Die Public Key Infrastructure (PKI) findet sich längst überall. Sie schützt Informationen, Personen und Geräte mit Hilfe von kryptografischen Schlüsseln und digitalen Zertifikaten. Dabei spielt sie für eine sichere Kommunikation im Internet eine genauso wichtige Rolle wie für geschützte Verbindungen im Internet der Dinge (IoT) oder digitale Signaturen von Dokumenten. Erfahren Sie hier, wie eine PKI funktioniert, wie sie aufgebaut ist, wo sie zum Einsatz kommt und welche Vorteile sie mit sich bringt.
Definition: Was ist PKI?
PKI steht als Abkürzung für Public Key Infrastructure. Mit einer PKI können Organisationen und Unternehmen ihre Daten im Internet sicher verschlüsseln, austauschen und signieren. Die Public-Key-Infrastruktur besteht dabei aus einem System von Prozessen und Technologien, über das sich digitale Zertifikate ausstellen, verteilen und prüfen lassen. Das wiederum ermöglicht die zuverlässige Authentifizierung der Identität von Benutzern, Geräten oder Diensten und bildet die Basis für sichere Verbindungen im Internet.
Wie funktioniert eine PKI-Infrastruktur?
Eine PKI funktioniert in der Regel über asymmetrische Verschlüsselungsprozesse bei der Datenübertragung. Hierfür nutzt sie ein Schlüsselpaar, das mithilfe komplexer Algorithmen verschlüsselt und entschlüsselt wird:
- Der öffentliche Schlüssel (Public Key) verifiziert den Absender einer Nachricht, ist auf Anfrage frei verfügbar und wird von einer Zertifizierungsstelle (CA) erstellt.
- Der private Schlüssel (Private Key) entschlüsselt die gesendete Nachricht.
Die Methode ist insgesamt vergleichbar mit einem öffentlich zugänglichen Briefkasten. Der Briefkasten an sich entspricht dem Public Key der PKI und der passende Schlüssel dem Private Key: Jeder kann einen Brief in den Kasten einwerfen, aber nur wer den passenden Schlüssel hat, kann ihn auch lesen. Eine PKI nutzt den öffentlichen Schlüssel also, um Daten zu verschlüsseln und den entsprechenden privaten Schlüssel für die Entschlüsselung.
Wie ist eine PKI aufgebaut?
Eine Public Key Infrastructure ähnelt im Aufbau einer mehrstufigen Sicherheitspyramide: Die Root Certificate Authority (CA) bildet dabei die Basis. Sie autorisiert alle untergeordneten Zertifizierungsstellen. Nach erfolgreicher Bestätigung der Identität erstellen die CAs die Zertifikate für die kryptografischen Schlüssel für Endgeräte und Nutzer.
„Typischerweise besteht eine PKI aus Richtlinien, Standards, Hardware und Software, um digitale Zertifikate zu erstellen, zu verteilen, zu widerrufen und zu verwalten“, erklärt Martin Furuhed, PKI-Experte beim Identitäts- und Sicherheitsunternehmen Nexus Group. „Die Kernkomponente einer PKI ist die Zertifizierungsstelle oder Certificate Authority (CA). Sie garantiert die Vertrauenswürdigkeit der digitalen Zertifikate.“
Zertifizierungsstelle (CA)
Die Zertifizierungsstelle (Certificate Authority, CA) ist eine vertrauenswürdige Instanz, die digitale Zertifikate ausstellt, speichert und signiert. Hierfür weist die CA jedem digitalen Zertifikat einen privaten Schlüssel zu und veröffentlicht den passenden öffentlichen Schlüssel. Auf Anfrage gewährt sie Zugriff auf den öffentlichen Schlüssel.
Registration Authority (RA)
Die Registrierungsstelle oder Registration Authority (RA) verifiziert die Identität eines Users oder Geräts. Erst nach erfolgreicher Verifizierung ist der Zugriff auf ein digitales Zertifikat möglich. Certification und Registration Authority sind häufig identisch, die RA kann aber auch eine separate Instanz sein.
Certificate Revocation List (CRL)
Die Certificate Revocation List, CRL oder Zertifikatswiderrufsliste enthält eine Sperrliste mit digitalen Zertifikaten, die eine CA vor ihrem ursprünglichen Ablaufdatum widerrufen hat. Dementsprechend spielen Certificate Revocation Lists eine entscheidende Rolle innerhalb der PKI. Die Zertifizierungsstelle erstellt ihre Widerrufsliste innerhalb der PKI und nur die CA, die ein Zertifikat ausgegeben hat, darf es auch widerrufen.
