Montag, 9. September 2019

Was bedeutet PKI?

PKI (Public-Key-Infrastruktur) ist eine Sicherheits-Infrastruktur, die bestimmte Dienste für einen sicheren Austausch von Daten zwischen Kommunikationspartnern bereitstellt.

Mit einer PKI können digitale Zertifikate auf ihre Echtheit und die Zugehörigkeit von öffentlichen Schlüsseln überprüft werden. Die PKI bedient sich der so genannten asymmetrischen Verschlüsselung, bei der ein Schlüsselpaar, bestehend aus einem öffentlichen Schlüssel (public key) und einem privaten Schlüssel (private key), für die Verschlüsselung der Daten verwendet wird.
Mit dem asymmetrischen Verschlüsselungsverfahren können Nachrichten in einem Netzwerk digital signiert und verschlüsselt werden.

Mit dem öffentlichen Schlüssel des Kommunikationspartners werden die Daten verschlüsselt. Der öffentliche Schlüssel ist somit für jeden verfügbar. Das Problem dabei ist, dass die Zugehörigkeit des öffentlichen Schlüssels zweifelsfrei überprüfbar sein muss. Genau diese Überprüfung übernimmt die PKI, indem sie so genannte digitale Zertifikate (stellen eine digitale Beglaubigung dar) ausstellen kann, mit denen sich die Authentizität des öffentlichen Schlüssels überprüfen lässt.

Ein digitales Zertifikate selbst wird durch eine digitale Signatur der Zertifizierungsstelle (engl. Certification Authority - abgekürzt mit CA) signiert und kann mit dem öffentlichen Schlüssel des Ausstellers überprüft werden. Für die Überprüfung der Authentizität des Ausstellers benötigt man wiederum ein Zertifikat. Es entsteht eine so genannte Zertifikatskette, die bis zu einem Root-Zertifikat führt. Betriebssysteme und Internet-Browser besitzen in der Regel eine Liste mit vertrauenswürdigen CA's, anhand derer sich dann die Echtheit von Zertifikaten überprüfen lässt.
Mit dem privaten Schlüssel kann der Kommunikationspartner die mit seinem dazugehörigen öffentlichen Schlüssel verschlüsselten Daten wieder entschlüsseln.
Es bedeuten:

Bild: PKI-Schema

  • CA: Certification Authority
    Organisation, die das CA-Zertifikat ausstellt und die Signatur von Zertifikats-Anträgen übernimmt.
  • RA: Registration Authority
    Organisation, bei der Personen, Maschinen oder auch untergeordnete Zertifizierungsstellen Zertifikate beantragen können. Diese prüft die Richtigkeit der Daten im gewünschten Zertifikat und genehmigt den Zertifikatsantrag, der dann durch die Zertifizierungsstelle signiert wird.
  • VA: Validation Authority
    Der Dienst, der die Überprüfung von Zertifikaten in Echtzeit durchführt.

Keine Kommentare:

Kommentar posten