wecon.it-consulting

Relativ geräuschlos hat das BSI am 4. März 2025 die alljährliche Aktualisierung der auf seiner Webseite veröffentlichten vierteiligen Technischen Richtlinie „BSI TR-02102 – Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ vorgenommen. Neben zahlreichen kleineren Anpassungen -vor allem bei den Angaben zu den jeweiligen Verwendungszeiträumen- sind in der BSI TR-02102-1 vor allem die Ergänzungen zum Thema PQC interessant. Hier einige aus meiner Sicht besonders interessante Aspekte:

• Erweiterung des grundsätzlichen Betrachtungszeitraums um ein Jahr, nunmehr bis zum Jahr 2031 (vgl. dazu TR-02102-1, Abschnitt 1.2)
• Konkretisierung des Migrationszeitraums auf PQC-Verfahren bei "hochsensitive Anwendungen" auf das Jahr 2030 (vgl. dazu TR-02102-1, Abschnitt 2.1)
• Verlängerung des Einsatzzeitraums für eine Vielzahl von "Algorithmen", die bisher auf 2030+ beschränkt waren, auf nunmehr 2031+ (übergreifend für die TR-02102-2 bis TR-02102-4).

Unbedingt sollte man aber Einschränkungen der Verwendungszeiträume -die auch bisher schon so vorgegeben waren- im Blick behalten, bspw. für den Einsatz von

• "Cipher-Suiten für TLS 1.2 ohne Perfect Forward Secrecy" (hier Ende des Verwendungszeitraums 2026, vgl. dazu TR-02102-2, Abschnitt 3.3.1.2, Tabelle 3),
• "Cipher-Suiten für TLS 1.2 mit Pre-Shared Key auf Basis von RSA" (hier Ende des Verwendungszeitraums 2026, vgl. dazu TR-02102-2, Abschnitt 3.3.1.3, Tabelle 4) oder auch
• "RSA als Signaturverfahren für TLS 1.2" (hier Ende des Verwendungszeitraums 2025(!), vgl. dazu TR-02102-2, Abschnitt 3.3.3, Tabelle 6).

PS: Warum zwischen dem Datum in den pdf-Dateien und der Veröffentlichung auf der Webseite wiederum mehr als vier Wochen liegen, verstehen wahrscheinlich auch nur die Eingeweihten *Zwinkersmiley*