Während wir beispielsweise im Internet surfen, gleicht der Browser die CRL automatisch mit den digitalen Zertifikaten der jeweiligen Website ab. Trifft er dabei auf ein Zertifikat aus der Widerrufsliste, stuft er die Seite als nicht vertrauenswürdig ein und warnt vor der Nutzung.
Digitale Zertifikate
Keine PKI kommt ohne digitale Zertifikate aus. Sie bilden einen Hauptbestandteil der PKI-Infrastruktur und enthalten identifizierende Informationen, eine Seriennummer, das Ablaufdatum und die digitale Signatur der ausstellenden Certificate Authority. Die Kombination aus der CA-Signatur und dem öffentlichen Schlüssel macht das Zertifikat valide.
„Eine PKI soll einen öffentlichen Schlüssel eindeutig einer Person, einer Anwendung oder einem Gerät zuweisen. Die meisten PKIs verwenden dafür ein X.509-Zertifikat. Viele Programme unterstützen diesen Standard, beispielsweise E-Mail-Clients, Mail- und Web-Server oder Betriebssysteme“, erläutert Martin Furuhed, der bei Nexus für die Certificate Authority (CA) Nexus Certificate Manager zuständig ist.
Öffentliche und private Schlüssel
„In der Kryptografie ist ein Schlüssel eine Information für einen encodierten Algorithmus“, sagt Furuhed. „Der öffentliche und private Schlüssel werden als Paar erstellt. Sie sind mathematisch verknüpft und werden in symmetrischen und asymmetrischen Verschlüsselungsverfahren eingesetzt“.
„Der öffentliche Schlüssel ist allgemein zugänglich und nicht geheim. Den privaten Schlüssel kennt nur der Besitzer des Schlüssels. Werden Daten mit einem öffentlichen Schlüssel verschlüsselt, lassen sie sich nur mit dem dazugehörigen privaten Schlüssel decodieren. Wird eine Nachricht dagegen mit einem privaten Schlüssel signiert, dann verifiziert der dazugehörige öffentliche Schlüssel die Unterschrift. Die symmetrische Verschlüsselung verwendet den gleichen Schlüssel für die Ver- und Entschlüsselung“, so Furuhed.
Wofür werden Public-Key-Infrastrukturen verwendet?
Eine PKI erstellt und verwaltet vertrauenswürdige elektronische Identitäten für Personen, Dienste und Dinge, die eine starke Authentifizierung, Datenverschlüsselung und digitale Signaturen erfordern.
„Diese Sicherheitsmechanismen ermöglichen den sicheren Zutritt und Zugriff auf physische und digitale Ressourcen. Sie sorgen auch für eine sichere Kommunikation zwischen Menschen, Software und Geräten. Und sie machen das digitale Signieren von Dokumenten und Transaktionen erst möglich“, erklärt Furuhed.
Internet of Things (IoT)
Immer mehr vernetzte Geräte sammeln, speichern und übertragen sensible Daten über das Internet of Things (IoT). Dadurch sind sie grundsätzlich anfällig für Cyber-Attacken. Allein die Zahl der vernetzten Apparate kann die erforderliche IoT-Sicherheit zur Herausforderung machen. Es gibt verschiedene Arten, wie eine PKI Ihre IoT-Geräte schützen kann:
- Die zuverlässige Authentifizierung kommunizierender Geräte über digitale Zertifikate sichert diese vor unberechtigten Zugriffen und Datenverletzungen.
- Die PKI erleichtert die verschlüsselte Kommunikation zwischen Geräten.
- Zusätzlicher Schutz vor Abhören und Manipulation bei der Übertragung sensibler Daten
Insgesamt bietet eine Public Key Infrastructure also einen umfassenden Sicherheitsansatz für die Integrität und Vertraulichkeit von Daten in immer komplexeren IoT-Landschaften.
Digitale Signaturen
„Beim digitalen Signieren wird zuerst der sogenannte Hash-Wert des Dokuments oder der Transaktion berechnet. Dafür wird ein Algorithmus verwendet. Das Ergebnis ist quasi der digitale Fingerabdruck des Dateiinhalts. Der Hash-Wert wird anschließend mit dem privaten Schlüssel des Anwenders verschlüsselt und dem Dokument oder der Transaktion hinzugefügt. Das ist die digitale Signatur“, erklärt Martin Furuhed.
