RSA & ECC auf der Zielgeraden: Jetzt kryptoagil werden

RSA und ECC sind seit Jahrzehnten das Rückgrat sicherer Internetverbindungen, Datenverschlüsselung und elektronischer Signaturen, doch ihre Frist läuft ab. Der Grund ist kein plötzlicher Bug oder neue mathematische Verfahren, die die genannten Algorithmen brechen könnten, sondern Physik: Ein hinreichend großer Quantencomputer kann mit Shors Algorithmus sowohl das Faktorisierungsproblem (RSA) als auch diskrete Logarithmen (ECC) effizient lösen.

Deshalb gilt: Wer heute Daten verschlüsselt, muss damit rechnen, dass Angreifer sie heute sammeln und später entschlüsseln („harvest now, decrypt later“). Das BSI zieht daraus erstmals ein konkretes Ablaufdatum für den alleinigen Einsatz klassischer asymmetrischer Verfahren. Die Einzelheiten sind als Empfehlung in der technischen Richtlinie TR-02102-1 vom Januar 2026 beschrieben.

Ab 2032 sollen klassische RSA und ECC-Verfahren nur noch in hybrider Form zusammen mit Post‑Quanten‑Kryptographie (PQC) genutzt werden. „Hybrid“ bedeutet hierbei, dass zwei Verfahren parallel angewendet werden. Neben den klassischen RSA-/ECC-Verfahren sollen zusätzlich moderne PQC-Verfahren kombiniert werden.

Das BSI empfiehlt den hybriden Ansatz ausdrücklich, weil PQC‑Verfahren zwar notwendig, aber im Vergleich zu RSA und ECC noch weniger bezüglich Implementierungssicherheit und möglichen Schwächen bei Angriffen auf Seitenkanäle untersucht sind.

Genau hier liegt die organisatorische Herausforderung: Eine Migration betrifft nicht nur einen Algorithmus, sondern Protokolle, Bibliotheken, Zertifikatsketten, Geräte‑Firmware und oft auch externe Partner. Besonders bei PKI‑Landschaften sind lange Migrationszeiten realistisch, weil neue Zertifikate, Richtlinien, HSM‑Support und Rollout‑Fenster zusammenpassen müssen.

Für Signaturen setzt das BSI einen späteren, aber ebenfalls festen Horizont. Die alleinige Nutzung klassischer RSA-/ECC-Signaturverfahren wird nach aktuellem Kenntnisstand voraussichtlich nur noch bis Ende 2035 empfohlen.  Spätestens bis 2035 soll die Umstellung auf quantensichere Signaturen erfolgt sein. Auch hier ist die bevorzugte Variante hybrid, etwa durch das Aneinanderfügen einer klassischen ECC / RSA mit einer PQC‑Signatur, die nur gemeinsam als gültig zählt.

Bei elektronisch signierten Dokumenten ist die eigentliche „Krypto‑Frage“ nicht nur das Signieren heute, sondern vor allem die nachträgliche Prüfbarkeit über viele Jahre, oft weit über den Lebenszyklus von IT‑Systemen hinaus. Das BSI rät deshalb, bei Langzeitbedarf künftige PQC-Umstellungen zeitnah einzuplanen und alte Dokumente bei Bedarf mittels Übersignierung mit aktualisierten Verfahren erneut abzusichern. Für diese langfristige Beweiswerterhaltung verweist das BSI auf TR‑03125, welche die Beweiswerterhaltung kryptographisch signierter Dokumente regelt.

Die Herausforderung liegt nicht in der Anwendung der neuen PQC-Verfahren, sondern in der Inventarisierung der betroffenen Applikationen und Services sowie in der risikobasierten Bewertung des jeweiligen Schutzbedarfs und der Migrationskomplexität. Ein umfassendes Migrationsprojekt, das die wichtigsten Applikationen und Services beinhaltet, dauert aufgrund von Abhängigkeiten und Lebenszyklen oft mehrere Jahre und muss daher frühzeitig geplant werden.

Das Vorgehen heißt «Kryptoagilität», welche das BSI explizit in der TR-02102-1 erwähnt. Kryptoagilität beschreibt die organisatorische, technische und prozessuale Fähigkeit, kryptografische Mechanismen flexibel zu ersetzen oder zu erweitern, ohne dass wesentliche Änderungen am Rest des Gesamtsystems vorgenommen werden müssen. Auf Basis dieses Vorgehens können sich Organisationen formell, effizient und gezielt diesen Herausforderungen stellen.