Inhaltsverzeichnis
Public Key Infrastructure (PKI)
Allgemein
Mit Public-Key-Infrastruktur (PKI, englisch public key infrastructure) bezeichnet man in der Kryptologie ein System, das digitale Zertifikate ausstellen, verteilen und prüfen kann. Die innerhalb einer PKI ausgestellten Zertifikate werden zur Absicherung rechnergestützter Kommunikation verwendet.
Digitale Zertifikate stellen die Authentizität öffentlicher Schlüssel in asymmetrischen Kryptosystemen sicher und bestätigen seinen zulässigen Anwendungs- und Geltungsbereich. Das digitale Zertifikat ist selbst durch eine digitale Signatur geschützt, deren Echtheit mit dem öffentlichen Schlüssel des Ausstellers des Zertifikates geprüft werden kann.
Um die Authentizität des Ausstellerschlüssels zu prüfen, wird wiederum ein digitales Zertifikat benötigt. Auf diese Weise lässt sich eine Kette von digitalen Zertifikaten aufbauen, die jeweils die Authentizität des öffentlichen Schlüssels bestätigen, mit dem das vorhergehende Zertifikat geprüft werden kann. Eine solche Kette von Zertifikaten wird Validierungspfad oder Zertifizierungspfad genannt. Auf die Echtheit des letzten Zertifikates (und des durch dieses zertifizierten Schlüssels) müssen sich die Kommunikationspartner ohne ein weiteres Zertifikat verlassen können.
Noch allgemeiner definiert: „Die Infrastruktur für die Erzeugung, Authentisierung, Verteilung und Überprüfung von öffentlichen Schlüsseln sowie für die sichere Speicherung der geheimen Schlüssel wird Public-Key-Infrastruktur (PKI) genannt.“ [ERTEL, Wolfgang. 2007. Angewandte Kryptographie. 3., aktualisierte Auflage. München: Hanser, S. 118.]
Definition BSI-Glosar (alt) Eine PKI ist eine technische und organisatorische Infrastruktur, die es ermöglicht, kryptographische Schlüsselpaare (private Schlüssel in Form von PSEs und öffentliche Schlüssel in Form von Zertifikaten) auszurollen und zu verwalten. Zu den wesentlichen Kernkomponenten einer PKI zählt die Registrierungsinstanz, die Zertifizierungsinstanz und der Verzeichnisdienst. Unter Umständen umfasst eine PKI auch einen Zeitstempeldienst und Attributbestätigungsinstanzen.1)
Ein PSE ist ein Aufbewahrungsmedium für private Schlüssel und vertrauenswürdige Zertifikate. Ein PSE kann entweder als Software-Lösung, z. B. als mittels Passwort geschützte Datei im PKCS #12-Format, oder als Hardware-Lösung, beispielsweise in Form einer Smart Card, realisiert sein. In diesem Fall kann das PSE gleichzeitig als Signaturerstellungseinheit dienen.
Bestandteile einer PKI
- Digitale Zertifikate
- Zertifizierungsstelle
- Registrierungsstelle
- Zertifikatssperrliste
- Verzeichnisdienst
- Validierungsdienst
- Dokumentation
- Subscriber
- Participant
Vertauensmodelle
- streng hierarchisch
- Cross-Zertifizierung
- Web of Trust
Geht es beim Vertrauensmodell darum, Zertifikate auf einen vertrauenswürdigen Anker oder gemeinsamen Vertrauensraum zurückzuführen, geht es beim Gültigkeitsmodell um die Feststellung, ob das Zertifikat in seiner Nutzung als gültig angesehen werden kann.
TI
- TSL = Trust-service Status List als zentraler Vertrauensraum der X.509-PKI
- Einsatz einer hierarchischen Root-Struktur bei den CV-Zertifikaten
Elementarfunktionen der TI-PKI
- Authentizität von Akteuren (mit elektronischen Identitäten) gegenüber Komponenten der TI
- Nichtabstreitbarkeit signierter Transaktionen, Erstellung und Prüfung von digitalen Signaturen
- Integrität signierter Datumsangaben von Signaturen
- Vertraulichkeit: Ver- und Entschlüsselung von Daten
Vertrauensraum QES
- BNetzA-Vertrauensliste (BNetzA-VL) nach eIDAS
- Bereitstellung durch TSL-Dienst
Die Zertifikate zur Signierung der BNetzA-VL werden in die „List of Trusted Lists“ der Europäischen Kommission (EU-LOTL) eingetragen, und die BNetzA-VL darf nur unter Verwendung eines dieser offiziell publizierten Zertifikate signiert werden. Der TSL-Dienst nimmt diese Zertifikate deshalb mit einer speziellen Markierung versehen in die TSL auf, und die QES-validierenden Komponenten entnehmen die BNetzA-Signer-Zertifikate der aktuellen TSL, um die Signatur der BNetzA-VL zu prüfen.
Außerdem werden die TSP-X.509 QES mit ihren zugelassenen Diensten in den Vertrauensraum der TI aufgenommen.