„Das digitale Zertifikat des Anwenders wird ebenfalls dem Dokument oder der Transaktion hinzugefügt. Die Signatur lässt sich mit dem enthaltenen öffentlichen Schlüssel entschlüsseln und der Hash-Wert des Dokuments berechnen. Wenn beide Resultate übereinstimmen, ist die Gültigkeit der Signatur und die Integrität des Dokuments bestätigt.“
E-Mail-Signatur und Verschlüsselung
E-Mails gehören schon jetzt zu den beliebtesten Kommunikationsmitteln weltweit und die Tendenz ist weiter steigend. Dasselbe gilt leider auch für E-Mail-Phishing und Datenlecks, die auf Phishing zurückzuführen sind. Die alltägliche Kommunikation kann zu einem enormen Risiko für die Datensicherheit eines Unternehmens und dadurch auch richtig teuer werden. Denn wenn ein Datenleck gleichzeitig ein Verstoß gegen die DSGVO bedeutet, drohen abgesehen vom Vertrauensverlust auch Strafen.
Eine konsequente End-to-End-Verschlüsselung über eine PKI kann sensible personenbezogene Daten schützen, indem die Absender ihre E-Mails und Dokumente signieren. Sie verschicken also verschlüsselte, authentifizierte E-Mails und schaffen Klarheit für die Empfänger. Eine Methode, die beispielsweise die Regierungen der USA und Deutschland in der Verwaltung einsetzen.
Eingeschränkter VPN-Zugang
Auch für VPN-Verbindungen gilt: Wenn Unternehmen sicherstellen wollen, dass niemand unberechtigt auf ihr Netzwerk zugreift, reicht die Kombination aus Benutzername und Kennwort nicht mehr aus. Eine mehrstufige oder starke Authentifizierung schützt VPN-Verbindungen auch bei Remote-Zugriffen und die digitalen Zertifikate einer PKI bieten genau das.
SSL/TLS-Zertifikate
SSL/TLS-Zertifikate sorgen für sichere Verbindungen zwischen Webservern und Browsern, indem sie die Datenübertragung auf Websites verschlüsseln. Sie gehören zum wohl größten Einsatzbereich für PKI-generierte Zertifikate: Das SSL//TLS-Protokoll sichert praktisch jede erdenkliche Datenübertragung ab – ob in den sozialen Medien oder beim Online-Shopping. Wir alle erkennen HTTPS-verschlüsselte Websites nicht nur am „S“ in der URL, sondern auch am Vorhängeschloss in der Browserleiste.
Vorteile einer Public Key Infrastruktur
Sei es für mehr Sicherheit in der Online-Kommunikation Ihres Unternehmens oder für eine ausgewachsene IoT-Anlage, PKI bietet folgende Vorteile:
- Authentifizierung: Eine zuverlässige Authentifizierung bildet eine Schlüsselfunktion in der PKI und für die Unternehmenssicherheit.
- Erhöhte Datensicherheit: PKI identifiziert und authentifiziert nicht nur Benutzer zuverlässig, sie verschlüsselt außerdem sensible Daten bei der Übertragung.
- Mehr Effizienz: Durch die vereinfachte und automatisierte Verwaltung von Schlüsseln und Benutzern bietet eine PKI-Infrastruktur mehr Sicherheit und vereinfacht gleichzeitig betriebliche Abläufe.
- Rationalisierte Zugangskontrolle: Die eindeutigen Identitäten einer PKI erleichtern die Verwaltung von Zugriffsberechtigungen für Benutzer und Geräte.
- Größere Skalierbarkeit: Ein Sicherheitssystem mit Public Key Infrastructure lässt sich flexibel skalieren.
- Kostengünstige Sicherheit: Die anfängliche Implementierung einer PKI hat ihren Preis, langfristig lohnt sich die Investition aber. Sie schützt vor unerwarteten Kosten durch Hackerangriffe und verringert den manuellen Aufwand für eine angemessene Cyber-Sicherheit.
Wann ist eine PKI erforderlich?
