Wikipedia

Public-Key-Infrastruktur

System, das digitale Zertifikate ausstellen, verteilen und prüfen kann
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 22. September 2004 um 01:34 Uhr durch 141.58.235.90 (Diskussion). Sie kann sich erheblich von der aktuellen Version unterscheiden.


Als Public Key Infrastruktur (PKI) bezeichnet man ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen.
Die innerhalb einer PKI ausgestellten Zertifikate sind meist auf Personen oder Maschinen festgelegt und werden zur Absicherung computergestützter Kommunikation verwendet.

Der zu Grunde liegende Gedanke ist der folgende:
Mit Hilfe eines Public-Key Verschlüsselungsverfahrens können Nachrichten im Internet signiert und verschlüsselt werden. Das Signieren garantiert, dass die Nachricht in dieser Form wirklich vom angegebenen Absender stammt. Allerdings benötigt man hierzu den Public-Key des Absenders. Dieser könnte z.B. per E-Mail versendet werden.
Es stellt sich genau an diesem Punkt aber die Frage, wie man sicher ist, dass es sich tatsächlich um den Schlüssel des Absenders handelt und nicht um eine Fälschung eines Betrügers.
Hierzu kann der zu verschickende Schlüssel selbst wieder mit einem vertrauenswürdigen Schlüssel signiert sein. Auf diese Weise lässt sich eine Hierarchie aus vertrauenswürdigen Institutionen aufbauen. Auf die Echtheit der Schlüssel der obersten Institutionen dieser Hierarchie muss man sich aber verlassen können. Sie sind oft in die verarbeitende Computer-Software integriert.

Wesentliche Bestandteile einer (minimalen) PKI sind:

  • Revocation Lists: (Sperrliste) Listen mit zurückgezogenen, abgelaufenen und für ungültig erklärten Zertifikaten.
  • Verzeichnisdienst: ein durchsuchbares Verzeichnis welches ausgestellte Zertifikate enthält, meist ein LDAP-Server, seltener ein X.500-Server.
  • Validierungsdienst: Ein Dienst, der die Überprüfung von Zertifikaten in Echtzeit ermöglicht.


Nachteilig an PKI-Systemen ist, dass Computer-Programme bereits mit einer Vielzahl von "Root-Zertifikaten" ausgeliefert werden, die von Organisationen ausgestellt werden, deren Existenz und deren Integrität nicht gewährleistet ist.


Eine Alternative bietet das Web of trust. OpenPGP baut auf diese Idee auf. Bezüglich der Vertrauenswürdigkeit der einzelnen Nutzerzertifikate kann jedoch auch OpenPGP keine vollkommene Aussage erzielen.

Um die Nutzbarkeit von Public-Key-Infrastrukturen zu erhöhen und gleichzeitig eine qualitative Aussage über Kommunikationspartner zu schaffen haben sich Bridge-CA Lösungen etabliert.

Siehe auch: Kryptografie

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Public-Key-Infrastruktur&oldid=2637052