Definition PKI

Was ist eine PKI (Public-Key-Infrastruktur)?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Eine Public-Key-Infrastruktur stellt Services für die Verschlüsselung und Signatur zur Absicherung rechnergestützter Kommunikation bereit.
Eine Public-Key-Infrastruktur stellt Services für die Verschlüsselung und Signatur zur Absicherung rechnergestützter Kommunikation bereit. (Bild: Pixabay / CC0)

Bei einer Public-Key-Infrastruktur (PKI) handelt es sich um eine Sicherheitsinfrastruktur, die Services für den sicheren Austausch von Daten zwischen Kommunikationspartnern bereitstellt. Mit Hilfe der PKI lassen sich Zertifikate und die Zugehörigkeit von öffentlichen Schlüsseln prüfen.

Die Abkürzung PKI steht für Public-Key-Infrastruktur und bezeichnet ein System, mit dessen Hilfe sich digitale Zertifikate ausstellen, verteilen und prüfen lassen. Dank der PKI ist der sichere und verschlüsselte Austausch und die Signatur von Daten im Internet möglich. Die PKI stellt Services bereit, mit denen die Zugehörigkeit von öffentlichen Schlüsseln und die Echtheit von Zertifikaten zuverlässig überprüfbar ist. Zudem liefert die Public-Key-Infrastruktur Verzeichnisse zum Speichern von Zertifikaten oder von Zertifikatssperrlisten. Die Verschlüsselung und Signatur der Daten erfolgt auf Basis asymmetrischer Verschlüsselungsverfahren.

Public-Key-Infrastruktur - sichere Nutzung asymmetrischer Verschlüsselungen

Asymmetrische Verschlüsselungsverfahren verwenden private und öffentlichen Schlüssel. Daten, die mit eine öffentlichen Schlüssel (Public Key) eines Kommunikationspartners verschlüsselt wurden, lassen sich nur mit dem geheimen privaten Schlüssel (Private Key) des gleichen Kommunikationspartners wieder entschlüsseln. Die öffentlichen Schlüssel sind für jeden verfügbar. Allerdings besteht das Problem, dass die Zugehörigkeit eines öffentlichen Schlüssels zweifelsfrei überprüfbar sein muss. Diese Aufgabe übernimmt die Public-Key-Infrastruktur. Sie stellt Zertifikate aus, mit denen die Authentizität des öffentlichen Schlüssels bestätigt wird. Die digitalen Zertifikate selbst sind durch eine digitale Signatur der Zertifizierungsstelle (Certification Authority - CA) unterzeichnet und lassen sich mit dem öffentlichen Schlüssel des Ausstellers prüfen. Für die Überprüfung der Authentizität des Ausstellers benötigt man wiederum ein Zertifikat. Es entsteht eine Zertifikatskette, die bis zu einem Root-Zertifikat führt. Betriebssysteme und Browser besitzen in der Regel eine Liste mit vertrauenswürdigen CAs, anhand derer sich die Echtheit von Zertifikaten feststellen lässt.

Die wichtigsten Bestandteile einer PKI

Eine Public-Key-Infrastruktur benötigt verschiedene Bestandteile, um ihre Funktionen zu erfüllen. Dazu gehören digitale Zertifikate, Zertifizierungsstellen (CAs), untergeordnete Registrierungsstellen, Verzeichnisdienste für Zertifikate, Zertifikatssperrlisten, Validierungsservices und viele weitere.

Das hierarchische Vertrauensmodell der PKI

In der Regel ist in der Public-Key-Infrastruktur eine streng hierarchische Vertrauensstruktur vorzufinden. Diese Struktur setzt die Existenz einer Root-CA (Wurzelzertifizierungsinstanz ) voraus, der alle an der PKI teilnehmenden Instanzen vertrauen. In der Praxis existieren mehrere Root-CAs mit eigenen PKIs die länder- oder unternehmensspezifisch sein können. Die Zertifikate der Root-CA sind die so genannten Stammzertifikate und bilden den Ausgangspunkt eines hierarchischen Vertrauensbaums. Die Stammzertifikate der wichtigsten Root-CAs sind meist in Software wie Browsern oder in Betriebssystemen integriert. Der Schutz der Root-CA und ihres privaten Schlüssels ist für eine PKI von höchster Bedeutung.

Das Web of Trust Vertrauensmodell

Ein zur hierarchischen Struktur konträres Vertrauensmodell stellt das Web of Trust (auch WoT oder Netz des Vertrauens) dar. In diesem Modell sichern die gegenseitigen Signaturen (Bestätigungen) der verschiedenen Teilnehmer die Echtheit von digitalen Schlüsseln und Zertifikaten. Je mehr Signaturen einem Zertifikat hinzugefügt sind, desto vertrauenswürdiger ist das Zertifikat. Im Web of Trust übernehmen daher die vielen verschiedenen Teilnehmer die Rolle einer einzigen vertrauenswürdigen Instanz des hierarchischen Modells.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist DNSSEC?

