Bit-RSA-Schlüssel, benötigt dabei jedoch erheblich weniger Rechenleistung.
Aktuelle Situation
Bereits 2023 überprüfte Freddie Leeman von URIports die Unterstützung von Ed25519-SHA256 durch große E-Mail-Provider.
Das ernüchternde Ergebnis: Keiner der getesteten Anbieter konnte mit dem Algorithmus signieren und nur drei kleinere Provider waren in der Lage, die Signatur zu validieren. Auch aktuelle Tests durch das Mailtower Team zeigen weiterhin keine Unterstützung bei Outlook.com oder Gmail.
Performance-Vergleich
Ein wesentlicher Vorteil von Ed25519-SHA256 liegt in seiner Effizienz. Ein Test mit einer 7 KB großen E-Mail ergab folgende Ergebnisse:
- RSA 2048-bit:
- Signierung: 3,2 ms
- Validierung: 1,35 ms
- Ergebnis: Der Sender benötigt ca. 58 % mehr Rechenzeit als der Empfänger
- RSA 4096-bit:
- Signierung: 22 ms
- Validierung: 1,94 ms
- Ergebnis: Der Sender benötigt ca. 91 % mehr Rechenzeit als der Empfänger
- Ed25519-SHA256:
- Signierung: 0,2 ms
- Validierung: 1,2 ms
- Ergebnis: Hier steigt die Rechenzeit für den Empfänger im Vergleich zur Signierung dramatisch – Empfänger benötigen bis zu 500 % mehr Rechenzeit als der Sender.
Selbst bei größeren E-Mails bleibt die Signierung mit Ed25519-SHA256 außerordentlich effizient, während die Validierungszeit auf Empfängerseite mit zunehmender Nachrichtengröße ansteigt.
Warum zögern führende Provider? Ein möglicher Grund.
Ein mögliches Problem ergibt sich aus dem veränderten Verhältnis der Rechenlast: Während klassische RSA-Signaturen den Sender stark belasten, verringert Ed25519-SHA256 dessen Rechenaufwand deutlich. Zwar sinkt auch die Last für den Empfänger, jedoch nicht in demselben Maße wie beim Sender.
Ein weiterer wichtiger Aspekt ist das erhöhte Missbrauchspotenzial: Dank der stark verkürzten Signierungszeit von Ed25519-SHA256 könnten Massenmail-Absender bei gleichem Rechenaufwand bis zu 16-mal mehr signierte E-Mails versenden.
Fazit
Obwohl Ed25519-SHA256 dem Sender erhebliche Vorteile bietet, fallen die Einsparungen beim Empfänger vergleichsweise geringer aus. Während auch dort der Rechenaufwand sinkt, geschieht dies nicht im gleichen Maßstab wie beim Sender. Insbesondere große E-Mail-Anbieter müssen diese asymmetrische Belastung sowie potenzielle Missbrauchs-Szenarien in ihre Entscheidungen einbeziehen. Daher bleibt die Unterstützung von Ed25519-SHA256 im DKIM-Umfeld – trotz seiner technischen Vorzüge wird die Unterstützung – voraussichtlich auch in unbestimmter Zeit – weiterhin ausbleiben.
