Public Key Infrastructure, allgemein abgekürzt als PKIist zu einer zentralen Komponente der Sicherheit von Online-Kommunikation und -Transaktionen geworden. Aber was genau macht dieses wichtige Sicherheitsframework aus?
Im Wesentlichen bezieht sich eine Public-Key-Infrastruktur auf Richtlinien, Verfahren, Technologien und Komponenten, die den sicheren elektronischen Transfer von Informationen, Transaktionen und Kommunikation zwischen Entitäten wie Einzelpersonen, Geräten und Systemen ermöglichen. Ziel ist es, dies durch kryptografische Mechanismen zu erreichen, um Vertraulichkeit, Integrität, Authentifizierung und Nichtabstreitbarkeit zu gewährleisten.
Die zentrale Prämisse beruht auf asymmetrische Kryptographie, insbesondere die Public-Key-Verschlüsselung, die auf einem mathematisch verknüpften kryptografischen Schlüsselpaar basiert – einem privaten und einem öffentlichen Schlüssel. Diese Schlüssel verschlüsseln und entschlüsseln Daten so, dass nur der andere entsprechende Schlüssel auf den Inhalt zugreifen kann. Mehr dazu später. Betrachten wir zunächst die Kernkomponenten, die eine vollständige PKI System funktionieren.
Die Hauptkomponenten eines PKI Ökosystem
Ein funktionales PKI besteht aus einer Kombination technischer, organisatorischer und verfahrenstechnischer Elemente.
Zertifizierungsstellen (CAs)
CAs bilden die Grundlage für PKI. Sie stellen digitale Identitätszertifikate aus, widerrufen und erneuern sie. Ein digitales Zertifikat enthält neben seinem öffentlichen Schlüssel auch Informationen über eine Entität. Im Wesentlichen bindet das digitale Zertifikat ein kryptografisches Schlüsselpaar, das zum Verschlüsseln der Kommunikation verwendet wird, an eine validierte Identität, zu der das Schlüsselpaar gehört. Die Zertifizierungsstellen, wie z. B. SSL.com, überprüfen die Details ausführlich, bevor sie diese Zertifikate zur Verteilung digital signieren.
Ein Zertifikat und die Zertifizierungsstelle, die es ausstellt, werden von den Benutzern und Systemen, die für eine sichere Kommunikation auf die Zertifikate angewiesen sind, als vertrauenswürdig eingestuft. Dadurch entsteht Vertrauen, da die Empfänger erkennen, dass eine seriöse Zertifizierungsstelle den Zertifikatsinhaber validiert hat.
Vertrauen in Zertifizierungsstellen und Zertifikate
Der Begriff „Vertrauen“ im Zusammenhang mit Zertifizierungsstellen dreht sich um die Gewissheit, dass ein bestimmtes digitales Zertifikat legitim ist und dass die Entität, die das Zertifikat vorlegt, diejenige ist, die sie vorgibt zu sein. Dieses Vertrauensgerüst ist für die sichere Kommunikation im Internet von entscheidender Bedeutung, insbesondere für Aktivitäten wie Online-Banking, Einkaufen und vertrauliche Kommunikation, bei denen die Überprüfung der Authentizität einer Website oder eines Dienstes unerlässlich ist.
Öffentliches Vertrauen
Öffentliches Vertrauen umfasst Zertifikate, die von Zertifizierungsstellen ausgestellt werden, die von den wichtigsten Browserherstellern, Softwareentwicklern und Betriebssystemen allgemein anerkannt und automatisch als vertrauenswürdig eingestuft werden. Dieses Vertrauen entsteht, weil die Zertifizierungsstelle vor der Ausstellung eines Zertifikats strenge Richtlinien und Verfahren befolgt. So wird sichergestellt, dass die Entität, die das Zertifikat anfordert, legitim ist und das Recht hat, die betreffende Domäne zu verwenden, eine digitale Signatur mit einem bestimmten Namen anzuwenden oder auf andere Weise eine Identität darzustellen, die mit einer kryptografischen Funktion verknüpft ist.
Das öffentliche Vertrauen beruht auf den Richtlinien und Anforderungen eines Standardisierungsgremiums namens Certificate Authority Browser Forum oder CA / Browser-Forum. Das CA/Browser Forum ist ein freiwilliges Konsortium aus Zertifizierungsstellen, Internetbrowser-Anbietern und anderen interessierten Parteien, die Richtlinien für die Ausgabe und Verwaltung dieser öffentlich vertrauenswürdigen Zertifikate entwickeln. Die großen Browser-Hersteller und Betriebssystemhersteller entscheiden, welchen Zertifizierungsstellen sie vertrauen, und nehmen diese in ihre vertrauenswürdigen Stammzertifikatspeicher auf. Wenn eine Zertifizierungsstelle nicht in diesem Vertrauensspeicher enthalten ist, erhalten Benutzer möglicherweise eine Warnung, dass das Zertifikat nicht vertrauenswürdig ist.
