Was ist PKI (Public Key Infrastructure)? Wie funktioniert es?

Public Key Infrastructure (PKI) ist eine Lösung, bei der anstelle von E-Mail-ID und Passwort zur Authentifizierung Zertifikate verwendet werden. PKI verschlüsselt auch die Kommunikation mit asymmetrische Verschlüsselung, Welche Anwendungen Öffentliche und private Schlüssel. PKI befasst sich mit der Verwaltung der Zertifikate und Schlüssel und schafft eine hochsichere Umgebung, die auch von Benutzern, Anwendungen und anderen Geräten genutzt werden kann. PKI verwendet X.509-Zertifikate und öffentliche Schlüssel, wobei der Schlüssel für eine Ende-zu-Ende-verschlüsselte Kommunikation verwendet wird, sodass beide Parteien einander vertrauen und ihre Authentizität prüfen können.

PKI wird hauptsächlich verwendet in TLS / SSL um Verbindungen zwischen Benutzer und Server zu sichern, während der Benutzer die Authentizität des Servers testet, um sicherzustellen, dass dieser nicht gefälscht ist. SSL-Zertifikate können auch zur Authentifizierung von IoT-Geräten verwendet werden.

Warum verwenden wir PKI?

PKI ermöglicht die Identifizierung von Personen, Geräten und Apps und bietet gleichzeitig eine robuste Verschlüsselung, sodass die Kommunikation zwischen beiden Parteien vertraulich bleibt. Neben Authentifizierung und Identifizierung bietet PKI digitale Signaturen und Zertifikate, um eindeutige Anmeldeinformationen für den Zertifikatsinhaber zu erstellen und diesen zu validieren.

PKI wird im gesamten Internet in Form von TLS/SSL eingesetzt. Wenn ein Client (in diesem Fall ein Webbrowser) mit einem Server kommuniziert, erhält der Client das Zertifikat und validiert es, um seine Authentizität sicherzustellen. Anschließend wird der Datenverkehr zum und vom Server mittels asymmetrischer Verschlüsselung verschlüsselt. Das digitale Zertifikat enthält Informationen wie Gültigkeitsdauer, Aussteller, Zertifikatsinhaber, öffentlichen Schlüssel, Signaturalgorithmus usw.

Es enthält außerdem einen Zertifizierungspfad. Ein Zertifizierungspfad ist eine geordnete Liste, die aus dem öffentlichen Schlüsselzertifikat des Ausstellers und gegebenenfalls weiteren Elementen besteht.

Ein Zertifizierungspfad muss validiert werden, bevor er Vertrauen in den öffentlichen Schlüssel eines Zertifikats herstellen kann. Die Validierung kann verschiedene Prüfungen der Zertifikate des Zertifizierungspfads umfassen, z. B. die Überprüfung der Signaturen und die Prüfung, ob jedes Zertifikat widerrufen wurde. Die PKIX-Standards definieren einen Algorithmus zur Validierung von Zertifizierungspfaden, die aus X.509-Zertifikaten bestehen.

PKI wird nicht nur als SSL im Internet verwendet, sondern auch in digitalen Signaturen und Signatursoftware. Darüber hinaus kommt PKI in Smartgeräten, Telefonen, Tablets, Spielkonsolen, Reisepässen, im Mobile Banking usw. zum Einsatz. Um Compliance-Herausforderungen zu meistern, alle Vorschriften einzuhalten und optimale Sicherheit zu gewährleisten, nutzen Unternehmen PKI auf vielfältige Weise, um die Sicherheit zu gewährleisten.

Welche Verschlüsselungen werden in PKI verwendet?

PKI verwendet sowohl symmetrische als auch asymmetrische Verschlüsselung, um alle seine Vermögenswerte zu schützen.

Asymmetrische Verschlüsselung

Asymmetrische Verschlüsselung oder Public-Key-Kryptographie verwendet zwei separate Schlüssel zur Ver- und Entschlüsselung. Einer davon wird als öffentlicher Schlüssel, der andere als privater Schlüssel bezeichnet. Der öffentliche Schlüssel kann aus dem privaten Schlüssel generiert werden, der private Schlüssel hingegen nicht. Der private Schlüssel und umgekehrt können nur die mit dem öffentlichen Schlüssel durchgeführte Verschlüsselung entschlüsseln. Zusammen werden diese Schlüssel als „öffentliches und privates Schlüsselpaar“ bezeichnet.

