Neue Anforderungen an RSA-Schlüssellängen bei TLS-Verbindungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit seinen Veröffentlichungen zu Schlüssellängen bei kryptografischen Verfahren zum Jahreswechsel bei Serverbetreibern für Verwirrung gesorgt: Ab diesem Jahr schreibt die oberste IT-Sicherheitsbehörde Deutschlands für TLS-Verbindungen von Webservern vor, dass diese sich mit mindestens 3000-Bit langen RSA-Schlüsseln ausweisen müssen. Interessanterweise beschreibt das BSI die neue Regelung aber als eine Empfehlung. Was ist da los und wo liegt das Missverständnis?

Die Bedeutung von TLS-Verbindungen für die Internet-Sicherheit

TLS-Verbindungen spielen eine entscheidende Rolle für die Sicherheit im Internet, da sie eine geschützte und verschlüsselte Datenübertragung ermöglichen. Diese Technologie ist ein Eckpfeiler für die Vertraulichkeit und Integrität von Informationen und Daten, die über das World Wide Web ausgetauscht werden. TLS (kurz für: Transport Layer Security) wird in Webbrowsern, E-Mail-Clients, Messaging-Apps und anderen Anwendungen eingesetzt, um sicherzustellen, dass sensible Informationen während der Übertragung vor unbefugtem Zugriff geschützt sind.

Eng mit TLS verbunden ist RSA: Es ist eines der Schlüsselverfahren, die in TLS verwendet werden, um die Sicherheit von Datenübertragungen im Internet zu gewährleisten. Die RSA-Verschlüsselung wurde benannt nach den Mathematikern Rivest, Shamir und Adleman, die sie 1977 entwickelten. Der Name ergibt sich aus den Anfangsbuchstaben der Nachnamen der Entwickler.

Die Rolle von RSA in TLS

Bei der RSA-Verschlüsselung werden zwei Schlüssel verwendet: ein öffentlicher und ein privater Schlüssel. Während der öffentliche Schlüssel frei zugänglich ist und dazu verwendet wird, um Daten zu verschlüsseln oder digitale Signaturen zu überprüfen, wird der private Schlüssel zum Entschlüsseln von Daten oder zum Signieren von Nachrichten benötigt und muss geheim gehalten werden.

Während einer TLS-Verbindungsaufnahme spielt das RSA-Schlüsselpaar nun eine entscheidende Rolle: Der Server authentifiziert sich gegenüber dem Client, indem er seinen öffentlichen RSA-Schlüssel bereitstellt. Der Client kann dann diesen Schlüssel verwenden, um die Verbindung zu verschlüsseln. Der private RSA-Schlüssel verbleibt beim Server und wird verwendet, um die von Clienten gesendeten Daten zu entschlüsseln. Dadurch wird eine sichere und vertrauenswürdige Kommunikation zwischen dem Server und dem Client ermöglicht.

Damit bildet die RSA-Verschlüsselung ein grundlegendes Element der Sicherheit von TLS-Verbindungen im Internet. Durch die Nutzung dieses asymmetrischen Verschlüsselungsverfahrens können sensible Informationen sicher über das Internet übertragen werden, ohne dass sie von Unbefugten eingesehen oder manipuliert werden können.

Neue Anforderungen an RSA-Schlüssellängen des BSI

Kommen wir zurück zu den vom BSI geforderten äußerst große RSA-Schlüssellängen für TLS-Verbindungen. Oder ist es doch nur eine Empfehlung? Wir versuchen, die ganze Problematik aufzudröseln:

Die Technische Richtlinie TR-02102-2 des Bundesamts für Sicherheit in der Informationstechnik (BSI) legt die Anforderungen an Transport Layer Security (TLS)-Verbindungen fest und ist ein bedeutendes Dokument für die Sicherheit im digitalen Raum. Soweit so gut. Insbesondere der zweite Teil dieser Richtlinie, der zuletzt im Januar 2023 aktualisiert wurde, befasst sich mit den Anforderungen des BSI an TLS-Verbindungen: Eine entscheidende Empfehlung in dieser Richtlinie betrifft die Verwendung von RSA-Schlüsseln mit einer Länge von mindestens 3000 Bit, die bereits ab dem vergangenen Jahr umgesetzt werden sollte. Des Weiteren wird als Übergangsregelung bis Ende 2023 die Nutzung von RSA-Schlüsseln mit einer Länge ab 2000 Bit als konform angesehen.

Missverständnisse und Widersprüche

Obwohl das BSI betont, dass es sich um Empfehlungen und nicht um verpflichtenden Vorschriften handelt, besteht Verwirrung über die Konformität zur Technischen Richtlinie. Denn während der gesamte Abschnitt im Kapitel „Empfehlungen“ zu finden ist, wird dennoch von Konformität gesprochen. Dies wirft Fragen auf, insbesondere für Behörden, Diensteanbieter und KRITIS-Betreiber, die für die Sicherheit ihrer Systeme verantwortlich sind und sicherstellen müssen, dass ihre Konfigurationen den Anforderungen entsprechen.

Diese Situation wird durch die Unterschiede in den Veröffentlichungen des BSI verschärft. Das BSI widerspricht hierbei einer anderen Veröffentlichung aus dem eigenen Haus: Während nämlich die TR-02102-2 auf Empfehlungen basiert, fordert die TLS-Checkliste für Diensteanbieter nach TR-03116-4 explizit die Verwendung von 3072-Bit-RSA-Schlüsseln. Diese Checkliste ist die Grundlage für staatliche Auftragsvergaben an Dienstleister. Die Uneinheitlichkeit in den Veröffentlichungen erhöht die Verwirrung und die Notwendigkeit für klare Richtlinien.

Fazit: Höhere Sicherheit ist doch immer gut, oder?

Ein Wechsel zu RSA-Schlüsseln mit einer längeren Schlüssellänge hat nicht nur Auswirkungen auf die Sicherheit – was zu befürworten wäre – sondern auch auf die Performance der Server. Die erforderliche Rechenzeit steigt signifikant mit der Schlüssellänge an, was vor allem bei Webservern, die viele Verbindungen bedienen, eine Belastung darstellt. Die Erstellung von Signaturen mit längeren Schlüsseln erfordert einen höheren Aufwand und kann zu Leistungsengpässen führen. Zudem steigt das Risiko für DDoS-Attacken mit längeren Schlüsseln, da diese die Server zusätzlich belasten könnten.

Tatsächlich gilt heute eine Schlüssellänge von 2048 Bit als Standard. Experten sind der Ansicht, dass RSA-Schlüssel mit einer Länge von 2048 Bit trotz aufkommender Trends wie Quantencomputing noch bis zum Jahr 2030 als ausreichend sicher angesehen werden. Dies bedeutet, dass die derzeitigen Sicherheitsstandards für RSA-Schlüssel noch eine Zeit lang Bestand haben und nicht sofort durch längere Schlüssellängen ersetzt werden müssen.

Insgesamt sind klare Richtlinien und eine ausgewogene Berücksichtigung von Sicherheit und Performance entscheidend für die Umsetzung von RSA-Schlüssellängen bei TLS-Verbindungen. Eine transparente Kommunikation seitens des BSI sowie die Berücksichtigung der praktischen Herausforderungen sind notwendig, um eine reibungslose Umstellung zu gewährleisten. Es bleibt also spannend, wie das BSI und die Serverbetreiber in den kommenden Wochen und Monaten reagieren werden, um dadurch für mehr Klarheit zu sorgen. Wir halten Sie auf dem Laufenden.