Unschlüssig
BSIs unklare Empfehlung von RSA-Schlüssellängen bei TLS
Seit Jahren heißt es vom BSI, dass die RSA-Schlüssel für TLS-Zertifikate demnächst von 2048 Bit auf 3072 Bit umgestellt werden sollen. Nun ist dieser Moment vergangen und der große Wechsel ausgeblieben. Was ist denn nun konform – 2048 oder 3072 Bit?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Laufe des vergangenen Jahres in Dokumenten angegeben, dass TLS-Verbindungen ab dem Jahr 2024 mit RSA-Schlüsseln mit mindestens 3072 Bit Länge aufgebaut werden sollen und nicht mehr wie bisher mit 2048 Bit. Dabei ging das Amt inkonsistent vor und sprach mal von müssen und mal von einer Empfehlung. Gegenüber heise online erklärte das BSI nun, dass es sich hierbei nur um Empfehlungen und nicht um Vorgaben handeln würde.
Empfehlungen
Genau genommen geht es um die technischen Richtlinien TR-02102-2 und TR-02102-1 vom Januar 2023 (siehe ct.de/yqad). Ersteres ist die Liste von Empfehlungen der kryptografischen Verfahren für TLS. Darin heißt es, dass ab 2023 die empfohlene Mindestschlüssellänge für RSA 3000 Bit betragen soll (Seite 18). Als Übergangsregelung sei die Nutzung von RSA-Schlüsseln mit einer Länge ab 2000 Bit bis Ende 2023 noch konform. Im anderen Dokument heißt es auf Seite 19 „ab dem Jahr 2024 wird eine RSA-Schlüssellänge von ≥ 3000 Bits verbindlich“, auch wenn über der Tabelle mit diesem Satz wieder nur von Empfehlungen die Rede ist.