Asymmetrische Verschlüsselung bietet die Möglichkeit, Daten in öffentlichen Kanälen durch die Verteilung des öffentlichen Schlüssels zu verschlüsseln. Da kein Austausch geheimer Schlüssel erforderlich ist, entfällt das Problem der Schlüsselverteilung, das bei symmetrischer Verschlüsselung üblich ist. 

Diese Schlüssel nutzen ein hohes Maß an Zufälligkeit, um erhöhte Sicherheit zu gewährleisten. Typischerweise werden Algorithmen wie RSA, EDSCA, DSA und Diffie-Hellman mit einer Schlüssellänge von 1024 bis 2048 oder mehr verwendet. Generell gilt: Je länger der Schlüssel, desto sicherer die Verschlüsselungsmethode. Zum Vergleich: Wird zur Schlüsselgenerierung eine 2048-Bit-Verschlüsselung verwendet, sind etwa 2^2048 Kombinationen möglich. Es würde Hunderte von Jahren dauern, diese vielen Kombinationen durchzugehen. 

Da die Schlüssel länger sind und immer zwei verschiedene Schlüssel für die Ver- und Entschlüsselung generiert werden müssen, ist dieser Prozess zeitaufwändig. Darüber hinaus verwenden wir hier auch komplexere Algorithmen. Dies sind einige der vielen Gründe, warum die asymmetrische Verschlüsselung im Vergleich zur symmetrischen Verschlüsselung langsamer ist. 

Bei SSL-Zertifikaten, die für die verschlüsselte Kommunikation zwischen einem Client und einem Server verwendet werden, ist dem Zertifikat ein öffentlicher Schlüssel beigefügt, der eine sichere Kommunikation zwischen zwei Parteien einleitet.

Zum Austausch eines geheimen Schlüssels wird asymmetrische Verschlüsselung verwendet, was während des ersten Handshakes zwischen den beiden Parteien geschieht.

Der ausgetauschte geheime Schlüssel wird verwendet, um eine symmetrische Verschlüsselung für die weitere Kommunikation einzurichten. Symmetrische Verschlüsselung ist schneller als asymmetrische, sodass die Kombination beider Verschlüsselungsmethoden eine robuste End-to-End-Sicherheit bietet.

Symmetrische Verschlüsselung

Im Gegensatz zur asymmetrischen Verschlüsselung wird bei der symmetrischen Verschlüsselung nur ein Schlüssel sowohl für die Ver- als auch für die Entschlüsselung verwendet. Dieser gemeinsame Schlüssel ist für eine sichere Kommunikation unerlässlich, doch sein sicherer Austausch zwischen den Kommunikationspartnern stellt bei der symmetrischen Verschlüsselung eine besondere Herausforderung dar, die allgemein als „Schlüsselverteilungsproblem“ bezeichnet wird. Um dieses Problem zu lösen, wurden verschiedene Techniken entwickelt, wie beispielsweise Schlüsselableitungsfunktionen und vertrauenswürdige Schlüsselverteilungszentren von Drittanbietern.

Nun müssen die beiden Entitäten, die über symmetrische Verschlüsselung kommunizieren (Sender und Empfänger), den Schlüssel austauschen, damit dieser bei der Entschlüsselung verwendet werden kann. Dabei werden die Daten in einer scheinbar zufälligen und unverständlichen Form (Chiffretext) verschlüsselt und können nur durch den geheimen Schlüssel in die ursprüngliche Form zurückversetzt werden. 

Die symmetrische Verschlüsselung ist die am weitesten verbreitete Verschlüsselungsart und wird häufig in Anwendungen wie E-Mail, Filesharing und virtuellen privaten Netzwerken (VPNs) eingesetzt. Beispiele für symmetrische Verschlüsselung sind AES (Advanced Encryption Standard), DES (Data Encryption Standard) und RC4 (Rivet Cipher 4). Diese Methode ist zwar schneller als die asymmetrische Verschlüsselung, doch wenn der Schlüssel kompromittiert ist, kann jeder den verschlüsselten Inhalt entschlüsseln. Daher wird die asymmetrische Verschlüsselung verwendet, um sicherzustellen, dass der geheime Schlüssel nicht kompromittiert wird und die Verbindung sicher bleibt.

