Definition

PKI (Public-Key-Infrastruktur)

Mitarbeiter: Jim Brayton, Andrea Finneman, Nathan Turajski und Scott Wiltsey

Eine PKI (Public-Key-Infrastruktur) bietet Anwendern in einem an sich unsicheren öffentlichen Netzwerk wie dem Internet einige Vorteile: sicheren und vertraulichen Austausch von Daten mithilfe eines Paares aus einem öffentlichen und einem privaten Kryptographie-Schlüssel. Dieser wird von einer vertrauenswürdigen Stelle bezogen und über diese weitergegeben. Die Public-Key-Infrastruktur stellt ein digitales Zertifikat zur Verfügung, das der Identifizierung einer Person oder eines Unternehmens dient. Zudem bietet sie Verzeichnis-Dienste zum Speichern und gegebenenfalls auch zum Widerrufen von Zertifikaten. Die nötigen Komponenten einer PKI sind weitgehend verstanden, doch verfolgt eine Reihe von Anbietern neue Ansätze und Services dafür. Mittlerweile wird an einem Internet-Standard für die PKI gearbeitet.

Voraussetzung für eine Public-Key-Infrastruktur ist ein Public-Key-Verschlüsselungsverfahren. Dieses stellt die gebräuchlichste Form für die Authentifizierung des Absenders von Nachrichten bzw. der Verschlüsselung von Nachrichten dar. Bei der herkömmlichen Verschlüsselung wurde in der Regel ein geheimer Schlüssel für die Verschlüsselung und spätere Entschlüsselung von Nachrichten erstellt und weitergegeben. Dieses System mit geheimen oder privaten Schlüssel hat allerdings einen gravierenden Nachteil: Wird der Schlüssel von einem Dritten abgefangen oder geknackt, lassen sich die Nachrichten problemlos entschlüsseln. Aus diesem Grund wird im Internet der Ansatz mit Public-Key-Verschlüsselungsverfahren und einer Public-Key-Infrastruktur bevorzugt. Private-Key-Verschlüsselung wird gelegentlich auch als symmetrische Verschlüsselung bezeichnet, während man bei der Public-Key-Verschlüsselung von einer asymmetrischen Verschlüsselung spricht.

Eine Public-Key-Infrastruktur umfasst folgende Komponenten:

  • eine Zertifizierungsstelle für die Ausgabe und Verifizierung digitaler Zertifikate
  • ein Zertifikat mit dem öffentlichen Schlüssel oder Informationen zum öffentlichen Schlüssel
  • eine Registrierungsstelle zur Verifizierung der Zertifizierungsstelle vor Ausgabe eines digitalen Zertifikats an den Antragsteller
  • eines oder mehrere Verzeichnisse zur Aufbewahrung der Zertifikate (und ihrer öffentlichen Schlüssel)
  • ein System zur Zertifikat-Verwaltung

Funktionsweise von Public- und Private-Key-Verschlüsselung

Für die Public-Key-Verschlüsselung werden gleichzeitig ein öffentlicher sowie ein privater Schlüssel erstellt. Die Zertifizierungsstelle verwendet hierfür den gleichen Algorithmus (beliebt ist der bekannte RSA). Der private Schlüssel wird nur dem Anforderer ausgehändigt, während der öffentliche Schlüssel in einem allen Parteien zugänglichen Verzeichnis zur Verfügung steht (als Komponente eines digitalen Zertifikats). Demgegenüber wird der private Schlüssel nie an andere weitergegeben oder über das Internet versandt. Er dient Ihnen zur Entschlüsselung von Nachrichten, die mit Ihrem Public Key verschlüsselt wurden; diesen hat der Absender aus dem öffentlich zugänglichen Verzeichnis bezogen.

