Erhöhte Schlüssellänge für Code Signing Zertifikate ab 1 Juni

7 Mai 2021

Das CA/Brower-Forum hat die Anforderungen für Code Signing Zertifikate verschärft. Ab dem 1. Juni 2021 ist eine Mindestschlüsselgröße von 3072 Bit erforderlich. Zurzeit beträgt die minimale Schlüsselgröße 2048 Bit. Der Grund dafür ist die Verbesserung der Sicherheit, um besser auf zukünftige technologische Fortschritte vorbereitet zu sein, die zusätzliche Rechenleistung ermöglichen. In diesem Artikel erklären wir, was diese Änderung bedeutet und welche Auswirkungen sie auf Ihre Zertifikate haben kann.

Warum diese Änderung?

Ein Code Signing Zertifikat hat derzeit eine maximale Gültigkeit von 3 Jahren. Darüber hinaus wird beim Code Signing ein Zeitstempel verwendet, was bedeutet, daß die Signatur auch nach Ablauf der Gültigkeit des Zertifikats gültig bleibt. In der Praxis werden Code Signing Zertifikate daher meist über einen längeren Zeitraum verwendet.

Während dieses längeren Zeitraums können technologische Fortschritte die verwendeten Schlüssel anfällig für Brute-Force-Angriffe machen. Eine Lösung dafür ist, diese Zertifikate durch eine Erhöhung der Schlüsselgröße zukunftssicher zu machen. Das Certificate Authority Browserforum, die Partnerschaft zwischen allen Browsern und Zertifikatsausstellern, hat daher beschlossen, ab dem 1. Juni eine größere Schlüsselgröße von 3072 Bit zu verlangen. Dies steht im Einklang mit der Empfehlung des NIST (National Institute of Standards and Technology) vom Mai 2020, nach dem Jahr 2030 keine 2048-Bit-RSA-Schlüssel mehr zu verwenden.

Was sind die Auswirkungen auf Code Signing Zertifikate und Plattformen?

• Alle Code Signing Zertifikate, die ab dem 1. Juni ausgestellt werden, werden automatisch mit 3072-Bit Rootzertifikaten signiert.

• Alle Code Signing Anwendungen ab dem 1. Juni benötigen eine 3072-Bit CSR und privaten Schlüssel.

• Alle Code Signing Zertifikate, die vor dem 1. Juni 2021 ausgestellt wurden, funktionieren weiterhin wie gewohnt. Es empfiehlt sich jedoch, insbesondere bei Zertifikaten mit längerer Laufzeit, diese durch eine Neuausstellung auf einen 3072-Bit Schlüssel umzustellen.

• Einige (veraltete) Plattformen unterstützen keine 3072-Bit Zertifikate. In diesem Fall können Sie vor dem 1. Juni ein Zertifikat mit einem 2048-Bit Schlüssel anfordern. Nach diesem Datum ist ein Upgrade Ihrer Umgebung die einzige Möglichkeit.

Was bedeutet die Schlüssellänge?

Jedes Zertifikat besteht aus einem Schlüsselpaar, das zum Signieren und Verschlüsseln verwendet wird. Die Anzahl der Bits dieses Schlüsselpaares bestimmt, wie viel Rechenleistung benötigt wird, um diesen Schlüssel per Brute-Force-Angriff zu knacken. Derzeit beträgt die Mindestschlüssellänge für ein Code Signing Zertifikat 2048 Bit. Die minimale Schlüssellänge verschiebt sich regelmäßig, um mit der zunehmenden Rechenleistung der Computer Schritt zu halten. Bis vor einigen Jahren lag sie z. B. bei 1024 Bit. Ein 2048-Bit Schlüssel ist also nicht unsicher, aber es ist zu erwarten, daß er in Zukunft knackbar sein wird. Die angekündigte Änderung macht die aktuellen Code Signing Zertifikate zukunftssicher.

Warum Code Signing?

Code Signing Zertifikate werden von Softwareentwicklern verwendet, um Produkte wie Anwendungen, ausführbare Dateien oder andere Programme digital zu signieren. Das Signieren von Software hat einen doppelten Zweck: Es gibt den Endbenutzern eine Garantie, daß das Programm, das sie herunterladen, tatsächlich vom Ersteller der Software stammt, indem der Name der Organisation in der Signatur verifiziert wird. Außerdem bietet die Signatur eine Garantie dafür, daß die Datei nach dem Signieren nicht verändert wurde, z. B. durch einen Dritten beschädigt wurde.

Fragen?

Haben Sie noch Fragen zur Umstellung auf 3072-Bit Code Signing Zertifikate. Bitte zögern Sie nicht uns zu kontaktieren.