Der BDEW hatte ursprünglich festgelegt, dass ab dem 1. Oktober 2024 ausschließlich der Algorithmus AES-128 GCM für die Inhaltsverschlüsselung von AS2- und E-Mail-Nachrichten zugelassen sein soll.
Diese Frist wurde zunächst auf den 1. April 2025 und anschließend auf den 1. Oktober 2025 verschoben.
Ab der Version fss:2026-01-28 unterstützt der SecurityServer den Algorithmus AES-128 GCM vollumfänglich. Dieser wird als Standardverfahren für die Verschlüsselung ausgehender E-Mails eingesetzt.
Konfiguration
Der Verschlüsselungsalgorithmus für ausgehende E-Mails wird über die Property content_encryption_algorithm festgelegt. Die Konfiguration dieser Property erfolgt entweder in JAVA_OPTS oder in der Datei conf/config.properties. Um den Algorithmus AES-128 GCM zu aktivieren, muss die Property entweder entfernt oder auf den Wert AES128_GCM gesetzt werden.
- Beispiel für
JAVA_OPTS:-Dcontent_encryption_algorithm=AES128_GCM - Beispiel für
config.properties:content_encryption_algorithm=AES128_GCM
Partnerspezifische Konfiguration
Es besteht die Möglichkeit, unterschiedliche Verschlüsselungsalgorithmen bestimmten Partnern zuzuordnen.
So wird beispielsweise für die Partner alias1 und alias2 der GCM-Algorithmus verwendet, während für alle anderen der CBC-Algorithmus gilt:
-Dcontent_encryption_algorithm=AES128_GCM:[alias1,alias2];AES128_CBC
Alternativ wird für die Partner alias1 und alias2 der CBC-Algorithmus zugewiesen, während für alle anderen der GCM-Algorithmus gilt:
-Dcontent_encryption_algorithm=AES128_CBC:[alias1,alias2];AES128_GCM
AS2
In einer AS2-Partnerbeziehung wird der Verschlüsselungsalgorithmus über die B2B Admin-UI unter dem Bereich “Kommunikationsbeziehungen” konfiguriert. Hier soll der Algorithmus AES-128 GCM + RSAES-OAEP ausgewählt werden.
FAQ
Nachrichten, die mit veralteten Algorithmen verschlüsselt wurden, werden abgelehnt. Wie können wir sie trotzdem empfangen?
Wenn Sie Nachrichten zulassen möchten, obwohl sie mit einem veralteten Algorithmus verschlüsselt wurden, können sie die Warnung CW8.1 mit dem Regelwerk übersteuern. Wie man eine solche Regel konfiguriert, erfahren Sie in der Dokumentation.
Wir nutzen eine eigenständige SecurityServer-Instanz nur für AS4. Muss sie ebenfalls aktualisiert oder konfiguriert werden?
Nein, die neuen Anforderungen an die Algorithmen gelten nur für die Marktkommunikation über E-Mails und AS2.
Warum werden manche Nachrichten nicht aus dem Postfach abgeholt oder werden als Spam ausgesteuert?
Ältere Releases des FSS konnten die mit AES-128 GCM verschlüsselte Nachrichten nicht entschlüsseln. Im SecurityServer-Log erscheint dann die Meldung:
org.bouncycastle.cms.CMSException: Malformed content.
Caused by: java.lang.ClassCastException: class org.bouncycastle.asn1.DEROctetString cannot be cast to class org.bouncycastle.asn1.ASN1TaggedObject
...
2024-08-05T12:36:42,452 INFO (SMimeDecrypter:290) - message does not seem to be encrypted
Bitte akutalisieren Sie den FSS mindestens auf die Version 2026-01-28
View Me Edit Me