Public Key Infrastructure (PKI)
PKI ist ein Framework zur Ausgabe, Verwaltung und Validierung von digitalen Zertifikaten und Schlüsseln, um Vertrauen in Online-Kommunikation und Transaktionen herzustellen.
Eine [Public Key Infrastructure](/de/terms/public-key-infrastructure) (PKI) ist ein umfassendes System, das sichere elektronische Kommunikation ermöglicht, indem es Public-Key-Kryptographie verwendet, um Identitäten an kryptographische Schlüssel und Zertifikate zu binden. Eine PKI stellt die Prozesse, Personen und Technologien bereit, die für die Ausgabe, Verwaltung und Stilllegung von digitalen Zertifikaten sowie für die Validierung von Vertrauenskettendas über organisatorische und technische Grenzen hinweg erforderlich sind.
Schlüsselkomponenten umfassen:
- Certificate Authority (CA): Eine Instanz, die digitale Zertifikate ausstellt und pflegt, die Bindungen zwischen Subjekten und ihren öffentlichen Schlüsseln bestätigen.
- Registration Authority (RA): Überprüft die Identität des Antragstellers, bevor ein Zertifikat ausgestellt wird.
- Public und private keys: Asymmetrische Schlüsselpaare, die für Verschlüsselung, Signierung und Identitätsprüfung verwendet werden.
- Certificate repository und Directory Services: Speicherung und Abfrage von Zertifikaten und Zertifikatsstatus.
- Validation protocols: Mechanismen zur Überprüfung von Zertifikatsketten (Path Validation).
- Certificate policies und CPS: Regeln, die die Ausstellung, Nutzung und den Lebenszyklus von Zertifikaten regeln.
- Trust anchors: Root CAs, die die Vertrauensbasis in einer PKI-Hierarchie bilden.
Lebenszyklus und Betrieb:
- Enrollment und Ausstellung: Identitätsprüfung, Schlüsselerzeugung, Zertifikatserstellung und Zustellung des Zertifikats an das Subjekt.
- Erneuerung und Rekey: Periodische Erneuerung und Schlüsselrotation zur Minderung des Risikos von Schlüsselkompromittierung.
- Widerruf (Revocation): Erkennung und Veröffentlichung eines Zertifikats, dem nicht mehr vertraut werden sollte (über CRLs oder OCSP).
- Validierung: Clients validieren Zertifikatsketten gegen vertrauenswürdige Roots und Richtlinienbeschränkungen.
- Archivierung und Wiederherstellung: Schlüsselarchivierung zur Wiederherstellung (wo die Richtlinie dies zulässt) und zur Planung der Katastrophenwiederherstellung.
Übliche Deployment-Modelle und Edge Cases:
- Hierarchische PKI: Root- und Intermediate-CAs, die ein skalierbares Vertrauensmodell bieten; Cross-Zertifizierung ermöglicht Interoperabilität zwischen PKIs.
- Offline-Root-CA mit Online-Intermediates zur Reduzierung des Expositionsrisikos.
- IoT- und Geräteidentitäts-PKIs, die leichtgewichtige Profile und skalierbares Enrollment erfordern.
- Cross-Zertifizierung und Bridge-CAs zur Unterstützung von Multi-PKI-Umgebungen.
Wichtige Sicherheitskontrollen:
- Private key protection: Verwendung von HSMs oder sicheren Schlüsselgeräten zum Schutz privater Schlüssel; starke Zugriffskontrollen; hardwaregestützte Speicherung.
- Key management: Rotation, Backup und sichere Zerstörung am Ende der Lebensdauer.
- Widerruf und Statusprüfung: CRLs und OCSP/OCSP Stapling zum Widerruf kompromittierter Zertifikate und zur Bereitstellung eines zeitnahen Status.
- Certificate pinning und DANE: Techniken zur Reduzierung der Abhängigkeit von Drittanbieter-Vertrauen in spezifischen Kontexten.
- Audit und Governance: CPS/CP-Richtlinien, regelmäßige Audits und Planung der Reaktion auf Vorfälle.
Einschränkungen und Herausforderungen:
- PKI-Komplexität: Operativer Aufwand, Abstimmung von Richtlinien und Management von Cross-Domain-Vertrauen.
- Widerrufs-Latenz: Verzögerungen bei der Verbreitung von Widerrufen und OCSP-Respondern können Echtzeitentscheidungen beeinflussen.
- Skalierbarkeit: Große CRLs und hohe Zertifikatsausstellungsraten erfordern eine robuste Infrastruktur.
Ergebnisorientierte Fähigkeiten:
- Authentifizierung: Nachweis der Identität durch Überprüfung des Zertifikats und der Signatur eines Subjekts.
- Vertraulichkeit und Integrität: Verschlüsselung von Daten mit dem öffentlichen Schlüssel des Empfängers oder Signierung von Daten mit dem privaten Schlüssel des Absenders.
- Nichtabstreitbarkeit (Non-repudiation): Digitale Signaturen liefern Nachweise über Ursprung und Integrität.
Zusammenfassend lässt sich sagen, dass PKI das Rückgrat vertrauenswürdiger digitaler Interaktionen über Web, E-Mail, Code Signing und Geräteidentität bildet und einen strukturierten Ansatz zur Ausgabe, Verwaltung und Validierung von Zertifikaten innerhalb eines rechtlich geregelten Rahmens bietet.
graph LR
Center["Public Key Infrastructure (PKI)"]:::main
Rel_digital_certificate_management["digital-certificate-management"]:::related -.-> Center
click Rel_digital_certificate_management "/terms/digital-certificate-management"
Rel_public_key_infrastructure["public-key-infrastructure"]:::related -.-> Center
click Rel_public_key_infrastructure "/terms/public-key-infrastructure"
classDef main fill:#7c3aed,stroke:#8b5cf6,stroke-width:2px,color:white,font-weight:bold,rx:5,ry:5;
classDef pre fill:#0f172a,stroke:#3b82f6,color:#94a3b8,rx:5,ry:5;
classDef child fill:#0f172a,stroke:#10b981,color:#94a3b8,rx:5,ry:5;
classDef related fill:#0f172a,stroke:#8b5cf6,stroke-dasharray: 5 5,color:#94a3b8,rx:5,ry:5;
linkStyle default stroke:#4b5563,stroke-width:2px;
🧠 Wissenstest
🧒 Erkläre es wie einem 5-Jährigen
PKI is like a global passport office for the internet. If you want to prove you are a specific website, you get a passport (digital certificate) from the office (Certificate Authority). Everyone else knows to trust you because they trust the passport office.
🤓 Expert Deep Dive
PKI involves a hierarchy of CAs, starting from a 'Root CA' pre-installed in your browser. It manages Certificate Revocation Lists (CRLs) and the Online Certificate Status Protocol (OCSP) to handle keys that are no longer safe (e.g., stolen keys).