Sicherheitsinfrastruktur / PKI (public key infrastructure)

Unter einer Public Key Infrastructure (PKI) versteht man eine Umgebung, in der Services zur Verschlüsselung und zur digitalen Signatur auf Basis von Public-Key-Verfahren bereitgestellt werden. Bei dieser Sicherheitsstruktur wird der öffentliche Schlüssel eines Zertifikatnehmers (ZN) mit den entsprechenden Identifikationsmerkmalen durch eine digitale Signatur von einer Zertifizierungsinstanz (CA) autorisiert.

Die Instanzen der Sicherheitsinfrastruktur sind für das gesamte Schlüssel-Management zuständig. Der Einsatz von PKI bietet eine vertrauenswürdige Netzwerkumgebung, in der Kommunikation vor unberechtigtem Zugriff durch Verschlüsselung geschützt und die Authentizität des Kommunikationspartners durch die digitale Signatur gewährleistet ist. Die verschiedenen Anwendungen der PKI sind kryptografisch geschützt. Dazu gehören der Schutz von E-Mail-Anwendungen, von Desktopsystemen und von webbasierten Anwendungen, von E-Commerce, sowie die Zugriffskontrollen und die sichere Kommunikation in Virtual Private Networks (VPN).

Die PKI nutzt zwei Schlüssel mit einer aktuell typischen Länge von 2048 Bit (Empfehlung BSI). Einen privaten, den nur der Besitzer und die Zertifizierungsstelle kennen und der auch nie ausgelesen oder verschickt wird, sowie einen öffentlichen Schlüssel, der dem jeweiligen Geschäftspartner bekannt gemacht werden muss.

wordle PKI 2

Die Komponenten der PKI

Die PKI-Architektur besteht aus den Instanzen Policy Certification Authority (PCA), Certification Authority (CA), Registration Authority (RA) und dem Zertifikatnehmer, die unterschiedliche Aufgaben realisieren. Darüber hinaus umfasst das PKI-Modell mehrere Funktionseinheiten wie das Key Management Center (KMC), die Time Stamping Authority (TSA) und das Key Recovery Center (KRC).

Der ausgezeichnete Teil der PKI wird als Trust Center (TC) bezeichnet.

Eine Sicherheitsinfrastruktur muss für den Endbenutzer transparent sein, die genauen Abläufe des Schlüssel- und Zertifikatmanagements müssen vor dem Benutzer verborgen bleiben. Er sollte aber in der Lage sein, auf einfache Art und Weise Dienst und Services zu nutzen.

 

Gibt es Schwachpunkte? Viele...

Nur mal ein Beispiel: Die fehlende Interoperabilität zwischen PKI-Plattformen unterschiedlicher Hersteller ist derzeit die markanteste Schwachstelle. Die wenigen Standards reichen für ein Zusammenwirken dieser Plattformen nicht aus. Das Ergebnis: Die von einer Herstellerlösung ausgestellten Zertifikate werden von anderen PKI-Lösungen nicht unterstützt. Aber Schwachpunkte gibt es auch innerhalb einer PKI, beispielsweise bei der CA.

Nicht jeder Zertifizierungsdienst ist zwangsläufig eine Autorität, und schon gar nicht für jede Anwendung, die innerhalb der PKI abgewickelt werden soll. Der Autorität trauen kann ein Unternehmen nur, wenn sie der CA für die spezifische Anwendung von qualifizierter und neutraler Stelle attestiert wurde. Nur genau daran fehlt es heute in der Regel den Zertifizierungsdiensten. Aber das ist längst nicht die einzige Achillesferse innerhalb der CA.

Die CA kann zudem nicht in jedem Fall ihre Autorität bei der Zertifikatserstellung in die Waagschale werfen. Beispielsweise bei SSL-Zertifikaten (Secure Socket Layer). Die beiden wichtigsten Bestandteile darin sind der Name des Schlüsselhalters und der DNS-Name des Servers (Domain Name Service). Beide werden zwar von der CA geprüft. Die Prüfung, ob der Name des Schlüsselhalters zum Server-Namen passt, hat sich aber in den CAs noch nicht so richtig etabliert. Dadurch ist die Autorität des SSL-Server-Zertifikats nicht in jedem Fall gewährleistet.

Auch bei der aktuellen Konstellation von Registrierung und Zertifizierung gibt es noch Probleme. Es passt eben nur dann, wenn RA und CA als eigenständige Autoritäten operieren. Das ist in Deutschland nach wie vor eher die Ausnahme. Die Erklärung ist einfach: Werden RA und CA unter einem Dach betrieben, kann der Anbieter natürlich mit Blick auf das eigene Geschäft Zertifikate ohne peinlich genaue Prüfung auszustellen. An dieser Tatsache ändern auch vertragliche Zusicherung meist wenig.

Auch bei der Sicherheit der geheimen Schlüssel, von denen letztlich die Sicherheit der gesamten PKI abhängt, stehen einige Zertifizierungsdienste nicht hinreichend in der Pflicht. Hat der PKI-Teilnehmer nämlich erst einmal seinen geheimen Schlüssel, fehlt es oft an der laufenden Kontrolle, ob der Inhaber des geheimen Schlüssel auch weiterhin auch der berechtigte Schlüsselinhaber ist. Diese fehlende Kontrolle öffnet dem Schlüsselmissbrauch natürlich Tür und Tor oder hinterlässt bei den PKI-Teilnehmern zumindest Spuren großer Unsicherheit.

Gibt es Alternativen? Nein!

Aber es gibt viele, sehr gute PKI-Consultants, die Sie durch die großen Unsicherheiten / Herausforderungen eines PKI-Projektes führen.

 

 Firewall VPNPKI IPKI IIBYODIDMRansomwareRansomware

Interessiert an mehr Information? Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!!

Partner | Referenzen
  • 1_LOGO_FARSITE.png
  • sbb.gif
  • netcologne.gif
  • deutschepost.gif
  • gieseckedevrient.gif
  • CLAAS.png
  • hvb.jpg
  • 1_LOGO_SEMATICON.png
  • AIRBUS.png
  • TDT-AG.JPG
  • 1_LOGO_SSH.png
  • idRoboTica.png
  • VENTURETEC.png
  • 1_LOGO_Avalara.jpg
  • dlr.png
  • 1_LOGO_NEXIONA.png
  • vodafone.gif
  • BAYER.png
  • dekabank.gif
  • DEUTSCHE_BANK.png