Se me ocurrió que DKIM verificó los correos electrónicos, de los principales jugadores (por ejemplo, GMail), podría abrir la puerta a OpenPGP más moderno Autorización de firma de clave de robot .
La idea sería pedir a las personas que envíen una solicitud de canto clave a una dirección conocida (por ejemplo, [email protected]) y firmar su solicitud con su tecla OpenPGP. La firma DKIM de ese correo electrónico se verificará para verificar que el solicitante tenga control sobre la cuenta reclamada ( es decir, que GMail, por ejemplo, afirma que el correo electrónico fue enviado por un usuario válido / autenticado). Si todo sale bien, el robot firmará la identidad correspondiente en la clave pública del remitente y la devolverá.
Tengo entendido que DKIM hace que sea mucho más difícil falsificar una dirección de correo electrónico cuando el encabezado "De:" se incluye en la firma DKIM.
Entonces, le pregunto a la comunidad, ¿cuáles son algunas debilidades o limitaciones de este enfoque? Estos son algunos de los temas que he considerado:
- En el pasado, las claves DKIM eran demasiado cortas (< 1024 bit RSA). Esto ha sido resuelto.
- Las claves públicas DKIM se alojan como registros DNS, y los DNS sin formato pueden ser falsificados (tal vez la fijación se puede usar para los principales jugadores)
- Las claves DKIM están quizás menos protegidas que otras credenciales de seguridad, ya que su propósito principal es combatir el spam y el phising (¿no hay solución?).
¿Hay otros peligros que estoy pasando por alto?
NOTA: Para lo que vale la pena, parece que keybase.io está jugando con esta idea ( enlace )