Public Key Infrastructure (PKI): Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „Eine Public Key Infrastruktur (kurz PKI) beschreibt ein hierarchisches System zur Ausstellung, Verteilung und Prüfung von digitalen Zertifikaten. Digitale Zertifikate ermöglichen eine vertrauenswürdige Zuordnung von Entitäten zu öffentlichen Schlüsseln. Die PKI umfasst den Betrieb vertrauenswürdiger IT-Systeme, Prozesse und Richtlinien. Das grundlegende Prinzip einer Verschlüsselung innerhalb einer PKI ist die asymmetrische Verschlüsselung. D…“) |
Keine Bearbeitungszusammenfassung |
||
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
Eine Public Key Infrastruktur (kurz PKI) beschreibt ein hierarchisches System zur Ausstellung, | Eine Public Key Infrastruktur (kurz PKI) beschreibt ein hierarchisches System zur Ausstellung, | ||
Verteilung und Prüfung von digitalen Zertifikaten. Digitale Zertifikate ermöglichen eine | Verteilung und Prüfung von digitalen Zertifikaten. | ||
vertrauenswürdige Zuordnung von Entitäten zu öffentlichen Schlüsseln. Die PKI umfasst den | Digitale Zertifikate ermöglichen eine vertrauenswürdige Zuordnung von Entitäten zu öffentlichen Schlüsseln. Die PKI umfasst den Betrieb vertrauenswürdiger IT-Systeme, Prozesse und Richtlinien. | ||
Betrieb vertrauenswürdiger IT-Systeme, Prozesse und Richtlinien. | |||
Das grundlegende Prinzip einer Verschlüsselung innerhalb einer PKI ist die asymmetrische | Das grundlegende Prinzip einer Verschlüsselung innerhalb einer PKI ist die asymmetrische | ||
Verschlüsselung. Dabei wird für jeden Kommunikationspartner einer sicheren | Verschlüsselung. Dabei wird für jeden Kommunikationspartner einer sicheren | ||
Zeile 14: | Zeile 14: | ||
Datenstrom mit dem privaten Schlüssel digital signiert werden. Mit dem öffentlichen | Datenstrom mit dem privaten Schlüssel digital signiert werden. Mit dem öffentlichen | ||
Schlüssel kann die Integrität der Nachricht verifiziert werden. | Schlüssel kann die Integrität der Nachricht verifiziert werden. | ||
Ein digitales Zertifikat beinhaltet den öffentlichen Schlüssel eines eben beschriebenen | Ein digitales Zertifikat beinhaltet den öffentlichen Schlüssel eines eben beschriebenen | ||
Schlüsselpaares sowie weitere Angaben wie die Zertifizierungsstelle, den Inhaber oder die | Schlüsselpaares sowie weitere Angaben wie die Zertifizierungsstelle, den Inhaber oder die | ||
Zeile 24: | Zeile 25: | ||
sicheren Austausch zu ermöglichen und gewährleisten werden sogenannte Public Key | sicheren Austausch zu ermöglichen und gewährleisten werden sogenannte Public Key | ||
Infrastrukturen gebildet. | Infrastrukturen gebildet. | ||
Bei einer PKI (Hierarchie von Zertifikaten) wird ein Wurzelzertifikat (Root-Zertifikat) mit | Bei einer PKI (Hierarchie von Zertifikaten) wird ein Wurzelzertifikat (Root-Zertifikat) mit | ||
zugehörigem Schlüsselpaar bei einer für alle Teilnehmer vertrauenswürdigen Stelle, einer | zugehörigem Schlüsselpaar bei einer für alle Teilnehmer vertrauenswürdigen Stelle, einer | ||
Zeile 43: | Zeile 45: | ||
Zertifikate der Stammzertifizierungsstellen werden direkt mit installiert und müssen nicht | Zertifikate der Stammzertifizierungsstellen werden direkt mit installiert und müssen nicht | ||
unsicher heruntergeladen werden. | unsicher heruntergeladen werden. | ||
Zertifikate sind zeitlich begrenzt – je näher an der Stammzertifizierungsstelle, desto länger. | Zertifikate sind zeitlich begrenzt – je näher an der Stammzertifizierungsstelle, desto länger. | ||
Zertifikate werden bei Ausstellung auf Listen in Log-Servern aufgenommen und können so | Zertifikate werden bei Ausstellung auf Listen in Log-Servern aufgenommen und können so | ||
Zeile 49: | Zeile 52: | ||
Gültigkeit prüfen. Über die Log-Server können Zertifikate bei Verlust bzw. Kompromittierung | Gültigkeit prüfen. Über die Log-Server können Zertifikate bei Verlust bzw. Kompromittierung | ||
des privaten Schlüssels widerrufen und gesperrt werden. | des privaten Schlüssels widerrufen und gesperrt werden. | ||
== Quellen == |
Aktuelle Version vom 22. Februar 2024, 14:01 Uhr
Eine Public Key Infrastruktur (kurz PKI) beschreibt ein hierarchisches System zur Ausstellung, Verteilung und Prüfung von digitalen Zertifikaten. Digitale Zertifikate ermöglichen eine vertrauenswürdige Zuordnung von Entitäten zu öffentlichen Schlüsseln. Die PKI umfasst den Betrieb vertrauenswürdiger IT-Systeme, Prozesse und Richtlinien.
