Was ist eine Public Key Infrastruktur (PKI) und wie funktioniert sie?
Der Begriff PKI (Public Key Infrastruktur) bezeichnet die Gesamtheit der Prozesse und Komponenten, die für eine asymmetrische Verschlüsselung erforderlich sind. Dazu gehören sowohl Hard- und Software als auch Richtlinien und Verfahren, die für das Erstellen, Verbreiten, Verwalten, Speichern und Widerrufen digitaler Zertifikate benötigt werden.
Im kryptografischen Sinne ist ein digitales Zertifikat die Verbindung zwischen einem Public Key und einem User bzw. einem Device. Mit ihrer Hilfe können User und Devices authentifiziert und sichere Kommunikationsflüsse gewährleistet werden.
Die PKI ist eine der gängigsten Formen der Verschlüsselung von Webdaten. Der Datenverkehr zwischen Webbrowsern und Webservern wird darüber zuverlässig gesichert und authentifiziert. Eine PKI kommt außerdem zum Einsatz, um die interne Kommunikation in einem Unternehmen zu schützen – einschließlich des Zugriffs auf die angebundenen Geräte.
Die Public Key Infrastruktur dient seit vielen Jahren zur Sicherung und Authentifizierung der digitalen Kommunikation. Im Fokus stehen dabei zwei wichtige Ziele: Sie stellt sicher, dass die gesendete Nachrichten vertraulich bleiben, und sie verifiziert die Identität des Absenders.
Was ist eine Public Key Infrastruktur (PKI)?
Die Public Key Infrastruktur ist eine Kernkomponente der Web-Security. Sie umfasst die Gesamtheit der Technologien und Prozessen, die als Framework für Verschlüsselungsvorgänge dienen und die digitale Kommunikation schützen und authentifizieren.
Eine PKI verwendet öffentliche Schlüssel, um ein Device oder einen User zu authentifizieren, der digital kommunizieren möchte. Mit jedem kryptographischen Schlüssel ist ein digitales Zertifikat verbunden, das diesen Prozess ermöglicht. Digitale Zertifikate werden von einer vertrauenswürdigen Zertifizierungsstelle ausgegeben – einer Certificate Authority (CA). Sie funktionieren wie eine Art digitaler Reisepass, mit dem ein Absender seine Identität verifiziert.
Die Public Key Infrastruktur schützt und authentifiziert ganzheitlich die Kommunikation zwischen Servern und Usern – z.B. zwischen Ihrer Website (die von Ihrem Webserver bereitgestellt wird) und Ihren Kunden (den Usern, die versuchen, über ihren Browser auf Ihre Website zuzugreifen). Auch innerhalb eines Unternehmens bietet der Einsatz einer PKI viele Vorteile. Sie kann beispielsweise die interne Kommunikation schützen, indem sie dafür sorgt, dass nur Absender und Empfänger einer Nachricht den Inhalt einsehen können. Auf diese Weise stellt sie auch sicher, dass die Nachricht nicht manipuliert wurde.
Das sind die Hauptbestandteile einer Public Key Infrastruktur:
- Certificate Authority (CA): Die CA ist eine vertrauenswürdige Instanz, die digitale Zertifikate ausstellt, speichert und signiert. Die CA ordnet jedem digitalen Zertifikat einen privaten Schlüssel zu – den dazu passenden öffentlichen Schlüssel veröffentlicht sie. Auf eine Anfrage hin wird der Zugriff auf den öffentlichen Schlüssel gestattet.
- Registration Authority (RA): Die RA verifiziert die Identität eines Users oder Devices. Erst nach erfolgreicher Verifizierung kann auf das digitale Zertifikat zugegriffen werden. CA und RA sind oftmals identisch – RA kann aber auch eine separate Instanz sein.
- Zertifikatdatenbank: In dieser Datenbank werden alle digitalen Zertifikate und die dazugehörigen Metadaten – beispielsweise die Gültigkeitsdauer des Zertifikats – gespeichert.