Wie wir wissen, hängt der Anwendungsfall beider Verschlüsselungen von den jeweiligen Vorteilen ab. In Fällen, in denen Geschwindigkeit Vorrang vor erhöhter Sicherheit hat, verwenden wir symmetrische Verschlüsselung. Zu den häufigsten Anwendungsfällen gehören: 

• Bankwesen

  In Zahlungsanwendungen müssen sensible Benutzerdaten wie Kontonummern oder teilweise Kreditkarteninformationen verschlüsselt werden, um sie vor böswilligen Akteuren zu schützen. Dies trägt dazu bei, das Risiko alltäglicher Transaktionen zu reduzieren, ohne die Geschwindigkeit der Transaktionen zu beeinträchtigen.

• Datenspeicher

  Verschlüsselung ruhender Daten: Wenn Unternehmen große Mengen sensibler Daten speichern, verschlüsseln sie vorzugsweise das gesamte Speichermedium.

In Fällen, in denen erweiterte Sicherheit Vorrang vor Geschwindigkeit hat oder eine Identitätsprüfung erforderlich ist, verwenden wir asymmetrische Schlüssel

• Digitale Signaturen

  Sie bewahren die Authentizität und Integrität der übertragenen Daten. Darüber hinaus sind sie für E-Mails, den Datenaustausch usw. nützlich.

• Public-Key-Infrastruktur (PKI)

  Verwendung asymmetrischer Schlüssel zur Ausstellung und Verwaltung digitaler Zertifikate.

Mittlerweile gibt es auch mehrere Fälle, in denen symmetrische und asymmetrische Verschlüsselung zusammen verwendet werden. Messaging-Apps und SSL-Zertifikate verwenden eine Kombination dieser beiden Verschlüsselungen.

Messaging-Apps wie WhatsApp nutzen diese Methode, um eine Ende-zu-Ende-Verschlüsselung zu erreichen. Asymmetrische Verschlüsselung baut zunächst einen sicheren Kanal auf, wobei die öffentlichen Schlüssel der Nutzer auf dem Server gespeichert werden und die privaten Schlüssel auf ihren persönlichen Geräten verbleiben. Dies ermöglicht den sicheren Austausch eines Sitzungsschlüssels, der dann für eine effiziente symmetrische Verschlüsselung der eigentlichen Nachricht verwendet wird.

SSL-Zertifikate verwenden asymmetrische Verschlüsselung zur Authentifizierung des Servers und richten einen sicheren Kanal für den Austausch eines Sitzungsschlüssels ein. Dieser Sitzungsschlüssel verwendet dann symmetrische Verschlüsselung für die von Ihnen abgerufenen Website-Daten. In beiden Szenarien werden beide Verschlüsselungsmethoden effizient genutzt: asymmetrisch für den sicheren Schlüsselaustausch und die Ersteinrichtung und symmetrisch für die effiziente Datenverschlüsselung während der eigentlichen Kommunikation.

Was sind digitale Zertifikate? Welche Rolle spielen sie?

Digitale Zertifikate werden häufig in PKIs eingesetzt. Ein digitales Zertifikat ist eine eindeutige Identifikationsform für Personen, Geräte, Server, Websites und andere Anwendungen. Digitale Zertifikate dienen der Authentifizierung und der Validierung der Authentizität einer Entität. Sie ermöglichen zudem die verschlüsselte Kommunikation zwischen zwei Maschinen und gegenseitiges Vertrauen ohne Angst vor Spoofing. Sie unterstützen zudem die Verifizierung, was in der Zahlungsbranche für Wachstum und Vertrauen im E-Commerce sorgt.

Es gibt zwei Arten von Zertifikaten.

1. Selbstsigniertes Zertifikat Benutzer können ihre eigenen Zertifikate erstellen, die für die interne Kommunikation zwischen zwei vertrauenswürdigen Parteien verwendet werden können.
2. Signiert von der Zertifizierungsstelle Eine Zertifizierungsstelle stellt ein Zertifikat aus, das für TLS/SSL auf der Website verwendet werden kann. Kunden können das Zertifikat des Drittanbieters validieren, wodurch die Authentizität des Servers bestätigt wird.

