Update Januar 2026
Die Agentur der Europäischen Union für Cybersicherheit (ENISA) empfiehlt aktuell gemäss «ECCG Agreed Cryptographic Mechanisms – version 2» RSA-Schlüssellängen von mindestens 3000 Bit auch für Legacy-Systeme.
Original, 2017
Die gegenwärtig üblichste Empfehlung für die Länge neuer RSA-Schlüssel beträgt 2048 Bit. So steht es auch beim deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) (Stand Frühling 2017):
Für langfristige Sicherheitsanwendungen sollten 2048 Bit RSA-Moduli … eingesetzt werden.
Auch Qualys empfiehlt nach wie vor den Einsatz von 2048 Bit RSA-Schlüsseln (Stand Frühling 2017).
Diese Empfehlungen beschreiben ein Minimum an Sicherheit unter gewissen Annahmen. Nach Möglichkeit sollte man sich bei neuen RSA-Schlüsseln nicht auf die Minimalanforderungen verlassen.
Das BSI merkt an, dass für eine mit AES-128 vergleichbare Stärke RSA-Schlüssel von etwa 3000 Bit notwendig sind. Das heisst im Umkehrschluss, dass RSA-Schlüssel mit nur 2048 Bit weniger solide sind als eine symmetrische Verschlüsselung mit 128 Bit.
Vergleich der Stärke von RSA mit ungeschwächten symmetrischen Verfahren
| RSA-Schlüssel | Symmetrischer Schlüssel |
|---|---|
| 1024 Bit | 80 Bit |
| 2048 Bit | 112 Bit |
| 3072 Bit | 128 Bit |
| 15’360 Bit | 256 Bit |
Die eingesetzte RSA-Schlüssellänge muss im Einzelfall entschieden werden. In den Entscheid einfliessen müssen die Schutzanforderungen an die verschlüsselten Daten und technische Einschränkungen wie Rückwärtskompatibilität und Performance.
Cipher-Suite-Fehlanpassungen
Geläufig wird RSA nur für den Austausch eines symmetrischen Schlüssels verwendet. Anschliessend werden die Nutzdaten mithilfe dieses symmetrischen Schlüssels verschlüsselt. Es scheint wenig sinnvoll, die Nutzdaten mit AES-256 zu verschlüsseln, den Schlüsselaustausch aber mit RSA-2048 zu vollziehen.
Beispielsweise wird im Rahmen des automatischen Informationsaustausches über Finanzkonten (AIA) ein grundsätzlich sehr sorgfältig gebautes System der OECD eingesetzt. Die eigentlichen Steuerdaten hingegen werden (Stand 2017) symmetrisch mit AES-256 und einem zufälligen Schlüssel verschlüsselt. Doch dann wird der zufällige Schlüssel mit RSA-2048 Bit verschlüsselt. Das ist vollkommen absurd.
Wenn nicht Kompatibilität oder Performance echte Probleme erzeugen, ist bei der Schlüssellänge von RSA-Schlüsseln am falschen Ort gespart.
ENISA-Empfehlung
Die Europäische Agentur für Netz- und Informationssicherheit ENISA empfiehlt für langfristige Sicherheit seit dem Jahr 2013 RSA-Schlüssel mit 15’360 Bit, was etwa der erwarteten Stärke von AES-256 entspricht.
Praktische Empfehlungen
Für einen öffentlichen Webserver sind 15k Bit nicht realistisch umsetzbar. Viele CAs werden entsprechende Zertifikate gar nicht signieren, und bereits bei 8k beginnen ältere iPhones zu bocken. Für einen öffentlichen Webserver sind jedoch 4096 Bit kein Problem und sind m. E. eine gute Standardeinstellung mit etwas Sicherheitsmarge. Für Verbindungen zwischen Backend-Systemen kann man auch problemlos 8k einsetzen.