Was ist PKI?
Als Public Key Infrastruktur (PKI) bezeichnet man ein System, welches es ermöglicht digitale Zertifikate zu erzeugen, zu verteilen und zu prüfen. Diese Zertifikate dienen als digitale Identität für Personen und Maschinen und werden zur Absicherung computergestützter Kommunikation verwendet.
Der zu Grunde liegende Gedanke ist der folgende: Mit Hilfe eines asymmetrischen Kryptosystems können Nachrichten im Internet signiert und verschlüsselt werden. Das Signieren garantiert, dass die Nachricht in dieser Form wirklich vom angegebenen Absender stammt. Allerdings benötigt man hierzu den Public-Key des Absenders. Dieser könnte z. B. per E-Mail versendet werden. Es stellt sich genau an diesem Punkt aber die Frage, wie sichergestellt werden kann, dass es sich tatsächlich um den Schlüssel des Absenders handelt und nicht um die Fälschung eines Be-trügers. Hierzu kann der zu verschickende Schlüssel selbst wieder mit einem vertrauenswürdigen Schlüssel signiert sein. Auf diese Weise lässt sich eine Hierarchie aus vertrauenswürdigen Institutionen aufbauen. Auf die Echtheit der Schlüssel der obersten Institutionen dieser Hierarchie muss man sich aber verlassen können.
Wesentliche Bestandteile einer PKI sind:
- Digitale Zertifikate: Digital signierte elektronische Daten, die sich zum Nachweis der Echtheit von Objekten verwenden lassen.
- Zertifizierungsstelle (Certificate Authority, CA): Organisation, welche das CA-Zertifikat bereitstellt und die Signatur von Zertifikatsanträgen übernimmt.
- Registrierungsstelle (Registration Authority, RA): Organisation, bei der Personen Zertifikate beantragen können. Diese prüft die Richtigkeit der Daten im gewünschten Zertifikat und genehmigt den Zertifikatsantrag der dann durch die Zertifizierungsstelle signiert wird.
- Zertifikatsperrliste (Certificate Revocation List): Eine Liste mit Zertifikaten die vor Ablauf der Gültigkeit zurückgezogenen wurden z.B. weil das Schlüsselmaterial kompromittiert wurde. Prinzipell muss eine PKI immer eine Zertifikatsstatusprüfung anbieten. Hierbei können jedoch neben der CRL (Offline-Statusprüfung) auch s.g. Online-Statusprüfungen wie OCSP zum Einsatz kommen.
- Verzeichnisdienst: ein durchsuchbares Verzeichnis, welches ausgestellte Zertifikate enthält, meist ein LDAP-Server, seltener ein X.500-Server.
- Dokumente: Eine PKI führt eines oder mehrere Dokumente, in denen die Arbeitsprinzipien der PKI beschrieben sind. Kernpunkte sind der Registrierungsprozess, Handhabung des Secret-Key-Materials, zentrale oder dezentrale Schlüsselerzeugung, technischer Schutz der PKI-Systeme sowie evtl. rechtliche Zusicherungen. In X.509-Zertifikaten kann das CPS in den Extensions eines Zertifikates verlinkt werden. Nachfolgende Dokumente sind teilweise üblich.
- CP (Certificate Policy): In diesem Dokument beschreibt die PKI ihr Anforderungsprofil an ihre eigene Arbeitsweise. Es dient Dritten zur Analyse der Vertrauenswürdigkeit.
- CPS (Certificate Practice Statement): Hier wird die konkrete Umsetzung der Anforderungen in die PKI beschrieben. Dieses Dokument beschreibt die Umsetzung der CP.
- PDS (Policy Disclosure Statement): Dieses Dokument ist ein Auszug aus dem CPS, falls das CPS nicht veröffentlich werden soll.
Eine PKI bietet ein hierarchisches Gültigkeitsmodell an. Wird einer Zertifizierungsstelle vertraut, wird damit allen von ihr signierten Zertifikaten auch vertraut. Da eine CA untergeordnete CAs haben kann (Mehrstufigkeit), wird auch allen untergeordneten CAs vertraut.