Home/ Glossar/ RSA-Schlüsselpaar-Generator
Security

RSA-Schlüsselpaar-Generator

Der RSA-Schlüsselpaar-Generator erzeugt neue asymmetrische RSA-Schlüsselpaare direkt im Browser mithilfe der Web Crypto API – kryptografisch sicher und ohne jegliche Serverübertragung. Der generierte Private Key und Public Key werden im PEM-Format (PKCS#8 bzw. SPKI) ausgegeben und können sofort für digitale Signaturen, Verschlüsselung oder Zertifikatsanträge verwendet werden. Unterstützte Schlüssellängen: 1024, 2048, 3072 und 4096 Bit.

Was ist RSA?

RSA (Rivest–Shamir–Adleman) ist ein asymmetrisches Kryptosystem, das 1977 entwickelt wurde und auf der mathematischen Schwierigkeit basiert, das Produkt zweier großer Primzahlen zu faktorisieren. Ein RSA-Schlüsselpaar besteht aus einem öffentlichen Schlüssel (Public Key), der zur Verschlüsselung oder Signaturverifikation dient, und einem privaten Schlüssel (Private Key), der zur Entschlüsselung oder Signaturerzeugung verwendet wird. Die Schlüssellänge in Bit bestimmt die Sicherheitsstufe: 2048 Bit ist der aktuelle Mindeststandard (NIST bis 2030), 3072 Bit bietet Sicherheit bis mindestens 2030+, und 4096 Bit ist für langfristig sensible Daten empfohlen. Der öffentliche Exponent ist standardmäßig 65537 (0x10001).

Wie funktioniert die Schlüsselgenerierung?

Das Tool verwendet die SubtleCrypto-API des Browsers (window.crypto.subtle.generateKey) mit dem RSASSA-PKCS1-v1_5- oder RSA-OAEP-Algorithmus. Die Schlüsselgenerierung läuft vollständig im Browser-Sandbox ab – der Private Key verlässt zu keinem Zeitpunkt das Gerät. Der exportierte Private Key wird im PKCS#8-Format (PEM: '-----BEGIN PRIVATE KEY-----') und der Public Key im SubjectPublicKeyInfo (SPKI)-Format (PEM: '-----BEGIN PUBLIC KEY-----') ausgegeben. Diese PEM-Dateien sind direkt kompatibel mit OpenSSL, SSH, TLS-Konfigurationen und gängigen Programmiersprachen.

Typische Anwendungsfälle

  • Generieren von RSA-Schlüsselpaaren für TLS/SSL-Zertifikatsanträge (CSR)
  • Erstellen von SSH-Schlüsselpaaren für sichere Server-Authentifizierung
  • Erzeugen von Schlüsseln für JWT-Signaturen mit RS256/RS384/RS512
  • Testen von RSA-Verschlüsselungs- und Signaturimplementierungen in eigenen Projekten

Schritt-für-Schritt-Anleitung

  1. Schritt 1: Gewünschte Schlüssellänge wählen (empfohlen: mindestens 2048 Bit, besser 4096 Bit)
  2. Schritt 2: 'Schlüsselpaar generieren' klicken – die Erzeugung dauert je nach Länge einige Sekunden
  3. Schritt 3: Private Key (PEM) sicher speichern – er darf niemals öffentlich zugänglich sein
  4. Schritt 4: Public Key (PEM) auf Servern oder in Anwendungen hinterlegen, die Signaturen verifizieren oder Daten verschlüsseln

Beispiel

Eingabe
Schlüssellänge: 2048 Bit
Ausgabe
-----BEGIN PRIVATE KEY-----
MIIEvQ....
-----END PRIVATE KEY-----

-----BEGIN PUBLIC KEY-----
MIIBIjAN...
-----END PUBLIC KEY-----

Tipps & Hinweise

  • Tipp: Den privaten Schlüssel niemals in Versionskontrollsystemen (Git) speichern oder per E-Mail übertragen – er sollte ausschließlich auf dem Zielsystem liegen.
  • Tipp: Für neue Systeme ist 4096 Bit RSA oder alternativ elliptische Kurven-Kryptografie (ECDSA P-256 oder Ed25519) empfehlenswert – ECC bietet bei kleinerer Schlüsselgröße vergleichbare Sicherheit.
  • Tipp: RSA-1024-Bit gilt als unsicher und sollte nicht mehr verwendet werden – NIST empfiehlt mindestens 2048 Bit.

Häufige Fragen

Was ist der Unterschied zwischen RSA-2048 und RSA-4096?
RSA-4096 bietet einen größeren Sicherheitspuffer (ca. 140 Bit symmetrische Sicherheit gegenüber ca. 112 Bit bei 2048 Bit), ist aber deutlich rechenintensiver: Signatur- und Entschlüsselungsoperationen dauern etwa 4–8× länger. RSA-2048 gilt gemäß NIST als sicher bis mindestens 2030. Für neue Systeme mit langfristigen Sicherheitsanforderungen ist 4096 Bit oder ECC empfohlen.
Kann ich den generierten Private Key mit OpenSSL verwenden?
Ja. Der im PKCS#8-PEM-Format exportierte Private Key ist direkt mit OpenSSL kompatibel. Beispiel: 'openssl rsa -in private.pem -check' verifiziert den Schlüssel. Für ältere Tools, die PKCS#1 erwarten, kann OpenSSL konvertieren: 'openssl pkcs8 -in private.pem -traditional -out private_pkcs1.pem'.
Verlässt mein Private Key den Browser?
Nein. Die gesamte Schlüsselgenerierung findet in der Browser-Sandbox statt. Der Private Key wird ausschließlich lokal angezeigt und beim Verlassen der Seite nicht gespeichert. Es findet keinerlei Netzwerkübertragung statt.
RSA-Schlüsselpaar-Generator
Generiere neue zufällige RSA-Private- und Public-Key-PEM-Zertifikate direkt im Browser — kryptografisch sicher per Web Crypto API.
Tool öffnen
Ähnliche Tools
HMAC-Generator
Hash Text
Text verschlüsseln
JWT-Parser
SSL-Zertifikats-Checker
Token-Generator