Das grundlegende Prinzip einer Verschlüsselung innerhalb einer PKI ist die asymmetrische Verschlüsselung. Dabei wird für jeden Kommunikationspartner einer sicheren Kommunikation ein Schlüsselpaar erstellt. Dieses Paar besteht aus einem öffentlichen sowie privaten Schlüssel. Während der öffentliche Schlüssel frei verfügbar ist und jedem mitgeteilt werden kann, muss der private Schlüssel zwingend geheim sein und bleiben. Der Verlust des privaten Schlüssels führt zu einer Kompromittierung der Kommunikation und der Erlöschung der Vertrauenswürdigkeit des Zertifikates. Beide Schlüssel werden so generiert, dass ein Datenstrom, der mit dem öffentlichen Schlüssel verschlüsselt wurde, nur mit dem dazugehörigen privaten Schlüssel entschlüsselt werden kann. Des Weiteren kann ein Datenstrom mit dem privaten Schlüssel digital signiert werden. Mit dem öffentlichen Schlüssel kann die Integrität der Nachricht verifiziert werden.
Ein digitales Zertifikat beinhaltet den öffentlichen Schlüssel eines eben beschriebenen Schlüsselpaares sowie weitere Angaben wie die Zertifizierungsstelle, den Inhaber oder die Gültigkeit. Vor dem Beginn der Kommunikation tauschen beide Partner ihre Zertifikate aus und können damit die Nachrichten an den Partner mit seinem öffentlichen Schlüssel verschlüsseln und verifizieren. Allerdings können Zertifikate in einer Form manipuliert werden, in der unter anderem der öffentliche Schlüssel gegen einen Schlüssel des Angreifers getauscht wird. Für den sicheren Austausch der Zertifikate müssen sich die Kommunikationspartner kennen und einen sicheren Weg für den Tausch finden. Um den sicheren Austausch zu ermöglichen und gewährleisten werden sogenannte Public Key Infrastrukturen gebildet.
Bei einer PKI (Hierarchie von Zertifikaten) wird ein Wurzelzertifikat (Root-Zertifikat) mit zugehörigem Schlüsselpaar bei einer für alle Teilnehmer vertrauenswürdigen Stelle, einer Certificate Authority (CA), erstellt. Dieses Wurzelzertifikat wird als Vertrauensanker verwendet. Weitere Zertifikate in dieser PKI werden mit dem zum Wurzelzertifikat gehörigen privaten Schlüssel signiert. Eine solche Signatur wird nur erstellt, wenn alle von der CA festgelegten Anforderungen erfüllt wurden. Diese beinhalten einen Nachweis der Identität und einer sicheren Generierung bzw. Speicherung dessen privaten Schlüssels. Dabei können Ketten von Zertifizierungsstellen gebildet werden. Dies bedeutet, dass nicht jedes Zertifikat von der Stammzertifizierungsstelle signiert werden muss. Es können private Schlüssel verwendet werden, deren zugehörige Zertifikate mit dem privaten Schlüssel des Wurzelzertifikats signiert wurde. Diese Stellen nennt man auch Zwischenzertifizierungsstelle, welche sich durch das Setzen bzw. Nicht-Setzen eines Bits innerhalb des Zertifikates auszeichnen. Somit kann eine beliebig lange Kette von Zertifizierungsstellen gebildet werden – beginnen muss diese allerdings immer bei einer Stammzertifizierungsstelle. Stellt sich nur die Frage wie die Stammzertifizierungsstelle verifiziert und deren Zertifikat sicher übertragen werden kann. Dieses Problem wurde einfach gelöst, indem diese Zertifikate mit dem Betriebssystem oder dem Browser ausgeliefert werden. D.h. die Zertifikate der Stammzertifizierungsstellen werden direkt mit installiert und müssen nicht unsicher heruntergeladen werden.
Zertifikate sind zeitlich begrenzt – je näher an der Stammzertifizierungsstelle, desto länger. Zertifikate werden bei Ausstellung auf Listen in Log-Servern aufgenommen und können so zentrale eingesehen werden. Der Inhaber verfügt so über einen Überblick seiner auf ihn laufenden Zertifikaten und der Endbenutzer kann so die rechtmäßige Ausstellung und Gültigkeit prüfen. Über die Log-Server können Zertifikate bei Verlust bzw. Kompromittierung des privaten Schlüssels widerrufen und gesperrt werden.