- Zentrales Verzeichnis: An diesem sicheren Ort werden die kryptographischen Schlüssel zunächst registriert und anschließend gespeichert.
- Zertifikat-Management-System: In diesem System wird die Ausstellung der Zertifikate und der Zugriff darauf verwaltet.
- Zertifikat-Policy: In dieser Richtlinie werden die Abläufe in der PKI definiert. Sie kann von Außenstehenden eingesehen werden, um die Prozesse in einer PKI besser zu verstehen. Somit ist dieser Leitfaden auch der Nachweis für die Vertrauenswürdigkeit einer PKI.
Wie funktioniert eine PKI?
Eine Public Key Infrastruktur verwendet asymmetrische Verschlüsselungsprozesse, um die Vertraulichkeit einer Nachricht zu gewährleisten. Außerdem authentifiziert sie das Gerät oder den User, der die Datenübertragung startet.
Bei der asymmetrischen Verschlüsselung kommen zwei Schlüssel zum Einsatz – ein öffentlicher und ein privater. Ein kryptographischer Schlüssel besteht aus vielen aufeinanderfolgenden Bits und soll Daten sicher verschlüsseln.
Der öffentliche Schlüssel ist auf Anfrage hin frei verfügbar und wird von einer vertrauenswürdigen Quelle erstellt – der CA. Er dient zur Verifizierung und Authentifizierung des Absenders einer Nachricht.
Der zweite Bestandteil des kryptographischen Schlüsselpaares, das in einer PKI zum Einsatz kommt, ist der private – oder auch geheime – Schlüssel. Dieser Schlüssel ist für die Entschlüsselung einer Nachricht erforderlich. Allein der Empfänger der Nachricht hat Zugriff darauf.
Das öffentliche und private Schlüsselpaar wird mithilfe komplexer Algorithmen verschlüsselt und entschlüsselt. Der öffentliche Schlüssel ist dabei für die Authentifizierung des Absenders zuständig, der private Schlüssel hingegen ist dafür gedacht, dass der Empfänger die digitale Nachricht auch lesen kann.
PKI-Zertifikate
Im Mittelpunkt einer Public Key Infrastruktur steht Vertrauen. Für den Empfänger einer digitalen Nachricht ist es von essentieller Bedeutung, dass er die Identität des Absenders zweifelsfrei kennt.
Vertrauenswürdige Third-Party-CAs bürgen für den Absender und räumen alle potenziellen Zweifel an seiner/ihrer Identität aus dem Weg. Digitale Zertifikate bestätigen digitale Identitäten.
Digitale Zertifikate werden auch PKI-Zertifikate oder X.509-Zertifikate genannt. Ein PKI-Zertifikat ist ein Identitätsnachweis und funktioniert wie ein Reisepass oder Führerschein. Die Identität des Antragstellers wird von einer außenstehenden Instanz geprüft.
PKI-Zertifikate enthalten folgende Informationen:
- Der eindeutige Name (Distinguished Name, DN) des Inhabers
- Der öffentliche Schlüssel des Inhabers
- Das Ausstellungsdatum
- Das Ablaufdatum
- DN der CA, die das Zertifikat ausgestellt hat
- Die digitale Signatur der CA
Wofür werden PKIs genutzt?
Der häufigste Einsatzzweck von PKIs ist die TLS/SSL-Verschlüsselung (Transport Layer Security/Secure Socket Layer), die die HTTP-Kommunikation (Hyper-Text-Protocol) schützt.
Die Eigentümer von Websites erhalten digitale Zertifikate, die von einer CA ausgestellt wurden. Um ein digitales Zertifikat einer CA zu erhalten, muss der Eigentümer allerdings zunächst nachweisen, dass er der Eigentümer ist. Nach erfolgreicher Verifizierung steht es dem Eigentümer einer Website frei, ein SSL-Zertifikat zu erwerben und auf dem Webserver zu hinterlegen. Dadurch weiß ein Browser, der auf die Website zuzugreifen versucht, dass es sich auch wirklich um eine seriöse Website handelt.
