Was ist ein PKI ?

Als PKI (Public Key Infrastucture, oder auf Deutsch Infrastruktur mit öffentlichem Schlüssel , manchmal Infrastruktur zur Verwaltung von Schlüsseln ) bezeichnet man die Gesamtheit an technischen Lösungen, die auf der Kryptographie mit öffentlichen Schlüsseln basieren.

Kryptosysteme mit öffentlichen Schlüsseln widmen sich der Nötigkeit eines systematischen Zugangs zu einem gesichertem Kanal zum Austausch von Schlüsseln. Die öffentliche Verbreitung des öffentlichen Schlüssels muss hingegen mit vollem Vertrauen ausgeführt werden, um sicherzustellen, dass :

• Der öffentliche Schlüssel auch wirklich diesem Besitzer gehört ;
• Der Inhaber des Schlüssels vertrauenswürdig ist ;
• Der Schlüssel noch gültig ist.

So ist es nötig, das Schlüsselpaar (öffentlicher und privater Schlüssel) mit einem Zertifikat zu versehen, dass von einem vertrauenswürdigen Dritten ausgestellt wird : Die Public Key Infrastructure.

Das Konzept des vertrauenswürdigen Dritte

Den vertrauenswürdige Dritten bezeichnet man meist alsZertifizierungsstelle (oder auf Einglisch Certification authority, abgekürzt CA), die den Wahrheitsgehalt der Informationen im Zertifikat des öffentlichen Schlüssels und seine Validität überprüft.

Dafür signiert sie das Zertifikat des öffentlichen Schlüssels mit ihrem eigenen Schlüssel, dabei nutzt sie das Prinzip der digitalen Signatur.

Rolle der Public Key Infrastructure

Die PKI hat verschiedene Rollen, die vor allem in den folgenden Bereichen verwurzelt sind :

• die Schlüsselanfragen registrieren und die Identität der Anfragenden überprüfen ;
• Erzeugung der Schlüsselpaare (privater / öffentlicher Schlüssel) ;
• die Vertraulichkeit der Privatschlüssel zu den jeweiligen öffentlichen Schlüssel zu gewährleisten ;
• die Verbindung zwischen einem User und seinem öffentlichen Schlüssel zu bestätigen ;
• Widerruf von Schlüsseln (im Falle von Verlust durch den Besitzer, Ablauf der Gültigkeit oder Kompromittierung).

Organisation einer PKI

Eine PKI besteht in der Regel aus zwei verschiedenen abgegrenzten Einheiten :

• DieRegistrierstelle (notiert als RA fürRecording authority), verwaltet administrative Tätigkeiten, wie die Überprüfung der Identität der Anfragenden, Verfolgung und Verwaltung der Anfragen, etc.) ;
• DieZertifizierungsstelle (notiert alsCA fürCertification Authority), kümmert sich um die technischen Aufgaben bei der Erzeugung von Zertifikaten. Die CA ist also zuständig für die Signatur der Zertifikatsanfragen (geschriebenCSR fürCertificate Signing Request, manchmal bezeichnet als PKCS#10, Name des entsprechenden Formats). Die Zertifizierungsstelle kümmert sich außerdem um die Signatur von Widerrufs-Listen (CRL fürCertificate Revocation List) ;
• DieDepot-Stelle (Repository) deren Aufgabe darin besteht, die Zertifikate sicher aufzubewahren ;