Privates Vertrauen
Bei privatem Vertrauen handelt es sich um Zertifikate, die innerhalb eines geschlossenen Ökosystems ausgestellt werden, beispielsweise im Intranet eines Unternehmens oder in einer kontrollierten Umgebung, in der die beteiligten Entitäten eine direkte Beziehung oder Vertrauensbeziehung zueinander haben. In diesen Szenarien kann eine Organisation als ihre eigene Zertifizierungsstelle fungieren (Private CA.) und stellt Zertifikate für seine Benutzer, Geräte oder Dienste aus. Diese Zertifikate werden von der Außenwelt nicht unbedingt anerkannt, sind aber innerhalb des Ökosystems der Organisation uneingeschränkt gültig.
Abgrenzung zwischen öffentlichem und privatem Vertrauen
Die wichtigste Abgrenzung zwischen öffentlichem und privatem Vertrauen liegt im Umfang und der Anerkennung der ausgestellten Zertifikate. Die Stammzertifikate öffentlich vertrauenswürdiger Zertifizierungsstellen sind in den vertrauenswürdigen Speichern der wichtigsten Browser und Betriebssysteme enthalten, sodass ihre ausgestellten Zertifikate ohne zusätzliche Konfiguration automatisch von einem breiten Publikum als vertrauenswürdig eingestuft werden.
Im Gegensatz dazu erfordern Zertifikate, die von einer privaten Zertifizierungsstelle ausgestellt wurden, eine manuelle Vertrauenskonfiguration in allen Systemen außerhalb des privaten Netzwerks, die diesen Zertifikaten vertrauen möchten. Diese werden vom Internet im weiteren Sinne nicht automatisch als vertrauenswürdig eingestuft und werden hauptsächlich für interne Zwecke verwendet, bei denen die Organisation Kontrolle über die vertrauenswürdigen Parteien hat.
Sowohl öffentliche als auch private Vertrauensmodelle spielen eine entscheidende Rolle für die Internetsicherheit und die interne Sicherheit von Organisationen. Je nach erforderlichem Umfang an Vertrauen und Anerkennung dienen sie jeweils unterschiedlichen Anforderungen.
PKI Hierarchie
Es gibt zwei Kategorien von Zertifizierungsstellen. Die Stammzertifizierungsstellen bilden die Spitze der Hierarchie, während Zwischenzertifizierungsstellen unter ihnen Zertifikate verteilen.
Registrierungsbehörden (RAs)
RAs überprüfen die Identität und richten den Registrierungsprozess ein, bevor sie signierte Zertifikate von CAs anfordern. RAs stellen sicher, dass nur legitime Stellen Zertifikate erhalten. PKI Richtlinien. Die umfassenden Identitätsprüfungen vor der Zertifikatserstellung stärken das Vertrauen aller Beteiligten.
Öffentliche und private kryptografische Schlüssel
Dieses mathematisch verknüpfte Paar ermöglicht die inneren kryptographischen Vorgänge von PKI. Mit dem öffentlichen Schlüssel verschlüsselte Daten bleiben ohne den entsprechenden privaten Schlüssel zur Entschlüsselung unzugänglich. Dadurch bleiben die Daten bei der Übertragung vertraulich. Mit einem privaten Schlüssel signierte digitale Signaturen können mit dem entsprechenden öffentlichen Schlüssel zur Identitätsauthentifizierung überprüft werden.
Zum Verständnis der verschiedenen Arten von PKI Implementierungen und welche für Ihre Organisation geeignet sein könnten, finden Sie in unserem Leitfaden auf Privat gegen Öffentlich PKI Infrastruktur.
Digitale Zertifikate
Das digitale Zertifikat enthält identifizierende Details wie Name, Organisation, Standort und den zugehörigen öffentlichen Schlüssel. Das Zertifikat trägt außerdem die digitale Signatur der ausstellenden Zertifizierungsstelle zur Gewährleistung der gebundenen Identität. Zertifikate entsprechen dem internationalen Standard X.509, um systemübergreifende Interoperabilität zu ermöglichen.