Das TLS/SSL-Protokoll setzt voraus, dass der User der Instanz, die das Root-Zertifikat ausgestellt hat, vertraut. Eine Alternative ist das Web of Trust, bei dem selbstsignierte Zertifikate eingesetzt werden. Diese müssen jedoch noch von einer außenstehenden Instanz validiert werden. Web of Trust wird oft für kleinere User-Gruppen genutzt – beispielsweise für firmeninterne Netzwerke.
Weitere Einsatzbereiche von PKIs:
- E-Mail-Verschlüsselung und Authentifizierung des Absenders
- Signaturen für Dokumente und Software
- Einsatz von Datenbank-Servern, um interne Kommunikation zu sichern
- Schutz der Web-Kommunikation (beispielsweise im Bereich E-Commerce)
- Authentifizierung und Verschlüsselung von Dokumenten
- Sicherung lokaler Netzwerke und Smartcard-Authentifizierung
- Ver- und Entschlüsselungen von Files
- Eingeschränkter Zugang zu VPNs und firmeninternen Intranetzen
- Sichere Kommunikation zwischen gleichwertig vertrauenswürdigen Geräten, z.B. IoT-Devices (Internet of Things)
Verschiedene Arten der Open-Source-PKI
Open-Source-basierte Public-Key-Infrastrukturen sind frei verfügbar. Beispiele für Open-Source-PKI:
- EJBCA Enterprise: Entwickelt in Java. Enterprise-fähige CA-Implementierung mit breitem Feature-Set, für die Einrichtung von CA-as-a-Service oder für den internen Gebrauch.
- OpenSSL: Ein professionelles Toolkit mit breitem Feature-Set, das in C geschrieben wurde und in allen wichtigen Linux-Distributionen enthalten ist. Es macht Anwendungen PKI-fähig um und kann für die Einrichtung einer einfachen CA herangezogen werden.
- CFSSL: Das PKI/SSL-Toolkit von Cloudfare ermöglicht das Signieren, Verifizieren und Zusammenführen von TLS-Zertifikaten. Zudem kann es herangezogen werden, um benutzerdefinierte TLS-PKI-Tools zu erstellen.
- XiPKI: Ein hoch-performanter und stark skalierbarer CA- und OCSP-Responder, der in Java implementiert wurde und SHA-3 unterstützt.
- Dogtag Certificate System: Eine Enterprise-fähige CA mit breitem Feature-Set, die alle Bereiche des Certificate-Lifecycle-Managements abdeckt.
Weitere Ressourcen
Viele führende Browser und Betriebssysteme – unter anderem Apple und Microsoft – unterstützen Trust-Stores, die eine Liste vertrauenswürdiger Root-Zertifikaten bereitstellen. Ein vertrauenswürdiges Root-Zertifikat gibt den Usern Vertrauen in das digitale Zertifikat und die CA, die mit der Ausstellung betraut war. Eine vertrauenswürdige CA ist ein wesentlicher Bestandteil jeder Public Key Infrastruktur.
Eine PKI verwendet asymmetrische Kryptographie, um digitale Nachrichten zu ver- und entschlüsseln. Wenden Sie sich gerne an Okta, um mehr Informationen zu asymmetrischer Kryptographie und kryptographischen Schlüsselpaaren zu erhalten.Sprechen Sie mit uns.
Referenzen
Why Public Key Infrastructure Is a Good Idea. (März 2001). Computer Weekly.
EJBCA Enterprise. (2022). PrimeKey AB.
OpenSSL. (2021). The OpenSSL Project Authors.
Cloudflare/CFSSL. (2022). GitHub, Inc.
Xipki/xipki. (2022). GitHub, Inc.
PKI Main Page. Dogtag PKI.
Available Trusted Root Certificates for Apple Operating Systems. (2022). Apple, Inc.
List of Participants – Microsoft Trusted Root Program. (Dezember 2021). Microsoft Build.
Asymmetric Encryption: Definition, Architecture, Usage. (2022). Okta.
Public vs. Private: Unlocking the Full Potential of Public Key Infrastructure. (Dezember 2021). Forbes.