ArtemisDiana – shutterstock.com
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in seiner aktualisierten Technischen Richtlinie TR-02102 konkrete Fristen für das Ende der herkömmlichen asymmetrischen Verschlüsselungsverfahren gesetzt. Demnach sollen diese Methoden ab dem Jahr 2031 nicht mehr isoliert verwendet werden. Für Systeme mit besonders hohen Sicherheitsanforderungen gilt diese Vorgabe bereits ab Ende 2030.
BSI setzt auf hybride Verschlüsselung
Stattdessen empfiehlt die Behörde den kombinierten Einsatz traditioneller Verfahren mit Post-Quanten-Kryptographie in hybrider Ausführung.
Zudem hat das BSI den Ausstieg für konventionelle Signaturverfahren aus der alleinigen Verwendung bis Ende 2035 geplant.
„Mit der Abkündigung der klassischen Verschlüsselungsverfahren setzen wir neue Maßstäbe. Die Umstellung auf Verfahren der Post-Quanten-Kryptographie ist alternativlos, die Technische Richtlinie gibt nun konkreten Handlungsbedarf vor“, erklärt BSI-Präsidentin Claudia Plattner.
Die TR-02102 dient in vielen Bereichen weltweit als Referenzdokument für technische Standards. In verschiedenen Produkten, insbesondere bei der Verarbeitung von Informationen unter Verschluss, ist die Einhaltung dieser BSI-Richtlinie verpflichtend.
Die aktualisierten Teile der TR-Richtlinie
Die neue TR-Richtlinie enthält folgende Punkte:
BSI TR-02102-1: Kryptographische Verfahren und Schlüssellängen
Diese Richtlinie präsentiert eine Sicherheitsbewertung ausgewählter kryptographischer Methoden und bietet langfristige Orientierung bei der Auswahl geeigneter Verfahren. Die Auflistung erhebt jedoch keinen Anspruch auf Vollständigkeit. Deshalb gelten nicht aufgeführte Verfahren nicht automatisch als unsicher. Die Zielgruppe sind primär Entwickler, die die Einführung neuer kryptographischer Infrastrukturen planen.
BSI TR-02102-2: Transport Layer Security (TLS)
Der zweite Teil enthält Handlungsempfehlungen für die Implementierung von TLS. Das Protokoll gewährleistet sichere Datenübertragung in Netzwerken und schützt Vertraulichkeit, Integrität und Authentizität übermittelter Informationen.
BSI TR-02102-3: IPsec und IKEv2
Die Richtlinie beschreibt den Einsatz kryptographischer Mechanismen in den Protokollen IPsec (Internet Protocol Security) und IKE (Internet Key Exchange). Dabei geht es ausschließlich um Version 2 des IKE-Protokolls (IKEv2). Für Neuentwicklungen wird grundsätzlich IKEv2 empfohlen, da es gegenüber IKEv1 Vorteile bei Protokollkomplexität und Bandbreitennutzung während des Aufbaus einer Security Association bietet.
BSI TR-02102-4: Secure Shell (SSH)
Der vierte Teil enthält Empfehlungen für SSH-Implementierungen. Er konkretisiert die Vorgaben zu Protokollversionen und kryptographischen Algorithmen aus Teil 1 der Technischen Richtlinie.