Public Key Infrastructure

Zum praktikablen Umgang mit asymmetrischer Verschlüsselung bzw. den öffentlichen Schlüsseln bedarf es einer entsprechenden Infrastruktur - der PKI. Eine Public Key Infrastructure entspricht einem umfassenden Sicherheitsmodell. Dazu gehören Software, Richtlinien und Methoden um digitale Zertifikate zu erstellen, speichern, verwalten, verteilen und widerrufen zu können

Digitale Zertifikate

Mittels Digitalen Zertifikaten wird ein öffentlicher Schlüssel an eine Identität gebunden. Sie entsprechen sozusagen einem digitalen Ausweis. Dieser Ausweis kann in unterschiedlichen Zertifikatsformaten vorliegen. Während Zertifikat und öffentlicher Schlüssel bedenkenlos weitergegeben werden können, muss ein privater Schlüssel immer sicher aufbewahrt, bzw. gespeichert werden!

Zertifizierungsstelle

Zertifikate für Personen, Rechner oder Dienste werden von einer vertrauenswürdigen Autorität herausgegeben, verwaltet und Dritten gegenüber bestätigt. Jedes ausgestellte Zertifikat wird mit dem privaten Schlüssel der Zertifizierungsstelle (certification authority) signiert.

Registrierungsstelle

Eine Registrierungsstelle, welche von einer Zertifizierungsstelle getrennt sein kann, nimmt die Registrierung vor. Die Identität wird überprüft und der Zertifizierungsvorgang mit der Zertifizierungsstelle wird initiiert.

weitere Bestandteile einer PKI
Zertifikatsvorlagen - Zertifikatsprofile

Anhand des Verwendungszweckes definiert eine Vorlage das Format und Inhalt eines auszustellenden Zertifikats.

Verzeichnisdienst - Zentrales Verzeichnis

Ein allen beteiligten zugängliches zentrales Verzeichnis, wo die Zertifikate hinterlegt werden, ist erforderlich, damit die öffentlichen Schlüssel verteilt oder abgefragt werden können. Praktischerweise können auch Widerrufe so veröffentlicht werden.

Widerrufsdienst - Zertifikatssperrliste

Nachdem die Schlüssel auch widerrufbar sind ( Keymanagement ) ist zu definieren, wie Widerrufe ablaufen und veröffentlicht werden.

Zertifizierungsrichtlinien

Sie definieren, wie Zertifikate angefordert, ausgestellt, widerrufen werden, was beim Ablauf geschieht, wie die Speicherung der privaten Schlüssel aussieht, Sicherungen durchgeführt werden, etc.

PKI-fähige Anwendungen und Dienste

Eine PKI macht keinen Sinn, wenn es keine Nutzungsmöglichkeit gibt. PKI basierende Dienste und Services, sind die Authentifizierung, Digitale Signatur, Zeitstempel, Transaktionen, Notariatsdienste, SSO, sichere E-Mail, VPN, WLAN, EFS, Remote Desktop etc. Protokolle die PKI nutzen sind z.B. SSL/TLS, WTLS, S/MIME, Time Stamp Protokolle etc.