Was ist was: Public Key Infrastructure

Die wichtigsten PKI-Begriffe erklärt, kurz und knapp

Wenn es um das Thema Sicherheit geht, hat eine Public Key Infrastructure (PKI) in vielen Anwendungsfällen die Nase vorn. Eine PKI ermöglicht die sichere Identifikation und Authentifikation und gewährleistet Vertraulichkeit sowie Datenintegrität bei der Nutzung elektronischer Services.

Starke Authentifizierung, Datenverschlüsselung und digitale Signaturen sind die wesentlichen Funktionen, die mit einer PKI umgesetzt werden. Diese Sicherheitsmechanismen ermöglichen den sicheren Zutritt und Zugriff auf physische und digitale Ressourcen und gewährleisten die sichere Kommunikation zwischen Menschen, Software und Geräten.

Die wichtigsten PKI-Begriffe erklärt – kurz und knapp

Eine PKI besteht typischerweise aus Richtlinien, Standards, Hardware und Software, die zusammenspielen, um digitale Zertifikate erstellen, verteilen, widerrufen und verwalten zu können.

Wir erklären die wichtigsten PKI-Begriffe kurz und knapp.

Was ist ein digitales Zertifikat

Ein digitales Zertifikat ist ein Datensatz, mit dem sich Eigenschaften von Personen oder Objekten mittels kryptographischer Verfahren bestätigen lassen. Weit verbreitet sind sogenannte X.509-Zertifikate, die für sichere Übertragungsprotokolle wie HTTPS oder für das Verschlüsseln und digitale Unterschreiben von E-Mails eingesetzt werden. Ausgestellt wird ein digitales Zertifikat von einer Certificate Authority (CA) wie dem Nexus Certificate Manager.

Was ist eine Certificate Authority

Ohne Certificate Authority (CA), oder auch Zertifizierungsstelle, geht nichts bei einer Public Key Infrastructure. Sie ist das Herz einer PKI und stellt digitale Zertifikate aus. Die CA ermöglicht damit Funktionen wie die sichere Authentifizierung von Menschen und Geräten. Unternehmen können eine eigene CA betreiben und eigene digitale Zertifikate bereitstellen, oder sie können entsprechende Services nutzen.

 

Was ist eine Registration Authority

Digitale Zertifikate werden oft innerhalb einer hierarchisch aufgebauten PKI eingesetzt. Eine solche Struktur besteht aus einer obersten CA, der alle untergeordneten bzw. alle teilnehmenden Parteien vertrauen. Eine Registration Authority wird daher als untergeordnete CA oder Sub-CA bezeichnet und ist die Schnittstelle zwischen CA und Benutzer. Sie kann Anträge zur Ausstellung eines digitalen Zertifikats annehmen, überprüfen, genehmigen und für die Root-CA die Ausstellung digitaler Zertifikate für bestimmte Zwecke übernehmen.

Was macht die Certifcate Database

Die Zertifikatsdatenbank ist das „Gedächtnis“ der PKI, denn sie speichert unter anderem die erhaltenen Anträge der ausgestellten und widerrufenen Zertifikate.

Was ist eine Validation Authority

Eine PKI ermöglicht sichere Identifikation und starke Authentifikation. Daher ist es wichtig, dass sich der aktuelle Status eines digitalen Zertifikats möglichst in Echtzeit überprüfen lässt. Eine Validation Authority beziehungsweise ein Validierungsdienst ermöglicht genau das. Der Status eines digitalen Zertifikats kann mittels des sogenannten Online Certificate Status Protocol (OCSP) abgefragt werden.

Was ist eine Certificate Revocation List (CRL)

Digitale Zertifikate können korrumpiert oder die darin enthaltenen Informationen ungültig werden. Um die Sicherheit und Überprüfbarkeit der digitalen Zertifikate zu gewährleisten, können die vor Ablauf ihrer Gültigkeit widerrufenen Zertifikate in einer Certificate Revocation List (CRL) eingetragen und bereitgestellt werden. Der Nachteil einer CRL ist, dass große Datenmengen über das gesamte Netzwerk übertragen werden müssen und es zu einer Zeitverzögerung zwischen dem Widerruf und der Veröffentlichung der aktualisierten Liste kommen kann.

Wer sind Alice und Bob

Wenn die komplexen Begriffe rund um die Themen Kryptographie, Netzwerkprotokolle und Computersicherheit erklärt werden sollen, heißt es „Bühne frei!“ für Alice und Bob. Sie stehen für Sender und Empfänger einer Nachricht und sind erstmals 1978 in der Schrift „A Method for Obtaining Digital Signatures and Public-Key Cryptosystems“ von Ronald L. Rivest, Adi Shamir und Leonard M. Adleman in Erscheinung getreten.