Suchen

PKI | Public Key Infrastructure | Public-Key-Infrastruktur

| Redakteur: Gerald Viola

Eine PKI (Public-Key-Infrastruktur) ermöglicht dem User eines eigentlich unsicheren öffentlichen Netzwerkes, wie des Internets, den sicheren und vertraulichen Daten- und Geldaustausch

Firma zum Thema

Eine PKI (Public-Key-Infrastruktur) ermöglicht dem User eines eigentlich unsicheren öffentlichen Netzwerkes, wie des Internets, den sicheren und vertraulichen Daten- und Geldaustausch mit Hilfe eines kryptografischen Schlüsselpaars bestehend aus einem Public- und einem Private-Key, das von einer vertrauenswürdigen Instanz beschafft und dort für die gemeinsame Nutzung vorgehalten wird. Durch die Public-Key-Infrastruktur wird ein digitales Zertifikat ausgestellt, mit dem sich Einzelpersonen oder Unternehmen ausweisen können und Verzeichnisdienste, in denen die Zertifikate gespeichert und - wenn nötig - widerrufen werden können. Obwohl die PKI-Komponenten allgemein verständlich sind, bilden sich viele herstellerspezifische Methoden und -dienste heraus. Mittlerweile wird an einem Internet-Standard für die PKI gearbeitet.

Die Public-Key-Infrastruktur setzt die Nutzung der Public-Key-Kryptografie voraus, mit der im Internet üblicherweise der Sender einer Nachricht authentifiziert oder eine Nachricht verschlüsselt wird. Zur traditionellen Kryptografie gehörte normalerweise auch die Erstellung und gemeinsame Nutzung eines geheimen Schlüssels (secret key) zur Ver- und Entschlüsselung von Nachrichten. Sehr mangelhaft an diesem Secret- oder Private-Key-System ist, dass es nicht schwierig ist, die Nachrichten zu entschlüsseln, wenn der Schlüssel von einem Dritten entdeckt bzw. abgehört wird. Aus diesem Grund sind die Public-Key-Kryptografie und die Public-Key-Infrastruktur die bevorzugten Methoden im Internet. (Das Private-Key-System kennt man auch als symmetrische Kryptografie und das Public-Key-System als asymmetrische Kryptografie.)

Eine Public-Key-Infrastruktur besteht aus:

  • Eine Zertifizierungsstelle (CA - Certificate Authority ), die digitale Zertifikate herausgibt und beglaubigt. Ein Zertifikat beinhaltet den Public-Key oder Informationen über den Public-Key.
  • Eine Registrierungsstelle (Registration Authority - RA), die für eine Zertifizierungsstelle Prüfungen vornimmt, bevor ein digitales Zertifikate an einen Antragsteller ausgegeben wird.
  • Einen oder mehrere Verzeichnisdienste, in denen die Zertifikate (mit ihren Public-Keys) aufbewahrt werden.
  • Ein Zertifikat-Management-System.

Wie die Public- und Private-Key-Kryptografie funktioniert

In der Public-Key-Kryptografie werden Public- und Private-Key gleichzeitig mit demselben Algorithmus einer Zertifizierungsstelle (CA) hergestellt (ein bekannter Algorithmus ist RSA). Der Private-Key wird nur dem Antragsteller ausgehändigt und der Public-Key wird als Teil eines digitalen Zertifikats in einem Verzeichnisdienst, auf den alle Parteien Zugriff haben, öffentlich zugänglich gemacht. Der Private-Key wird niemals gemeinsam genutzt oder über das Internet übertragen. Mit seinem Private-Key entschlüsselt man den Text, den ein anderer mit seinem Public-Key verschlüsselt hat, den man anhand eines öffentlichen Verzeichnisses ausfindig machen kann. Möchte man daher eine Nachricht an jemanden verschicken, kann man dessen Public-Key (nicht aber seinen Private-Key) von einem zentralen Administrator erfahren und die Nachricht mit seinem Public-Key verschlüsseln. Wenn dieser sie erhält, entschlüsselt er sie mit seinem Private Key. Zusätzlich zur Nachrichtenverschlüsselung, die den Datenschutz sicherstellt, kann man sich authentifizieren (so dass der Empfänger wirklich weiß, wer die Nachricht verschickt hat), in dem man mit dem Private-Key das digitale Zertifikat verschlüsselt. Wenn die Nachricht beim Empfänger eintrifft, kann er dieses Zertifikat mit seinem Public-Key entschlüsseln.

Wer die Infrastruktur bereitstellt

Mit vielen angebotenen Produkten können Unternehmen oder Gruppen von Unternehmen eine PKI einführen. Die Beschleunigung des elektronischen Handels und des Business-to-Business-Handels im Internet hat die Nachfrage nach PKI-Lösungen gesteigert. Im Zusammenhang damit stehen auch das Virtual-Private-Network (VPN) und der IP-Security - (IPsec)-Standard. In Bezug auf PKI führend sind:

  • RSA, denn es hat die wichtigsten Algorithmen für die PKI-Hersteller entwickelt.
  • Verisign, der als Zertifizierungsstelle fungiert und Software verkauft, mit der ein Unternehmen seine eigenen Certificate-Authorities herstellen kann.
  • GTE CyberTrust, der eine Methode für die PKI-Implementierung und einen Beratungsservice bietet, die er zu einem festen Preis an andere Unternehmen zu verkaufen beabsichtigt.
  • Xcert, dessen Web-Sentry-Produkt den Widerrufsstatus von Zertifikaten auf einem Server mit dem Online Certificate Status Protocol (OCSP) überprüft.
  • Netscape, dessen Verzeichnisdienst-Server-Produkt angeblich 50 Millionen Objekte unterstützt und 5000 Queries pro Sekunde bearbeiten soll. Secure E-Commerce, der es Unternehmen oder einem Extranet-Manager ermöglicht, digitale Zertifikate zu führen. Und Meta-Directory, das alle Unternehmensverzeichnisse für das Sicherheitsmanagement in ein einziges Verzeichnis zusammenfassen kann.

(ID:2020948)