Suchen

Definition Key Management Interoperability Protocol (KMIP) Was ist KMIP?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

Beim Key Management Interoperability Protocol handelt es sich um ein von der OASIS (Organization for the Advancement of Structured Information Standards) standardisiertes Protokoll. KMIP ermöglicht die Kommunikation von Anwendungen und Systemen zur Speicherung und Verwaltung von Schlüsseln, Zertifikaten oder anderen geheimen Objekten.

KMIP, das Key Management Interoperability Protocol ist ein Protokoll für das Management von Schlüsseln und Zertifikaten.
KMIP, das Key Management Interoperability Protocol ist ein Protokoll für das Management von Schlüsseln und Zertifikaten.
(Bild: gemeinfrei)

Die Abkürzung KMIP steht für Key Management Interoperability Protocol und bezeichnet ein von der OASIS (Organization for the Advancement of Structured Information Standards) standardisiertes Kommunikationsprotokoll. Es basiert auf dem Client-Server-Prinzip und kommt für die Kommunikation von Anwendungen und Systemen zu Speicherung und Verwaltung von Zertifikaten, Schlüsseln oder anderen geheimen Objekten zum Einsatz. In der Nonprofit-Organisation OASIS wirken namhafte Unternehmen wie IBM, Cisco, Sun, Red Hat, Brocade, EMC, HP, LSI, Seagate und viele weitere mit.

KMIP ermöglicht Verschlüsselungsanwendungen und Speicher-, Datenbank- oder E-Mail-Systemen den geschützten Austausch von Informationen mit den Key Management Systemen. Es sorgt für einheitliche Standards und Datenformate und erlaubt die Zentralisierung der Schlüsselverwaltung. Auch die Behandlung von Fehlern ist in KMIP standardisiert. Die Authentizität der Daten lässt sich beispielsweise mit TLS (Transport Layer Security) sichern.

Die Ziele des Key Management Interoperability Protocols

Ziele des Key Management Interoperability Protocols sind:

  • Vereinfachung des Encryption Key Managements
  • sichere Aufbewahrung und Bereitstellung einer großen Zahl von Schlüsseln und Zertifikaten
  • standardisierte Kommunikation zwischen Anwendungen und Schlüsselmanagementsystemen
  • Bereitstellung revisionssicherer Verwaltungsmöglichkeiten
  • Vermeidung von redundanten Key Management Prozessen
  • vollständiges Key Lifecycle Management inklusive Beantragung, Generierung, Abruf und Löschung von kryptographischen Schlüsseln
  • Unterstützung verschiedener kryptographischer Objekte wie symmetrische oder asymmetrische Schlüssel, digitale Zertifikate oder Authentifizierungs-Token
  • höhere Effizienz und optimierte Kosten im Schlüsselmanagement

Das Format der KMIP-Nachrichten

KMIP-Nachrichten haben ein standardisiertes Format. Sie besitzen einen Header und einen Nachrichtenteil. Der Nachrichtenteil kann aus mehreren gestapelten Batch-Objekten bestehen. Grundsätzlich ist eine Unterscheidung zwischen Anfrage und Antwort möglich. Der Nachrichtentyp ist im Header festgelegt. Ebenfalls im Header zu finden sind die Protokollversion und der sogenannte Batch-Count. Er gibt Auskunft darüber, wie viele Vorgänge eine Nachricht anfordert.

Zentrale Elemente des Key Management Interoperability Protocols

Die zentralen Zentrale Elemente des Key Management Interoperability Protocols sind:

  • Objekte
  • Attribute
  • Operationen

Objekte sind beispielsweise von einem Key Lifecycle Management System verwaltete Verschlüsselungsobjekte mit kryptographischem Inhalt wie Zertifikate oder Schlüssel. Attribute spezifizieren die Objekte genauer. Es existieren viele unterschiedliche Attribute wie Typ des Zertifikats oder Leasetime. Der KMIP-Standard gibt genau vor, wer bestimmte Attribute erstellen, verändern oder löschen darf. Operationen werden in Client-to-Server- und Server-to-Client-Operationen unterschieden. Mehrere Operationen lassen sich in einer einzigen Nachricht zu einem Batch zusammenfassen. Beispielhafte Operationen sind das Erstellen eines Schlüsselpaars, das Erstellen eines Zertifikats, das Abrufen eines Objekts oder das Ändern eines Attributs. Server-to-Client-Operationen erfordern in der Regel eine Anmeldung des Clients beim Server. Das Key Management Interoperability Protocol spezifiziert zwar keine spezielle Anmeldeart, erwartet aber eine sichere Authentifizierung.

(ID:45751145)

Über den Autor