Public Key Infrastructure (PKI)

Aus IT-Forensik Wiki

Eine Public Key Infrastruktur (kurz PKI) beschreibt ein hierarchisches System zur Ausstellung, Verteilung und Prüfung von digitalen Zertifikaten. Digitale Zertifikate ermöglichen eine vertrauenswürdige Zuordnung von Entitäten zu öffentlichen Schlüsseln. Die PKI umfasst den Betrieb vertrauenswürdiger IT-Systeme, Prozesse und Richtlinien.

Das grundlegende Prinzip einer Verschlüsselung innerhalb einer PKI ist die asymmetrische Verschlüsselung. Dabei wird für jeden Kommunikationspartner einer sicheren Kommunikation ein Schlüsselpaar erstellt. Dieses Paar besteht aus einem öffentlichen sowie privaten Schlüssel. Während der öffentliche Schlüssel frei verfügbar ist und jedem mitgeteilt werden kann, muss der private Schlüssel zwingend geheim sein und bleiben. Der Verlust des privaten Schlüssels führt zu einer Kompromittierung der Kommunikation und der Erlöschung der Vertrauenswürdigkeit des Zertifikates. Beide Schlüssel werden so generiert, dass ein Datenstrom, der mit dem öffentlichen Schlüssel verschlüsselt wurde, nur mit dem dazugehörigen privaten Schlüssel entschlüsselt werden kann. Des Weiteren kann ein Datenstrom mit dem privaten Schlüssel digital signiert werden. Mit dem öffentlichen Schlüssel kann die Integrität der Nachricht verifiziert werden.

Ein digitales Zertifikat beinhaltet den öffentlichen Schlüssel eines eben beschriebenen Schlüsselpaares sowie weitere Angaben wie die Zertifizierungsstelle, den Inhaber oder die Gültigkeit. Vor dem Beginn der Kommunikation tauschen beide Partner ihre Zertifikate aus und können damit die Nachrichten an den Partner mit seinem öffentlichen Schlüssel verschlüsseln und verifizieren. Allerdings können Zertifikate in einer Form manipuliert werden, in der unter anderem der öffentliche Schlüssel gegen einen Schlüssel des Angreifers getauscht wird. Für den sicheren Austausch der Zertifikate müssen sich die Kommunikationspartner kennen und einen sicheren Weg für den Tausch finden. Um den sicheren Austausch zu ermöglichen und gewährleisten werden sogenannte Public Key Infrastrukturen gebildet.

Bei einer PKI (Hierarchie von Zertifikaten) wird ein Wurzelzertifikat (Root-Zertifikat) mit zugehörigem Schlüsselpaar bei einer für alle Teilnehmer vertrauenswürdigen Stelle, einer Certificate Authority (CA), erstellt. Dieses Wurzelzertifikat wird als Vertrauensanker verwendet. Weitere Zertifikate in dieser PKI werden mit dem zum Wurzelzertifikat gehörigen privaten Schlüssel signiert. Eine solche Signatur wird nur erstellt, wenn alle von der CA festgelegten Anforderungen erfüllt wurden. Diese beinhalten einen Nachweis der Identität und einer sicheren Generierung bzw. Speicherung dessen privaten Schlüssels. Dabei können Ketten von Zertifizierungsstellen gebildet werden. Dies bedeutet, dass nicht jedes Zertifikat von der Stammzertifizierungsstelle signiert werden muss. Es können private Schlüssel verwendet werden, deren zugehörige Zertifikate mit dem privaten Schlüssel des Wurzelzertifikats signiert wurde. Diese Stellen nennt man auch Zwischenzertifizierungsstelle, welche sich durch das Setzen bzw. Nicht-Setzen eines Bits innerhalb des Zertifikates auszeichnen. Somit kann eine beliebig lange Kette von Zertifizierungsstellen gebildet werden – beginnen muss diese allerdings immer bei einer Stammzertifizierungsstelle. Stellt sich nur die Frage wie die Stammzertifizierungsstelle verifiziert und deren Zertifikat sicher übertragen werden kann. Dieses Problem wurde einfach gelöst, indem diese Zertifikate mit dem Betriebssystem oder dem Browser ausgeliefert werden. D.h. die Zertifikate der Stammzertifizierungsstellen werden direkt mit installiert und müssen nicht unsicher heruntergeladen werden.

Zertifikate sind zeitlich begrenzt – je näher an der Stammzertifizierungsstelle, desto länger. Zertifikate werden bei Ausstellung auf Listen in Log-Servern aufgenommen und können so zentrale eingesehen werden. Der Inhaber verfügt so über einen Überblick seiner auf ihn laufenden Zertifikaten und der Endbenutzer kann so die rechtmäßige Ausstellung und Gültigkeit prüfen. Über die Log-Server können Zertifikate bei Verlust bzw. Kompromittierung des privaten Schlüssels widerrufen und gesperrt werden.

Quellen