Zertifikatsperrliste (CRL)
Die CRL enthält eine Liste der Seriennummern von Zertifikaten, die von den jeweiligen Zertifizierungsstellen widerrufen wurden und auf kompromittierte Identitäten hinweisen. Die Entitäten überprüfen die CRLs, um sicherzustellen, dass sie nur mit Zertifikaten kommunizieren, die noch gültig sind. Diese zentralisierte Referenzliste erleichtert die effiziente Verteilung widerrufener Zertifikate.
Weitere Informationen zur Funktionsweise des Zertifikatswiderrufs und zur Aufrechterhaltung der Sicherheit in Unternehmen finden Sie in unserem umfassenden Leitfaden zu Zertifikatsperrlisten (CRL).
Was bedeutet PKI Benutzt für?
PKI ist nicht nur ein theoretischer Rahmen – es ermöglicht mehrere gängige Technologien:
- Sichere Webaktivität: HTTPS, SSL/TLS Protokolle, die sichere Verbindungen zwischen Browsern und Servern herstellen, verwenden PKI für die zugrunde liegende Verschlüsselung auf Basis digitaler Zertifikate und Public-Key-Kryptografie.
- E-Mail-Verschlüsselung und -Signierung: Der Austausch sensibler Informationen über E-Mails nutzt PKI Standards durch Zertifikatstypen wie S/MIME (Secure/Multipurpose Internet Mail Extensions) zum Verschlüsseln und Signieren von E-Mails.
- Codesignaturzertifikate: Wendet eine kryptografische Signatur auf den Softwarecode an, die ihn gegen unbefugte Änderungen schützt und den Herausgeber identifiziert.
- Authentifizierung und Zugriffskontrolle: Zertifikatsbasierte Authentifizierungsmechanismen für den VPN-Zugang in Unternehmen und Gebäudezugangssysteme bieten weitaus mehr Sicherheit als ID-Passwort-Protokolle durch PKI Methoden.
- Blockchain-Transaktionen: Alle Transaktionen in Blockchain-Ledgern beinhalten digitale Währungstransfers durch Signieren mit asymmetrischen Kryptografieschlüsseln, aktiviert durch PKI Prinzipien zur mathematischen Verknüpfung zwischen Schlüsseln.
Da die digitale Vernetzung branchenübergreifend weltweit zunimmt, PKI wird ein grundlegendes Element bleiben, das Datenschutz, Vertrauen und Sicherheit durch bestehende Standards rund um Zertifikate, Identitätsmanagement und Verschlüsselung ermöglicht.
Wie schneidet PKI Arbeit?
Nachdem wir nun die Schlüsselkomponenten kennen, PKIkönnen wir besprechen, wie alle diese Komponenten zusammenarbeiten.
- Schlüsselpaargenerierung: Jede Entität erstellt ein öffentliches und privates Schlüsselpaar.
- Zertifikatsausstellung: Eine vertrauenswürdige Zertifizierungsstelle (CA) überprüft die Identität der Entität und stellt ein digitales Zertifikat mit dem öffentlichen Schlüssel aus.
- Vertrieb: Öffentliche Schlüssel und Zertifikate werden verteilt, während private Schlüssel geheim bleiben und vom Zertifikatsinhaber sicher aufbewahrt werden sollten.
- Verschlüsselung: Absender verwenden den öffentlichen Schlüssel des Empfängers, um Nachrichten zu verschlüsseln.
- Decryption: Empfänger verwenden ihren privaten Schlüssel, um Nachrichten zu entschlüsseln.
- Digitale Signaturen: Absender signieren Nachrichten mit ihrem privaten Schlüssel, die von anderen mit dem öffentlichen Schlüssel des Absenders überprüft werden können.
- Zertifikatsvalidierung: Entitäten überprüfen Zertifikate mit dem öffentlichen Schlüssel der Zertifizierungsstelle, bevor sie ihnen vertrauen.
Dieses System ermöglicht sichere Kommunikation, Authentifizierung und Nichtabstreitbarkeit in digitalen Umgebungen.
Die Wichtigkeit von PKI
Bei SSL.com haben wir den immensen Wert aus erster Hand gesehen PKI bietet die Sicherheit bei der Übertragung sensibler Daten. Als führende öffentlich vertrauenswürdige Zertifizierungsstelle sind wir weiterhin bestrebt, PKI Standards durch robuste Identitätsprüfung, schnelle Zertifikatsausstellung und proaktive Infrastrukturüberwachung.
Mit PKI Da diese Elemente tief in die moderne Cybersicherheit und digitale Identität integriert sind, sehen wir sie in der Zukunft als zentrale Rolle für Datenschutz und Integrität in der expandierenden digitalen Wirtschaft.