Public Key Infrastructure – PKI


Eine Public-Key-Infrastructure (PKI) bildet die wesentliche Grundlage zur Durchführung rechtssicherer elektronischer Geschäfte. Eine Public-Key-Infrastructure organisiert die Prüfung, Verteilung und Ausstellung digitaler Zertifikate.

Allgemeiner Aufbau einer PKI

Eine PKI stellt somit eine Umgebung zur Verfügung, in der Services zur Verschlüsselung und zur digitalen Signatur auf Basis von Public-Key-Verfahren bereitgestellt werden. PKI ist eine Infrastruktur zur Verwaltung und Verteilung von kryptographischen Schlüsseln. Dadurch wird der Einsatz von elektronischen Signaturen und Zertifikaten in einer sicheren Umgebung gewährleistet.
Mit Hilfe eines asymmetrischen Kryptografiesystems, können Nachrichten in einem Netzwerk (Internet) digital signiert und verschlüsselt werden. Das Signieren garantiert, dass die Nachricht in dieser Form vom angegebenen Absender stammt. Zum Lesen der Nachricht benötigt der Empfänger den öffentlichen Schlüssel (Public-Key) des Absenders. Dieser könnte z. B. per E-Mail versendet oder von einer Web-Seite heruntergeladen werden.

Größte Herausforderung ist hier die Sicherstellung, dass es sich tatsächlich um den öffentlichen Schlüssel des Absenders handelt und nicht um eine Fälschung eines Betrügers. Hierzu wird der zu verschickende Schlüssel selbst wieder mit einem vertrauenswürdigen Schlüssel signiert. Dadurch wird die Authentizität eines öffentlichen Schlüssels und sein zulässiger Anwendungs- und Geltungsbereich bestätigt. Auf diese Weise lässt sich eine Kette (Validierungspfad oder Zertifizierungspfad) von digitalen Zertifikaten aufbauen, die jeweils die Authentizität des öffentlichen Schlüssels bestätigen und mit dem das vorhergehende Zertifikat geprüft werden kann. Wichtig ist hierbei, dass man sich auf das letzte Zertifikat in der Kette verlassen kann.

Komponenten einer PKI

  • CA (Certification Authority): Die zentrale Instanz einer PKI. Stellt das CA-Zertifikat bereit und übernimmt die Signatur von Zertifikatsanträgen. Eine Zertifizierungsstelle kann sowohl ein spezielles Unternehmen darstellen oder eine Institution innerhalb eines Unternehmens. Auch öffentliche Organisationen oder Regierungsstellen können als Zertifizierungsstelle dienen (A-Trust).
  • VA (Validation Authority): ist eine zentrale Schnittstelle für die Bestätigung der Echtheit von Zertifikaten; es sind dies die Widerrufslisten, auf die über HTTP zugegriffen wird.
  • RA (Registration Authority): Spezielle Arbeitsplätze, auf denen ein Certificate Manager Zertifikate an Endbenutzer ausstellt. Diese prüft die Richtigkeit der Daten im gewünschten Zertifikat und genehmigt den Zertifikatsantrag, der dann durch die Zertifizierungsstelle signiert wird. Registrierungsstellen sind verantwortlich dafür, dass die CA jene Informationen erhält, die notwendig sind, um ein digitales Zertifikat auszustellen.
  • Verzeichnisdienst (Directory Service): Ein durchsuchbares Verzeichnis, das ausgestellte Zertifikate enthält.
  • Digitale Zertifikate: Digital signierte elektronische Daten, die sich zum Nachweis der Echtheit von Objekten verwenden lassen.
  • Benutzer: Verwenden Zertifikate für verschiedene Applikationen.
  • Applikation: Die auf der Grundlage der von der PKI zur Verfügung gestellten Sicherheitsdienste (Zertifikate, Verzeichnisdienst etc.), die eine vertrauenswürdige Nutzung ermöglichen. Die wichtigsten PKI Anwendungen sind z.B. die Signatur von Dokumenten, sichere E-Mail-Kommunikation oder der elektronische Handel.
  • Sicherheit: Ein konsistentes Sicherheitskonzept, formuliert in einem certificate practise statement (CPS), quer über alle Teile, stellt eine wesentliche Komponente für eine PKI dar.

Die Implementierung einer PKI sollte von Anfang an gut durchdacht sein, da sich nachträgliche Änderungen zum Teil sehr schwierig gestalten. XiTrust unterstützt Sie dabei, den optimalen Weg zu finden sich dieser Thematik zu nähern, schnell die Vorteile zu erkennen und diese auf Anhieb richtig in Ihr Unternehmen zu implementieren. Xitrust bietet Ihnen auch spezielle Workshops zur Implementierung einer PKI an.