RSA-3072 hat weit mehr Bits als ECC P-256 — macht das RSA viel stärker?
Kurzantwort
Nein. Man kann die rohe Schlüssellänge nicht über verschiedene Algorithmusfamilien hinweg vergleichen. Wegen der Art, wie die zugrunde liegende Mathematik jeweils härtet, bietet ein 256-Bit-Schlüssel auf elliptischer Kurve etwa dieselbe Sicherheit wie ein 3072-Bit-RSA-Schlüssel — rund 128 Bit Stärke, laut NIST. Größer ist nicht einfach stärker: ECC erreicht gleichwertige Stärke mit weit kleineren Schlüsseln, weshalb moderne Systeme es bevorzugen. Innerhalb eines Algorithmus helfen längere Schlüssel sehr wohl, bis zu einem Punkt.
Diese Frage trennt jene, die „Bits = Stärke“ denken, von jenen, die verstehen, dass Sicherheit vom besten bekannten Angriff gegen einen konkreten Algorithmus abhängt, nicht von der rohen Schlüssellänge.
Bits sind keine universelle Währung
Die Bitlänge eines Schlüssels sagt nur, wie groß er ist, nicht wie schwer er zu brechen ist. Die Arbeit, die ein Angreifer leisten muss, hängt vom besten bekannten Algorithmus gegen das zugrunde liegende Problem ab. RSAs Sicherheit beruht auf der Ganzzahlfaktorisierung, für die es einen subexponentiellen Angriff gibt (das Zahlkörpersieb). ECCs Sicherheit beruht auf dem diskreten Logarithmus auf elliptischen Kurven, dessen beste bekannte Angriffe voll exponentiell sind. Da das ECC-Problem pro Bit schneller härtet, braucht man weit weniger ECC-Bits für dieselbe Schwierigkeit.
Die NIST-Äquivalenzen
NIST SP 800-57 veröffentlicht eine Tabelle vergleichbarer Stärken. Grob:
- 80-Bit-Stärke ≈ RSA-1024 ≈ ECC 160 Bit
- 112-Bit-Stärke ≈ RSA-2048 ≈ ECC 224 Bit
- 128-Bit-Stärke ≈ RSA-3072 ≈ ECC P-256
- 192-Bit-Stärke ≈ RSA-7680 ≈ ECC P-384
RSA-3072 und P-256 stehen also in derselben Zeile: Beide liefern etwa 128 Bit Sicherheit. RSA braucht dafür nur eine Größenordnung mehr Bits.
Warum das in der Praxis zählt
Kleinere ECC-Schlüssel bedeuten kürzere Signaturen, schnellere Operationen sowie weniger Bandbreite und Speicher — deshalb sind TLS, SSH, Code-Signierung und mobile Krypto weitgehend zu Kurven wie P-256 und Ed25519 gewechselt. Der Irrtum „mehr Bits = stärker“ verleitet dazu, RSA überzudimensionieren oder ECC zu Unrecht zu misstrauen.
Zwei Fallen in den falschen Antworten
„Mehr Bits heißt immer mehr Sicherheit“ ist über Familien hinweg falsch. Und „ECC ist die schwache Familie, die eine 3072-Bit-Kurve bräuchte“ kehrt die Realität um — ECC ist die effizientere Familie. Beachte die Nuance, die die richtige Antwort bewahrt: innerhalb eines Algorithmus fügen längere Schlüssel echte Stärke hinzu, bis zu dem Punkt, an dem andere Faktoren (Implementierung, RNG, Seitenkanäle) dominieren.
Wahrscheinliche Anschlussfragen
- Warum erreicht ECC dieselbe Sicherheit wie RSA mit so viel weniger Bits?
- Welche „Sicherheitsstärke in Bit“ weist NIST RSA-3072 und P-256 zu?
- Wie unterscheidet sich das Diskrete-Logarithmus-Problem zwischen RSA und elliptischen Kurven?