Pfeil- und Text-Symbol

Public Key Infrastruktur (PKI)

Wir haben Zertifikate als von einer Ausgabestelle, Zertifizierungsstelle, signierte Sammlung von persönlichen Informationen zu einer Person und deren öffentlichen Schlüsseln kennen gelernt. Diese Zertifikate enthalten neben Angaben zum Inhaber und zu dessen öffentlichem Schlüssel auch Informationen zu verwendeten Algorithmen für die digitale Signatur und kryptographischen Prüfsummen sowie Angaben zur Gültigkeit der Zertifikate und zum Herausgeber. Mit Hilfe des öffentlichen Schlüssels einer Zertifizierungsstelle kann die Echtheit des Zertifikats und dessen Inhalte verifiziert werden. Dadurch kann in modernen IT-Systemen im Prinzip ein einfaches und organisationsübergreifendes Key-Management realisiert werden.

Idee und Definition von Public-Key-Infrastrukutr

Public Key Infrastruktur (PKI) dienen zum Verwalten von Zertifikaten mit den öffentlichen Schlüsseln über einen gesamten Lebenszyklus, von der Erstellung, über die Aufbewahrung und Verwendung, bis hin zur Entsorgung. Dabei kommt es neben der sicheren Erstellung von gültigen Schlüsseln auch auf die Verifizierung der ursprünglichen Identität des Teilnehmers an.

Public-Key-Infrastrukturen bestehen aus Hardware, Software und einem abgestimmten Regelwerk, der Leitlinie. Die Leitlinie definiert, nach welchen Sicherheitsregeln die Dienstleistungen um die Zertifikate erbracht werden. Dazu zählt das Betriebskonzept der PKI, die Nutzerrichtlinien sowie Organisations- und Arbeitsanweisungen.

Im Allgemeinen ist es üblich, die Registrierung der Teilnehmer und die Zertifizierung der Schlüssel voneinander zu trennen und zum Teil auch an unterschiedlichen Orten vorzunehmen (siehe Abb. 9).

Einsatz und Anwendungsformen

Eine PKI stellt zentrale Sicherheitsdienste zur Verfügung, schafft also die Voraussetzungen dafür, dass eine Anwendung vertrauenswürdig realisiert werden kann.
Die Abbildung 9 zeigt im oberen Teil den prinzipiellen Aufbau einer Public-Key-Infrastruktur sowie einige Kommunikationskanäle. Im unteren Bereich ist schematisch eine Anwendung abgebildet, deren Sicherheitsmechanismen die Dienstleistung der Public-Key-Infrastruktur nutzt.

Abb. 9: Aufbau einer Public-Key-Infrastruktur
Abb. 9: Aufbau einer Public-Key-Infrastruktur

Die Registration Authority (RA) oder auch Registierungsstelle kann als private (innerhalb einer Organisation) oder öffentliche Einrichtung betrieben werden. Ihre Hauptaufgabe besteht darin, die Anträge auf Zertifizierung zu erfassen und die Identität der Antragsteller entsprechend der Leitlinie zu prüfen. Die Identitätsprüfung kann sehr einfach, z.B. per E-Mail, oder auch aufwendiger und sicherer, z.B. durch persönliches Erscheinen und Vorlage des Ausweises, erfolgen.
Die Registration Authority bildet die Schnittstelle zwischen den Teilnehmern bzw. Antragstellern und der Certification Authority (CA), an die sie die Anträge weiterleitet.

Die Certification Authority oder auch Zertifizierungsstelle vergibt eindeutige Identitäten und verwaltet für jeden Teilnehmer ein oder mehrere Schlüsselpaare mit den dazugehörigen Zertifikaten. Jedes von der CA erzeugte Zertifikat verbindet den öffentlichen Schlüssel des Teilnehmers mit dessen Namen und zusätzlichen Daten (Gültigkeitszeitraum, Seriennummer, evtl. weitere Attribute).
Die Certification Authority gibt die Zertifikate aus und verwaltet sie, damit die öffentlichen Schlüssel und Attribute (Position im Unternehmen, Rechte usw.) der Teilnehmer möglichst einfach verifiziert werden können.

Zur Verwaltung der Zertifikate unterhält jede PKI einen Directory Service oder auch Verzeichnisdienst. Hier werden die gültigen zertifizierten öffentlichen Schlüssel der Teilnehmer veröffentlicht. Zurückgezogene oder kompromittierte Schlüssel werden z.B. in einer Sperrliste (»Certificate Revocation List«, CRL) zum Abruf bereitgehalten.

Ein Zeitstempeldienst dient dazu, gesicherte Zeitsignaturen gemäß der Leitlinie zu erstellen. Damit wird ein Dokument oder eine Transaktion mit der aktuellen Zeitangabe verknüpft und diese Gesamtinformation anschließend digital signiert.

Das Personal Security Environment (PSE) ist die Sammlung aller sicherheitsrelevanter Daten eines Teilnehmers. Dazu gehören seine geheimen Schlüssel, die Zertifikate seiner Kommunikationspartner sowie der öffentliche Schlüssel der Zertifizierungsinstanz. PSE sind z.B. SmartCards und sichere USB-Token.

Standesamt und Einwohnermeldeamt als Analogie zu Public-Key-Infrastrukturen

Standes- und Einwohnermeldeämter sichern die eindeutige und überprüfbare Identität von Personen. Sie fungieren so als dritte Instanz, der wir und andere vertrauen. Das Standesamt sorgt dafür, dass wir über unseren Vor- und Nachnamen, den Geburtsort und das Geburtsdatum eindeutig identifizierbar sind (Registierungsstellen). Das Einwohnermeldeamt gibt Ausweise heraus, die es ermöglichen, diese eindeutige Identität zweifelsfrei zu beweisen (Zertifizierungsstelle).

PKI-enabled Application (PKA)

Als »PKI-enabled Application« (PKA) wird eine Anwendung bezeichnet, die auf der Grundlage der von der PKI zur Verfügung gestellten Sicherheitsdienste (Zertifikate, Verzeichnisdienst etc.) eine vertrauenswürdige Nutzung ermöglicht. Eine PKA enthält selbst unterschiedliche Sicherheitsmechanismen (Authentisierung, Verschlüsselung, etc.), mit denen Vertrauenswürdigkeit (Authentizität, Integrität, Verbindlichkeit, Einmaligkeit und Vertraulichkeit) erzielt wird.
Eine PKI bildet die Sicherheitsgrundlage für die vertrauenswürdige Nutzung von Anwendungen wie

  • E-Mail (PGP, S/Mime, …)
  • Dokumentverschlüsselung (PDFs)
  • Transaktionen im Finanzbereich
  • SSL-Kommunikation
  • VPN-Kommunikation
  • Identifikations- und Authentisierungsprozesse (elektronischer Personalausweis)
  • Zahlungssysteme

Zusammenfassung

Symmetrische und asymmetrische Verschlüsselungsverfahren, One-Way-Hashfunktionen, digitale Signaturen, elektronische Zertifikate und Public-Key-Infrastrukturen sind heute wichtige Kryptographie-Elemente, um eine Basis für eine sichere und verlässlich Kommunikation und Speicherung von Daten im Internet zu gewährleisten.

Zum Seitenanfang springen