DKIM: Kann ich einen RSA-Schlüssel verwenden, der größer als 2048 Bit ist, dh 4096?

Ich frage mich, ob ich einfach einen 4096-Bit-RSA-Schlüssel für DKIM (im DNS-TXT-Eintrag) verwenden kann.
Gibt es Nachteile (Vernachlässigung des Rechenaufwands)?
Vielleicht gibt es Mailserver, die mit einem so großen Schlüssel nicht umgehen können?

Außerdem: Gibt es einen großen Mail-Anbieter, der RSA-Schlüssel mit mehr als 2048 Bit verwendet? Google, Yahoo und Microsoft scheinen alle 2048-Bit-Schlüssel zu verwenden.

Aus IETF RFC 4871 (Hervorhebung hinzugefügt):

3.3.3. Schlüsselgrößen

Die Auswahl geeigneter Schlüsselgrößen ist ein Kompromiss zwischen Kosten, Leistung und Risiko. Da kurze RSA-Schlüssel leichter Offline-Angriffen erliegen, MÜSSEN Unterzeichner RSA-Schlüssel mit mindestens 1024 Bit für langlebige Schlüssel verwenden. Verifizierer MÜSSEN Signaturen mit Schlüsseln im Bereich von 512 Bit bis 2048 Bit validieren können, und sie MÜSSEN möglicherweise Signaturen mit größeren Schlüsseln validieren können. Überprüfungsrichtlinien können die Länge des Signaturschlüssels als eine Metrik verwenden, um zu bestimmen, ob eine Signatur akzeptabel ist.

Zu den Faktoren, die die Auswahl der Schlüsselgröße beeinflussen sollten, gehören:

• Die praktische Einschränkung, dass große (z. B. 4096-Bit-) Schlüssel möglicherweise nicht in ein 512-Byte-DNS-UDP-Antwortpaket passen

• Die Sicherheitsbeschränkung, dass Schlüssel kleiner als 1024 Bit Offline-Angriffen ausgesetzt sind

• Größere Schlüssel verursachen höhere CPU-Kosten für die Überprüfung und Signatur von E-Mails

• Schlüssel können regelmäßig ausgetauscht werden, daher kann ihre Lebensdauer relativ kurz sein

• Die Sicherheitsziele dieser Spezifikation sind im Vergleich zu typischen Zielen anderer Systeme, die digitale Signaturen verwenden, bescheiden

Weitere Informationen zur Auswahl der Schlüsselgrößen finden Sie in [ RFC3766 ].