Bevor eine Zertifizierungsstelle ein Zertifikat ausstellt, stellt sie sicher, dass es der richtigen Stelle übergeben wird. Dazu werden verschiedene Prüfungen durchgeführt, beispielsweise ob es sich um den Domänennameninhaber handelt. Erst nach Abschluss dieser Prüfungen wird das Zertifikat ausgestellt.

Was ist der X.509-Standard?

Die meisten öffentlichen Zertifikate verwenden ein standardisiertes, maschinenlesbares Zertifikatsformat für Zertifikatsdokumente. Es wurde ursprünglich X.509v3 genannt. Das Format wird auf vielfältige Weise verwendet, z. B.

• Internetprotokolle (TLS/SSL, das sichere HTTP-Verbindungen herstellt)
• Digitale Signaturen
• Digitale Zertifikate
• Zertifikatssperrlisten (CRLs)

Woraus besteht PKI? Wo werden die Zertifikate erstellt und gespeichert?

PKI (Public Key Infrastructure) nutzt mehrere Elemente in ihrer Infrastruktur, um die versprochene Sicherheit zu gewährleisten. PKI verwendet digitale Zertifikate, um Personen, Geräte und Software, die auf die Infrastruktur zugreifen, zu verwalten und zu validieren. Diese Zertifikate werden von einer Zertifizierungsstelle (CA) ausgestellt. Eine Zertifizierungsstelle stellt Zertifikate aus und validiert sie, die an einen Benutzer, ein Gerät, eine Software, einen Server oder eine andere CA ausgestellt wurden. Die CA stellt die Gültigkeit der Zertifikate sicher, widerruft Zertifikate und verwaltet deren Lebenszyklus.

Alle von der Zertifizierungsstelle angeforderten, empfangenen und widerrufenen Zertifikate werden in einer verschlüsselten Zertifikatsdatenbank gespeichert und verwaltet. Darüber hinaus wird ein Zertifikatsspeicher verwendet, in dem der Zertifikatsverlauf und weitere Informationen gespeichert werden.

Was ist eine Zertifizierungsstelle?

Die Zertifizierungsstelle bestätigt die Identität des Antragstellers. Der Antragsteller kann ein Benutzer, eine Anwendung usw. sein. Der Identifizierungsmodus wird je nach Art der Zertifizierungsstelle, Sicherheitsrichtlinien und Anforderungen für die Bearbeitung von Anfragen festgelegt.

Bei der Einrichtung wird eine Zertifikatsvorlage ausgewählt und das Zertifikat auf Anfrage anhand der angegebenen Informationen ausgestellt. Die CA veröffentlicht außerdem Sperrlisten, sogenannte CRLs, die sicherstellen, dass ungültige oder nicht autorisierte Zertifikate nicht mehr verwendet werden können.

Stammzertifizierungsstelle ist eine vertrauenswürdige Zertifizierungsstelle, hat die höchste Hierarchieebene und dient als Vertrauensanker. Bei der Validierung eines Zertifikatspfads wird das Stammzertifikat als letztes geprüft. Die Stammzertifizierungsstelle bleibt meist offline und sollte luftgekapselt bleiben, um eine Kompromittierung zu verhindern. Die Stammzertifizierungsstelle signiert Zertifikate für die ausstellende und andere untergeordnete Zertifizierungsstellen, die im gesamten Netzwerk verwendet werden. Fällt eine ausstellende Zertifizierungsstelle aus, kann eine neue erstellt werden. Fällt jedoch eine Stammzertifizierungsstelle aus oder wird sie kompromittiert, muss das gesamte Netzwerk neu erstellt werden.

Untergeordnete CA ist unter der Stammzertifizierungsstelle, aber über den Endpunkten angesiedelt. Sie unterstützen bei der Ausstellung von Zertifikaten, der Verwaltung von Richtlinien usw. Ihr Hauptziel ist die Definition und Autorisierung von Zertifikatstypen, die bei der Stammzertifizierungsstelle angefordert werden können. Beispiel: Untergeordnete Zertifizierungsstellen können sich je nach Standort unterscheiden, oder eine Zertifizierungsstelle kann RSA-Schlüssel und die andere ECC-Schlüssel verarbeiten.

Wer entscheidet, ob CA vertrauenswürdig ist? 

