Grund für die Tauschaktion ist eine Verfügung des Bundesamts für Sicherheit in der Informationstechnik (BSI). Demnach dürfen Ausweise, die ausschließlich das Verschlüsselungsverfahren RSA nutzen, ab dem 1. Januar 2026 nicht mehr eingesetzt werden – unabhängig von der Laufzeit, die auf der Karte aufgedruckt ist (“Gültig bis”).
Betroffen sind Ausweise der Kartengeneration 2.0 (RSA only). Diese werden durch 2.1-Karten ersetzt, die neben den RSA- auch über ECDSA-Zertifikate verfügen: je eines für die qualifizierte Signatur (QES), die Verschlüsselung (ENC) und die Authentifizierung (AUT). Diese basieren auf der Elliptischen-Kurven-Kryptografie und erfüllen damit die aktuell höchsten Sicherheitsstandards.
Auch optisch unterscheiden sich die Ausweise der Generation 2.0 und 2.1: Der Chip der neueren Kartengeneration ist etwas kleiner, rechtecktig (statt quadratisch) und hat weniger Felder:
