Die Sicherheitsmethode der Public Key Infrastructure (PKI) hat einen großen Aufschwung erlebt und findet in vielen Szenarien ihre Verwendung, von der Sicheren der Kommunikation im Internet der Dinge (IoT) bis hin zum Einsatz der digitalen Signatur von Dokumenten. Martin Furuhed, PKI-Experte beim Identitäts- und Sicherheitsunternehmen Nexus Group, erklärt die Methode in 4 Minuten.
Wo findet die PKI Verwendung?
Eine PKI erstellt und verwaltet vertrauenswürdige elektronische Identitäten für Personen, Dienste und Dinge, die eine starke Authentifizierung, Datenverschlüsselung und digitale Signaturen ermöglichen.
„Diese Sicherheitsmechanismen ermöglichen den sicheren Zutritt und Zugriff auf physische und digitale Ressourcen. Sie sorgen auch für eine sichere Kommunikation zwischen Menschen, Software und Geräten. Und sie machen das digitale Signieren von Dokumenten und Transaktionen erst möglich“, erklärt Martin Furuhed, der bei Nexus für die Certificate Authority (CA) Nexus Certificate Manager zuständig ist.
Merkmale einer PKI
„Typischerweise besteht eine PKI aus Richtlinien, Standards, Hardware und Software, um digitale Zertifikate zu erstellen, zu verteilen, zu widerrufen und zu verwalten. Die Kernkomponente einer PKI ist die Certificate Authority. Sie garantiert die Vertrauenswürdigkeit der digitalen Zertifikate“, erklärt Furuhed.
Was ist ein digitales Zertifikat?
„Ein digitales Zertifikat besteht aus verschiedenen Daten wie identifizierende Informationen, Seriennummer und Ablaufdatum. Das Zertifikat beinhaltet auch die die digitale Signatur der ausstellenden Certificate Authority. Diese und der öffentliche Schlüssel des Zertifikatsinhabers machen das Zertifikate valide.“
„Eine PKI soll einen öffentlichen Schlüssel eindeutig einer Person, einer Anwedung oder einem Gerät zuweisen. Die meisten Zertifikate, die in PKIs verwendet werden, basieren auf dem X509-Standard. Dieser Standard wird von vielen Programmen unterstützt, wie zum Beispiel E-Mail-Clients und Mail-Server, Web Server und Betriebssystemen“, erläutert Martin Furuhed.
Was sind öffentliche und private Schlüssel?
„In der Kryptologie ist ein Schlüssel eine Information, die für einen kryptographischen Algorithmus verwendet wird. Öffentlicher und privater Schlüssel werden als Paar erstellt und sind mathematisch verknüpft. Sie werden in symmetrischen und asymmetrischen Verschlüsselungsverfahren eingesetzt“.
„Der öffentliche Schlüssel ist zugänglich und nicht geheim. Den privaten Schlüssel kennt nur der Besitzer des Schlüssels. Werden Daten mit einem öffentlichen Schlüssel verschlüsselt, können sie nur mit dem dazugehörigen privaten Schlüssel entschlüsselt werden. Wird eine Nachricht mit einem privaten Schlüssel signiert, dann verifiziert der dazugehörige öffentliche Schlüssel die Unterschrift. Die symmetrische Verschlüsselung verwendet den gleichen Schlüssel für die Ver- und Entschlüsselung“, erklärt Furuhed.
Merkmale einer elektronischen Identität
„Eine eID besteht aus einem öffentlichen digitalen Zertifikat und einem privaten Schlüssel. Das digitale Zertifikat enthält auch den öffentlichen Schlüssel. Die Kombination aus Zertifikat und privater Schlüssel funktioniert wie ein digitaler Ausweis. Mit dem Ausweis kann die Identität einer Person, einer Anwendung oder eines Geräts bestätigt werden.“
Wie funktioniert Authentifizierung in einer PKI?
„Wenn zum Beispiel eine Person sich gegenüber einem Server eindeutig authentisieren will, erzeugt der Server rein zufällige Daten und schickt sie an die Person. Die Person verschlüsselt die Daten mit ihrem privaten Schlüssel und schickt sie zurück. Der Server entschlüsselt die Daten mit dem im digitalen Zertifikat enthalten öffentlichen Schlüssel der Person. Stimmen die entschlüsselten Daten mit den ursprünglich versendeten Daten überein, dann weiß der Server, dass die Person auch wirklich die Person ist, die sie vorgibt zu sein.“
Wie funktioniert digitales Signieren in einer PKI?
„Beim digitalen Signieren wird zuerst der sogenannte Hash-Wert des Dokuments oder der Transaktion berechnet. Für die Berechnung wird ein Algorithmus verwendet. Das Ergebnis ist quasi der digitale Fingerabdruck des Dateiinhalts. Der Hash-Wert wird anschließend mit dem privaten Schlüssel des Anwenders verschlüsselt und dem Dokument oder der Transaktion hinzugefügt. Das ist die Signatur“, erklärt Martin Furuhed.
„Das digitale Zertifikat des Anwenders wird ebenfalls dem Dokument oder der Transaktion hinzugefügt. Die Signatur kann mit dem enthaltenen öffentlichen Schlüssel entschlüsselt und der Hash-Wert des Dokuments berechnet werden. Wenn beide Resultate übereinstimmen, ist die Gültigkeit der Signatur und die Integrität des Dokuments bestätigt.“
Wie funktioniert Verschlüsselung und Entschlüsselung in einer PKI?
„Wenn große Datenmengen ver- und entschlüsselt werden sollen, muss symmetrische Verschlüsselung verwendet werden. Das asymmetrische Verfahren ist zu langsam. Da beim symmetrischen Verfahren der gleiche Schlüssel verwendet wird, muss dieser zuerst zwischen den beiden Kommunikationspartnern ausgetauscht werden. Ein Partner erzeugt den Schlüssel und versendet ihn. Dabei werden asymmetrischen Kryptographiefunktionen verwendet, die die PKI bereitstellt“, erklärt Furuhed.