Definition DNSSEC

Was ist DNSSEC?

DNSSEC soll die Authentizität und Integrität der im Domain Name System übertragenen Daten sicherstellen, indem Resource Records mit digitalen Zertifikaten abgesichert werden. Das in mehreren RFCs standardisierte Verfahren basiert auf privaten und öffentlichen Schlüsseln zum Signieren und Prüfen der DNS-Informationen. Ziel von DNSSEC ist es, Manipulationen der Namensauflösung auszuschließen und die Schwachstelle der ungeschützten DNS-Übertragung zu beheben. lesen

Das war die it-sa 2019

Messe

Das war die it-sa 2019

Vom 08. – 10 Oktober 2019 fand die IT-Security Messe it-sa statt. Zahlreiche Besucher strömten nach Nürnberg, um sich über die neuesten Technologien und Lösungen rund um das Thema IT-Sicherheit zu informieren. Wir haben ein paar Eindrücke gesammelt. lesen

Grundlagen der E-Mail-Sicherheit

Keine Chance für Phishing und Trojaner

Grundlagen der E-Mail-Sicherheit

E-Mails sind für Unternehmen immer noch das wichtigste Kommunikationsmittel und gleich­zeitig sind sie wichtigster Einfallsweg für Malware in ein Firmennetzwerk. Ransomware, Phishing, virenverseuchte Attachments und auch Spam sind konkrete Bedrohungen für die IT-Sicherheit. Administratoren müssen wissen was zu tun ist, um die Mail-Übertagungen in ihren Netzen abzusichern. lesen

Wie das IoT dem Datenschutz helfen kann

Datenschutz im Internet der Dinge, Teil 3

Wie das IoT dem Datenschutz helfen kann

Sicherheit und Datenschutz im Internet of Things (IoT) sind nicht nur wichtig, sondern auch lohnend, denn das IoT hat nicht nur Risiken, sondern auch Vorteile für den Datenschutz. lesen

Sichere Technologien für smarte Städte

Security by Design

Sichere Technologien für smarte Städte

Die Migration in die Städte setzt sich weltweit fort. Die damit verbunden Herausforderungen lassen sich nur beherrschen, indem man Städte intelligent macht - etwa durch die rasche Weiterentwicklung vernetzter Geräte und entsprechender Software. Der Fokus muss dabei auf dem Thema Sicherheit liegen, auf sicheren Netzwerken und IoT-Devices. lesen

Der Zertifikatmarkt im Wandel

Zertifikatanbieter Digicert expandiert

Der Zertifikatmarkt im Wandel

Der TLS- und SSL-Zertifikatanbieter Digicert beschleunigt nach Abschluss der Integration von Verisign die Gangart: Auf dem Programm stehen die europäische Expansion sowie Investitionen in Forschung und Entwicklung. Speziell quantensichere Algorithmen und neue Authentisierungs­mechanismen sind wichtige Forschungs­schwerpunkte für das wachsende Unternehmen. lesen

Mit eIDAS mehr Vertrauen und Effizienz im Business

Die eIDAS-Verordnung

Mit eIDAS mehr Vertrauen und Effizienz im Business

Noch sind grenzüberschreitende, durchgehend digitale Geschäfte in der EU schwierig. Das soll sich ändern. Denn ein digitaler europäischer Binnenmarkt ist wichtig, um weltweit konkurrenzfähig zu bleiben. Mit der eIDAS-Verordnung hat die EU-Kommission den rechtlichen Rahmen dafür geschaffen. Was bedeutet eIDAS für Unternehmen? Und welche Chancen eröffnen sich? lesen

Kommt der Personalausweis aufs Handy?

Forderung der FDP

Kommt der Personalausweis aufs Handy?

Die FDP-Fraktion im Bundestag will den smarten Personalausweis und fordert eine entsprechende Gesamtstrategie des Bundes. lesen

GlobalSign tritt Microsoft Intelligent Security Association bei

Digitale Zertifikate

GlobalSign tritt Microsoft Intelligent Security Association bei

Die Zertifizierungsstelle GMO GlobalSign ist ab sofort mit Microsoft Intune integriert. Bei Intune handelt es sich um ein Unified Endpoint Management Tool für Unternehmen, mit dem mobile Benutzer jetzt problemlos digitale Zertifikate erhalten. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45200687 / Definitionen)