Wenn ich Ihnen also eine Nachricht senden möchte, kann ich Ihren öffentlichen Schlüssel – jedoch nicht ihren privaten – über die zentrale Verwaltung finden und ihn zur Verschlüsselung der Nachricht verwenden. So können Sie diese Nachricht später mithilfe Ihres öffentlichen Schlüssels entschlüsseln. Zusätzlich zur Verschlüsselung von Nachrichten (dies stellt die Vertraulichkeit sicher) können Sie sich mir gegenüber authentifizieren – verwenden Sie hierzu einfach Ihren Private Key zur Verschlüsselung eines digitalen Zertifikats. Auf diese Weise kann ich sicher sein, dass die Nachricht auch wirklich von Ihnen stammt, indem ich das Zertifikat mit Ihrem öffentlichen Schlüssel überprüfe. Die folgende Tabelle bietet einen Überblick über das Verfahren:

Aktion verwendeter Schlüssel Art des Schlüssels
Versenden einer verschlüsselten Nachricht des Empfängers öffentlich
Versenden einer verschlüsselten Signatur des Absenders privat
Entschlüsseln einer verschlüsselten Nachricht des Empfängers privat
Entschlüsseln einer verschlüsselten Signatur (und Authentifizierung des Absenders) des Absenders öffentlich

Wer die Infrastruktur bereitstellt

Es ist eine ganze Reihe von Produkten erhältlich, mit denen ein Unternehmen oder eine Unternehmensgruppe eine PKI realisieren kann. Angesicht der rasanten Entwicklung von e-Commerce und des B2B-Handels über das Internet steigt auch der Bedarf an PKI-Lösungen. Der PKI ähnliche Technologien sind Virtual Private Networks (VPNs) und der IP Security (IPsec)-Standard. Zu den führenden PKI-Anbietern zählen:

  • RSA, das die wichtigsten und auch von anderen PKI-Anbietern verwendeten Algorithmen entwickelt hat.
  • VeriSign, das als Zertifizierungsstelle fungiert und Software vertreibt, mit der Unternehmen ihre eigenen Zertifizierungsstellen erstellen können.
  • GTE CyberTrust, das eine Methodologie zur PKI-Implementierung und Beratungsdienste anbietet, die andere Unternehmen gegen einen Festpreis nutzen können.
  • Xcert mit seinem Produkt „Web Sentry“ das mithilfe des Online Certificate Status Protocol (OCSP) den Widerruf-Status von Zertifikaten auf einem Server überprüft.
  • Netscape mit seinem „Directory Server“, der nach Angaben des Unternehmens 50 Millionen Objekte unterstützt und pro Sekunde 5.000 Abfragen bearbeitet. Secure E-Commerce für die Verwaltung digitaler Zertifikate durch den Manager eines Unternehmens beziehungsweise Extranets. Schließlich Meta-Directory, das alle Unternehmensverzeichnisse in einem einzigen Verzeichnis zusammenfasst und so das Sicherheitsmanagement vereinfacht.

Pretty Good Privacy

Bei E-Mails ermöglicht Pretty Good Privacy (PGP) die Verschlüsselung von Nachrichten für alle Empfänger, die über einen Public Key verfügen. Sie verwenden hierzu den öffentlichen Schlüssel des Empfängers, der die Nachricht mithilfe seines privaten Schlüssels wieder dechiffrieren kann. Bei PGP haben Nutzer Zugriff auf ein Verzeichnis öffentlicher Schlüssel, das als Schlüssel-Ring bezeichnet wird. Wenn Sie also jemandem eine Nachricht senden, der nicht auf diesen Schlüssel-Ring zugreifen kann, sollten Sie diese besser nicht verschlüsseln. Darüber hinaus bietet PGP die Möglichkeit zum Signieren Ihrer Nachricht mit einer digitalen Signatur. Hierfür verwenden Sie ganz einfach Ihren privaten Schlüssel. Hat der Empfänger Zugriff auf den Schlüssel-Ring, kann er dort Ihren öffentlichen Schlüssel abrufen und so Ihre Signatur entschlüsseln. Auf diese Weise kann er sicherstellen, dass die Nachricht auch wirklich von Ihnen stammt.

Diese Definition wurde zuletzt im Oktober 2006 aktualisiert

Erfahren Sie mehr über PKI und digitale Zertifikate

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

File Extensions and File Formats

Powered by:

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close