Zum Inhalt springen

Public-Key-Infrastruktur

aus Wikipedia, der freien Enzyklopädie
Dies ist eine alte Version dieser Seite, zuletzt bearbeitet am 9. Januar 2006 um 08:54 Uhr durch TamPam (Diskussion | Beiträge). Sie kann sich erheblich von der aktuellen Version unterscheiden.

Als Public-Key-Infrastruktur (PKI, engl.: public key infrastructure) bezeichnet man in der Kryptologie und Kryptografie ein System, welches es ermöglicht, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Die innerhalb einer PKI ausgestellten Zertifikate sind meist auf Personen oder Maschinen festgelegt und werden zur Absicherung computergestützter Kommunikation verwendet.

Der zu Grunde liegende Gedanke ist der folgende: Mit Hilfe eines Public-Key-Verschlüsselungsverfahrens können Nachrichten im Internet signiert und verschlüsselt werden. Das Signieren garantiert, dass die Nachricht in dieser Form wirklich vom angegebenen Absender stammt. Allerdings benötigt man hierzu den Public-Key des Absenders. Dieser könnte z.B. per E-Mail versendet werden. Es stellt sich genau an diesem Punkt aber die Frage, wie man sicher ist, dass es sich tatsächlich um den Schlüssel des Absenders handelt und nicht um eine Fälschung eines Betrügers. Hierzu kann der zu verschickende Schlüssel selbst wieder mit einem vertrauenswürdigen Schlüssel signiert sein. Auf diese Weise lässt sich eine Hierarchie aus vertrauenswürdigen Institutionen aufbauen. Auf die Echtheit der Schlüssel der obersten Institutionen dieser Hierarchie muss man sich aber verlassen können. Sie sind oft in die verarbeitende Computer-Software integriert.

Wesentliche Bestandteile einer (minimalen) PKI sind:

  • Digitale Zertifikate: Digital signierte elektronische Daten, die sich zum Nachweis der Echtheit von Objekten verwenden lassen.
  • Certification Authority: Organisation, welche das CA-Zertifikat bereitstellt und die Signatur von Zertifikatsanträgen übernimmt.
  • Registration Authority: Organisation, bei der Personen, Maschinen oder auch untergeordnete Certification Authorities Zertifikate beantragen können. Diese prüft die Richtigkeit der Daten im gewünschten Zertifikat und genehmigt den Zertifikatsantrag der dann durch die Certificate Authority signiert wird.
  • Certificate Revocation Lists: (Sperrliste) Listen mit zurückgezogenen, abgelaufenen und für ungültig erklärten Zertifikaten.
  • Verzeichnisdienst: ein durchsuchbares Verzeichnis welches ausgestellte Zertifikate enthält, meist ein LDAP-Server, seltener ein X.500-Server.
  • Validierungsdienst: Ein Dienst, der die Überprüfung von Zertifikaten in Echtzeit ermöglicht.
  • Dokumente: Eine PKI führt eines oder mehrere Dokumente in denen die Arbeitsprinzipien der PKI beschrieben sind. Kernpunkte sind der Registrierungsprozess, Handhabung des Secret-Key-Materials, zentrale oder dezentrale Schlüsselerzeugung, technischer Schutz der PKI-Systeme sowie evt. rechtliche Zusicherungen. In X.509-Zertifikaten kann das CPS in den Extensions eines Zertifikates verlinkt werden. Nachfolgenden Dokumente sind teilweise üblich.
    • CP (Certificate Policy): In diesem Dokument beschreibt die PKI ihr Anforderungsprofil an ihre eigene Arbeitsweise. Es dient einem Dritten zu Analyse der Vertrauenswürdigkeit und damit Aufnahme in dem Browser.
    • CPS (Certificate Practice Statement): Hier wird die konkrete Umsetzung der Anforderungen in die PKI beschrieben. Dieses Dokument beschreibt die Umsetzung der CP.
    • PDS (Policy Disclosure Statement): Dieses Dokument ist ein Auszug aus dem CPS wenn das CPS nicht veröffentlich werden soll.

Eine PKI bietet ein hierachisches Gültigkeitsmodell an. Wird einer Certificate Authority vertraut wird damit allen von ihr signierten Zertifikaten auch vertraut. Dadurch das eine PKI untergeortnete PKI's haben kann (Mehrstufigkeit) wird auch allen untergeordneten PKI's vertraut.

Problematisch ist bei PKI-Systemen, dass Computer-Programme bereits mit einer Vielzahl von „Root-Zertifikaten“ ausgeliefert werden, die von Organisationen ausgestellt werden, deren Existenz und deren Integrität nicht gewährleistet ist. Eine Aussage über die Anforderungen, die zur Ausstellung der Zertifikate erforderlich sind, kann nur über die jeweiligen Dokumente getroffen werden.

Eine Alternative bietet das Web of trust. OpenPGP baut auf dieser Idee auf. X.509-Zertifikate sind ebenfalls in der Lage, ein Web of Trust abzubilden (z.B. Thawte). Bezüglich der Vertrauenswürdigkeit der einzelnen Nutzerzertifikate kann aber auch ein Web of Trust keine vollkommene Aussage erzielen.

Um die Nutzbarkeit von Public-Key-Infrastrukturen zu erhöhen und gleichzeitig eine qualitative Aussage über Kommunikationspartner zu schaffen, haben sich Bridge-CA-Lösungen etabliert.

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Public-Key-Infrastruktur&oldid=12426661