Eine Public Key Infrastructure (PKI) ist ein System von Richtlinien, Prozessen und Technologien, das die Erzeugung, Verteilung, Verwaltung, Speicherung und Widerruf von digitalen Zertifikaten und damit verbundenen öffentlichen und privaten Schlüsseln ermöglicht. Die PKI ist ein wesentlicher Bestandteil moderner kryptografischer Sicherheitslösungen und basiert auf einer Reihe von grundlegenden Prinzipien:
- Identitätsnachweis: Die PKI ermöglicht die Überprüfung der Identität von Benutzern, Geräten oder Entitäten in einem Netzwerk. Dies geschieht durch die Ausstellung von digitalen Zertifikaten, die die Identität des Inhabers bestätigen.
- Vertrauenshierarchie: Eine PKI umfasst eine Vertrauenshierarchie, die durch Zertifizierungsstellen (Certification Authorities, CAs) repräsentiert wird. CAs sind vertrauenswürdige Einrichtungen, die digitale Zertifikate ausstellen, signieren und verwalten. Die höchste Stufe dieser Hierarchie wird als Stamm-CA bezeichnet.
- Digitale Zertifikate: Digitale Zertifikate sind elektronische Dokumente, die die Identität einer Entität (z. B. einer Person oder eines Geräts) bestätigen und den öffentlichen Schlüssel dieser Entität enthalten. Zertifikate werden von einer CA signiert und können von anderen Parteien verwendet werden, um die Echtheit der Identität und des öffentlichen Schlüssels zu überprüfen.
- Öffentliche und private Schlüssel: Benutzer oder Entitäten in einer PKI verfügen über einen öffentlichen Schlüssel, der in ihrem Zertifikat enthalten ist, und einen entsprechenden privaten Schlüssel, der geheim gehalten wird. Der öffentliche Schlüssel wird verwendet, um Daten zu verschlüsseln oder digitale Signaturen zu überprüfen, während der private Schlüssel verwendet wird, um Daten zu entschlüsseln oder digitale Signaturen zu erstellen.
- Verschlüsselung und digitale Signaturen: Die PKI ermöglicht die sichere Verschlüsselung von Daten und die Erstellung von digitalen Signaturen. Verschlüsselung schützt Daten vor unbefugtem Zugriff, während digitale Signaturen die Echtheit von Nachrichten und Transaktionen gewährleisten.
- Zertifikatsverteilung: Die PKI bietet Mechanismen zur sicheren Verteilung von Zertifikaten an berechtigte Parteien. Dies kann über öffentliche Verzeichnisse, E-Mail oder spezielle Protokolle wie das Simple Certificate Enrollment Protocol (SCEP) erfolgen.
- Zertifikatswiderruf: Wenn ein Zertifikat kompromittiert ist oder nicht mehr verwendet werden soll, kann es von der CA widerrufen werden. Dies wird in einer Zertifikatssperrliste (CRL) oder über Online Certificate Status Protocol (OCSP)-Abfragen kommuniziert.
- Richtlinien und Verfahren: Die PKI basiert auf Richtlinien und Verfahren, die sicherstellen, dass die Ausstellung und Verwaltung von Zertifikaten sicher und konsistent erfolgen. Diese Richtlinien und Verfahren werden oft in sogenannten Certificate Practice Statements (CPS) dokumentiert.
- Sicherheitsmanagement: Die PKI erfordert ein umfassendes Sicherheitsmanagement, um die Vertraulichkeit und Integrität von Zertifikaten und Schlüsseln zu gewährleisten. Dies umfasst physische Sicherheit, Zugriffskontrolle und Überwachung.
- Langzeitspeicherung: Da digitale Zertifikate eine begrenzte Gültigkeitsdauer haben, erfordert die PKI Mechanismen zur Langzeitspeicherung von Zertifikaten und privaten Schlüsseln, um die Überprüfung historischer Transaktionen zu ermöglichen.
Diese Prinzipien bilden die Grundlage für den Aufbau einer PKI, die in vielen sicherheitskritischen Anwendungen, wie sicheren E-Mail-Kommunikation, digitalen Signaturen, sicheren Webseiten und VPNs, eingesetzt wird. Eine gut gestaltete PKI stellt sicher, dass digitale Identitäten vertrauenswürdig und die übertragenen Daten sicher sind.