Das Vertrauen in Zertifizierungsstellen wird durch Mitgliedschaftsprogramme aufgebaut, bei denen jede Zertifizierungsstelle strenge Kriterien und Protokolle erfüllen muss, um als Mitglied aufgenommen zu werden. Browser und Betriebssysteme verfügen über eine begrenzte Anzahl zugelassener Zertifizierungsstellen. Diese müssen strenge Richtlinien und Sicherheitspraktiken befolgen, um die Integrität und Vertrauenswürdigkeit der von ihnen ausgestellten Zertifikate zu gewährleisten.

Ein Domain Validated (DV) SSL-Zertifikat bestätigt beispielsweise den Domänenbesitz, während ein Extended Validation (EV) SSL-Zertifikat noch weiter geht. EV-Zertifikate beinhalten gründliche Unternehmensprüfungen durch die Zertifizierungsstelle, wodurch zusätzliche Informationen wie der Firmenname in der Browserleiste angezeigt werden. Diese zusätzliche Überprüfung erhöht die Vertrauenswürdigkeit der Website und der ausstellenden Zertifizierungsstelle. 

Ablauf der Zertifikatserstellung

Schritt 1: Schlüsselgenerierung

Dies wird vom Benutzer durchgeführt. Der öffentliche Schlüssel wird an die Registrierungsberechtigung gesendet und der private Schlüssel verbleibt beim Benutzer.

Schritt 2: Erstellen Sie einen CSR

Mithilfe eines privaten Schlüssels generieren wir eine CSR, die den öffentlichen Schlüssel und die für das Zertifikat erforderlichen Details wie Domänen- und Organisationsinformationen enthält.

Schritt 3: An CA senden

Anschließend wird die CSR zur Ausstellung des Zertifikats an eine vertrauenswürdige Zertifizierungsstelle übermittelt.

Schritt 4: CA-Verifizierung

Nach Erhalt des Zertifikats beginnt die Zertifizierungsstelle mit dem Überprüfungsprozess, bevor sie das Zertifikat erteilt, d. h. basierend auf dem Typ des angeforderten Zertifikatstyps (Domäne validiert, Organisation validiert usw.).

Schritt 5: Zertifikatsausstellung

Nach Abschluss der Verifizierung wird ein entsprechendes Zertifikat ausgestellt.

Was sind CRLs?

Zertifikatsperrlisten sind Listen aller widerrufenen digitalen Zertifikate. Eine Zertifizierungsstelle füllt CRLs, da die CA die einzige Stelle ist, die die von ihr ausgestellten Zertifikate widerrufen kann.

Ohne eine Sperrliste ist es schwieriger, vor Ablauf der Gültigkeitsdauer eines Zertifikats festzustellen, ob es gesperrt wurde oder nicht. Die Sperrliste ist vergleichbar mit einer Liste nicht autorisierter Einheiten.

Ein Zertifikat kann aufgrund des Endes seines Lebenszyklus ablaufen. Bei der Erstellung des Zertifikats wird auch festgelegt, wie lange das Zertifikat gültig bleibt.

Sollte jedoch innerhalb dieses Zeitraums der Schlüssel kompromittiert werden, der Benutzer kündigen oder aus anderen Gründen, wird das Zertifikat widerrufen und kann nicht mehr für den Zugriff verwendet werden. Das Zertifikat wird als nicht autorisiert gekennzeichnet und kann nicht mehr von anderen verwendet werden.

Darüber hinaus fungieren diese CRLs als Kontrollpunkt innerhalb der PKI-Infrastruktur. Stellt unser Browser eine Verbindung zu einer von uns besuchten Website her, validiert er das von der Website ausgestellte digitale Zertifikat. Diese Zertifikate enthalten einen oder mehrere Links, über die der Browser die CRL abrufen kann. Je nach Antwort stuft der Browser das Zertifikat entweder als vertrauenswürdig ein oder benachrichtigt uns über das widerrufene Zertifikat. 

Somit fungiert CRL in diesem gesamten Prozess als schwarze Liste, die Informationen zu Zertifikaten enthält, die aufgrund von Sicherheitsverletzungen oder anderen Problemen vor ihrem Ablaufdatum widerrufen wurden. 

Was ist eine Delta-CRL?

