Für Online-Authentifizierungen und Verschlüsselungen hat Windows sichere Schlüssel parat. Einige davon sollen aber künftig verboten werden. Was das für Nutzer bedeutet, erfahren Sie jetzt.
Die in Windows eingesetzten RSA-Schlüssel sind ein wichtiger Bestandteil für die Sicherheit des Betriebssystems. Durch sie können Daten nicht nur sicher verschlüsselt werden, sondern auch Authentifizierungen, wie bei digitalen Signaturen der Fall, erstellt und durchgeführt werden.
Jedoch gilt der aktuelle Standard in vielen Systemen von 1024 Bit in Transport Layer Security (TLS) bereits seit Jahren als veraltet. Jetzt will Microsoft darauf reagieren und kündigt an, künftig nur noch TLS-Zertifikate für RSA-Schlüssel mit 2048 Bit zu unterstützen.
Mit einer RSA-Verschlüsselung ist ein kryptografisches Verfahren gemeint, das sowohl Paare von öffentlichen als auch privaten Schlüsseln zur Ent- und Verschlüsselung von Daten und für Online-Signaturen verwendet. Die Abkürzung steht für Rivest–Shamir–Adleman, die drei Erfinder des Verfahrens.
Die Stärke dieser Verschlüsselung hängt dabei direkt mit der Länge des Schlüssels zusammen. Das bedeutet, dass je länger die Schlüssel sind, sie umso schwieriger zu knacken sind.
Schlüssel mit 1024 Bit weisen eine Stärke von 80 Bits auf, während 2048-Bit-Schlüssel eine Stärke von 112 Bits besitzen. Was sich im ersten Moment nach einem kleinen Unterschied anhört, hat allerdings eine große Auswirkung auf die Sicherheit. Denn die 2048-Bit-Schlüssel sind dadurch vier Milliarden Mal länger als 1024-Bit-Schlüssel.
Umstellung bei Windows: Eine Ausnahme bleibt
Nur Schlüssel mit 2048 Bit können in Zukunft die gewünschte Sicherheit gewährleisten.
Die neue Mindestanforderung hat Microsoft in einem Blog-Eintrag über bisher veraltete Funktionen für den Windows Client angekündigt. Daraus geht hervor, dass die Verwendung von 1024-Bit-Schlüsseln bereits seit 2013 von Internet-Standards und Regierungsbehörden verboten wurde und diese seitdem ausdrücklich empfehlen, Schlüssel mit einer Länge von 2048 Bit zu verwenden.
Dem National Institute of Standards and Technology (NIST) zufolge gelten die 2048-Bit-Schlüssel noch bis mindestens 2030 als sicher. Bisher ist allerdings noch nicht bekannt, ab wann genau Microsoft die Zertifikate für Schlüssel unter 2048 Bit nicht mehr akzeptiert und wie sich die Übergangsphase gestaltet.
Auch bezieht sich die Pflichtumstellung nicht auf TLS-Zertifikate, die von Unternehmens- oder Testzertifizierungsstellen ausgestellt wurden. Hierfür empfiehlt der Tech-Riese lediglich eine Umstellung, um die Sicherheit auch weiterhin gewährleisten zu können.