Eine PKI erhöht die Sicherheit von Netzen, der Datenübertragung oder mit dem Internet verbundenen Geräten und Applikationen erheblich. Sie schafft Datenvertraulichkeit sowie Informationsintegrität und bietet Datenzugangskontrolle. Dadurch bildet sie die Basis für die sichere Kommunikation im Internet und zwischen IoT-Geräten und -Plattformen.
Deshalb eignen sich PKIs für alle elektronischen Verwaltungs- und Geschäftsprozesse, die ein hohes Maß ein hohes Maß an Sicherheit erfordern: von der Integrität, Authentizität und Vertraulichkeit in der E-Mail-Kommunikation und IoT-Landschaften über die Anbindung von Remote-Arbeitsplätzen oder Geräten bis hin zur zuverlässigen Bereitstellung von Informationen über Dienstleistungsportale.
Die PKI-Plattform der Nexus-Gruppe
Eine Unternehmens-PKI erstellt und verwaltet vertrauenswürdige Identitäten für Personen, Geräte und Dienste und bildet so die Basis für Informationssicherheit. Die Smart ID Corporate PKI von Nexus schafft eine zuverlässige Grundstruktur mit Rollen, Richtlinien und Verfahren für eine starke Authentifizierung, E-Mail-Verschlüsselung und Sicherung von IoT-Anlagen. Erfahren Sie mehr über unsere PKI-Plattform und welche Funktionen Sie mit ihr abdecken können.
Zusammenfassung
Mit einer PKI können Unternehmen und Organisationen die Datensicherheit, betriebliche Effizienz und Compliance mit gesetzlichen Anforderungen erheblich verbessern und Risiken minimieren. Da sich die Ausgabe und Verwaltung der kryptografischen Schlüssel und digitalen Zertifikaten zentral organisieren lässt, ist zudem die Skalierbarkeit der Sicherheitsmaßnahmen gewährleistet. Das macht eine Public Key Infrastructure zur optimalen Lösung für IT-Landschaften aller Branchen – sei es im Gesundheits- und Finanzwesen, für Regierungen und öffentliche Verwaltungen oder in der Industrie 4.0.
FAQs über PKI
Was ist eine PKI-Plattform?
Eine PKI-Plattform beinhaltet alle notwendigen Prozesse, Technologien und Richtlinien, mit der sich Daten verschlüsseln und signieren lassen. Sie kann digitale Zertifikate ausstellen, um die Identität von Benutzern, Geräten oder Diensten zu authentifizieren.
Was ist der Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung?
Die symmetrische Verschlüsselung nutzt einen einzigen Schlüssel für die Ver- und Entschlüsselung von Daten. Im Gegensatz dazu gibt es in der asymmetrischen Verschlüsselung ein Schlüsselpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht und dessen Funktionen sich ergänzen: Der öffentliche Schlüssel verschlüsselst die Nachrichten oder verifiziert digitale Signaturen. Der private Schlüssel entschlüsselt die Nachrichten und erstellt digitale Signaturen.
Wie werden PKI-Schlüssel erzeugt?
Es gibt drei gängige Methoden, um PKI-Schlüssel zu erzeugen: RSA, ECC und Diffie-Hellman. Sie beruhen auf denselben Grundprinzipien, nutzen aber unterschiedliche Algorithmen für die Erstellung der Schlüssel.
Was ist der Standard für die Verwaltung von digitalen Zertifikaten in einer PKI?
Der vorherrschende Standard für digitale Zertifikate innerhalb einer PKI ist X. 509, auch bekannt als ISO/IEC 9594-8. Er garantiert einen sicheren Datenaustausch und spezifiziert verschiedene Dateiformate wie PKI-Zertifikate oder die Certificate Revocation List (CRL). In der elektronischen Kommunikation finden X.509-Protokolle eine weitverbreitete Anwendung, beispielsweise in HTTPS-gesicherten Websites oder im S/MIME-Standard zur Verschlüsselung von E-Mails.
Welche Vertrauensmodelle gibt es in der PKI?
Public Key Infrastructures arbeiten klassischerweise mit drei Vertrauensmodellen für die Erstellung und Verwaltung digitaler Zertifikate:
- Streng hierarchische PKI mit der Root CA als zentraler Instanz
- Cross-Zertifizierung mit zwei CAs, die sich gegenseitig Zertifikate ausstellen
- Web of Trust mit freier Zertifikatserstellung und Signatur durch User