image
wecon.it-consulting
BSI TR-02102 Update 2026

Updates zur BSI TR-02102 – oder: Das Ende von RSA und ECC ist nahe ;)

| | Meinung, Veröffentlichungen

Gestern am 11. Februar 2026 hat das BSI die alljährliche Aktualisierung der auf seiner Webseite veröffentlichten vierteiligen Technischen Richtlinie „BSI TR-02102 – Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ vorgenommen, die jetzt aktuelle Version "2026-01" ist vom 23. Januar 2026.

Insbesondere die Aussagen zum Thema PQC sind wieder einmal interessant, wenngleich in vielen Abschnitten auch mehr oder weniger eine "Kopie" aus dem letzten Jahr:

"Den quantensicheren Verfahren, die in dieser Technischen Richtlinie empfohlen werden, wird im Allgemeinen noch nicht das gleiche Vertrauen entgegengebracht wie den etablierten klassischen Verfahren, da sie beispielsweise im Hinblick auf Seitenkanalresistenz und Implementierungssicherheit nicht gleich gut untersucht sind."

Da ist man also offensichtlich noch nicht schlauer (i.S.v. "sicherer") geworden und bleibt eher "konservativ" aufgestellt, indem man PQC-Verfahren nach wie vor ausschließlich im hybriden Szenario empfiehlt - grundsätzlich ja auch keine schlechte Idee.

Spannend sind auch die folgenden ausgewählten Aspekte:

  • Alle klassischen asymmetrischen Verfahren – also RSA oder ECC – werden jetzt definitiv nur noch bis Ende 2031 zum Einsatz "empfohlen" (vgl. dazu Tabelle 2.2 in BSI TR-02102-1).
  • Das BSI bleibt zudem bei seiner Empfehlung, dass alle klassischen Schlüsseleinigungsverfahren nur noch bis Ende 2031, bei Anwendungen mit sehr hohem Schutzbedarf sogar nur noch bis Ende 2030 empfohlen werden (vgl. dazu den zweiten Absatz in Abschnitt 2.1 in BSI TR-02102-1).
  • Auch asymmetrische Signaturverfahren sind entsprechend zu migrieren, die Deadline zur Umstellung ist aktuell auf Ende 2035 gesetzt (vgl. dazu den dritten Absatz in Abschnitt 2.1 in BSI TR-02102-1).

Und das bedeutet insgesamt: Eine Migration zu PQC-Verfahren und ggf. deren Einsatz in hybriden Szenarien ist jetzt dringender denn je voranzutreiben. Dazu gehört aber auch, sich erst einmal einen Überblick zu verschaffen, welche Krypto-Verfahren in welchen Anwendungen und Prozessen wie eingesetzt werden und ob die ggf. notwendige Krypto-Agilität überhaupt gegeben ist.

Denn eines ist sicher:  Das Jahresende 2030 ist fast so schnell da, wie Weihnachten...Ihr wisst schon *Zwinkersmiley*