Suchen

Definition PKI Was ist eine PKI (Public-Key-Infrastruktur)?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Bei einer Public-Key-Infrastruktur (PKI) handelt es sich um eine Sicherheitsinfrastruktur, die Services für den sicheren Austausch von Daten zwischen Kommunikationspartnern bereitstellt. Mit Hilfe der PKI lassen sich Zertifikate und die Zugehörigkeit von öffentlichen Schlüsseln prüfen.

Eine Public-Key-Infrastruktur stellt Services für die Verschlüsselung und Signatur zur Absicherung rechnergestützter Kommunikation bereit.
Eine Public-Key-Infrastruktur stellt Services für die Verschlüsselung und Signatur zur Absicherung rechnergestützter Kommunikation bereit.
(Bild: Pixabay / CC0 )

Die Abkürzung PKI steht für Public-Key-Infrastruktur und bezeichnet ein System, mit dessen Hilfe sich digitale Zertifikate ausstellen, verteilen und prüfen lassen. Dank der PKI ist der sichere und verschlüsselte Austausch und die Signatur von Daten im Internet möglich. Die PKI stellt Services bereit, mit denen die Zugehörigkeit von öffentlichen Schlüsseln und die Echtheit von Zertifikaten zuverlässig überprüfbar ist. Zudem liefert die Public-Key-Infrastruktur Verzeichnisse zum Speichern von Zertifikaten oder von Zertifikatssperrlisten. Die Verschlüsselung und Signatur der Daten erfolgt auf Basis asymmetrischer Verschlüsselungsverfahren.

Public-Key-Infrastruktur - sichere Nutzung asymmetrischer Verschlüsselungen

Asymmetrische Verschlüsselungsverfahren verwenden private und öffentlichen Schlüssel. Daten, die mit eine öffentlichen Schlüssel (Public Key) eines Kommunikationspartners verschlüsselt wurden, lassen sich nur mit dem geheimen privaten Schlüssel (Private Key) des gleichen Kommunikationspartners wieder entschlüsseln. Die öffentlichen Schlüssel sind für jeden verfügbar. Allerdings besteht das Problem, dass die Zugehörigkeit eines öffentlichen Schlüssels zweifelsfrei überprüfbar sein muss. Diese Aufgabe übernimmt die Public-Key-Infrastruktur. Sie stellt Zertifikate aus, mit denen die Authentizität des öffentlichen Schlüssels bestätigt wird. Die digitalen Zertifikate selbst sind durch eine digitale Signatur der Zertifizierungsstelle (Certification Authority - CA) unterzeichnet und lassen sich mit dem öffentlichen Schlüssel des Ausstellers prüfen. Für die Überprüfung der Authentizität des Ausstellers benötigt man wiederum ein Zertifikat. Es entsteht eine Zertifikatskette, die bis zu einem Root-Zertifikat führt. Betriebssysteme und Browser besitzen in der Regel eine Liste mit vertrauenswürdigen CAs, anhand derer sich die Echtheit von Zertifikaten feststellen lässt.

Die wichtigsten Bestandteile einer PKI

Eine Public-Key-Infrastruktur benötigt verschiedene Bestandteile, um ihre Funktionen zu erfüllen. Dazu gehören digitale Zertifikate, Zertifizierungsstellen (CAs), untergeordnete Registrierungsstellen, Verzeichnisdienste für Zertifikate, Zertifikatssperrlisten, Validierungsservices und viele weitere.

Das hierarchische Vertrauensmodell der PKI

In der Regel ist in der Public-Key-Infrastruktur eine streng hierarchische Vertrauensstruktur vorzufinden. Diese Struktur setzt die Existenz einer Root-CA (Wurzelzertifizierungsinstanz ) voraus, der alle an der PKI teilnehmenden Instanzen vertrauen. In der Praxis existieren mehrere Root-CAs mit eigenen PKIs die länder- oder unternehmensspezifisch sein können. Die Zertifikate der Root-CA sind die so genannten Stammzertifikate und bilden den Ausgangspunkt eines hierarchischen Vertrauensbaums. Die Stammzertifikate der wichtigsten Root-CAs sind meist in Software wie Browsern oder in Betriebssystemen integriert. Der Schutz der Root-CA und ihres privaten Schlüssels ist für eine PKI von höchster Bedeutung.

Das Web of Trust Vertrauensmodell

Ein zur hierarchischen Struktur konträres Vertrauensmodell stellt das Web of Trust (auch WoT oder Netz des Vertrauens) dar. In diesem Modell sichern die gegenseitigen Signaturen (Bestätigungen) der verschiedenen Teilnehmer die Echtheit von digitalen Schlüsseln und Zertifikaten. Je mehr Signaturen einem Zertifikat hinzugefügt sind, desto vertrauenswürdiger ist das Zertifikat. Im Web of Trust übernehmen daher die vielen verschiedenen Teilnehmer die Rolle einer einzigen vertrauenswürdigen Instanz des hierarchischen Modells.

(ID:45200687)

Über den Autor