In großen Organisationen können CRLs sehr umfangreich werden. Da ein Zertifikat bis zu seinem Ablauf in der CRL verbleiben muss, können sie mehrere Jahre bestehen bleiben. Die Übertragung der gesamten CRL von einem Server auf einen anderen kann einige Zeit in Anspruch nehmen. Um diesen Prozess zu beschleunigen, wird eine CA-Delta-CRL ausgestellt, die nur die seit der letzten CRL-Aktualisierung vorgenommenen Änderungen enthält. Dadurch wird die Übertragung deutlich verkürzt und die Aktualisierung der CRLs beschleunigt.

Was ist eine ARL?

Die Authority Revocation List (ARL) ist eine Abwandlung der CRL. Sie enthält widerrufene Zertifikate, die an Zertifizierungsstellen und nicht an Benutzer, Software oder andere Clients ausgestellt wurden. Die ARL dient ausschließlich zur Verwaltung einer Vertrauenskette.

Was ist OCSP?

Das in RFC 6960 beschriebene Online Certificate Standard Protocol dient zur Bestätigung des Sperrstatus eines digitalen Zertifikats. OCSP ist eine einfachere und schnellere Methode zur Sperrprüfung als CRLs, da die Prüfungen durch die CA statt durch PKI durchgeführt werden. Die übertragenen Daten sind geringer, was der CA die Auswertung erleichtert.

OCSP ist jedoch weniger sicher als CRLs. Gründe hierfür sind:

• OCSP ist weniger aussagekräftig. Die einzigen Informationen, die CA zurücksendet, sind entweder „gut“, „schlecht“ oder „unbekannt“.
• OCSP hat keine Anforderungen für die Verschlüsselung.
• Möglich, wenn eine „gute“ Antwort erfasst werden kann und eine Wiedergabe auf eine andere OCSP-Anfrage möglich ist.

Vertrauenswürdige Stammzertifikate 

Vertrauenswürdige Zertifikate bilden eine Vertrauenskette, die andere von den vertrauenswürdigen Stammzertifikaten signierte Zertifikate überprüft. Sie sind in der Regel die obersten Zertifikate in der Zertifikatshierarchie. Wenn wir eine sichere Website (mit HTTPS) besuchen, gleicht unser Browser das SSL/TLS-Zertifikat der Website mit einer lokal gespeicherten Liste vertrauenswürdiger Stammzertifikate ab. Ist das von der Website präsentierte Zertifikat von einem dieser vertrauenswürdigen Stammzertifikate signiert, gilt die Verbindung als sicher und verschlüsselt. 

Ein Beispiel hierfür ist die Microsoft Root Certification Authority. Dieses Zertifikat wird von der Microsoft Corporation ausgestellt und ist im vertrauenswürdigen Stammzertifikatspeicher von Windows-Betriebssystemen und Microsoft-Produkten enthalten. Es dient dazu, Vertrauen für verschiedene Microsoft-Dienste, -Anwendungen und -Websites herzustellen. 

Was ist eine zweistufige Architektur in PKI?

Eine zweistufige Architektur erfüllt die Anforderungen der meisten Organisationen. Die Stammzertifizierungsstelle (Root CA) befindet sich auf der ersten Ebene und sollte offline und luftgetrennt bleiben. Die untergeordnete ausstellende Zertifizierungsstelle (Issuing CA) sollte online sein. Durch die Trennung der Rollen von Stammzertifizierungsstelle und ausstellender Zertifizierungsstelle erhöht sich die Sicherheit. Die Offline-Funktion der Stammzertifizierungsstelle schützt ihre privaten Schlüssel besser und verringert das Risiko einer Kompromittierung.

Die zweistufige Architektur erhöht zudem Skalierbarkeit, Flexibilität und damit auch die Fehlertoleranz. Durch die Rollentrennung können mehrere ausstellende CAs erstellt und einem Load Balancer zugeordnet werden. Dies ermöglicht es uns außerdem, CAs in verschiedenen Regionen zu speichern und je nach Region unterschiedliche Sicherheitsstufen zu verwenden. Die Verwaltbarkeit wird ebenfalls verbessert, da die CAs getrennt sind und die Root-CA nur zum Signieren von CRLs online geschaltet werden muss.

Für die meisten PKI-Lösungen wird dringend eine Zwei-Schichten-Architektur empfohlen.

Was ist eine dreistufige Architektur in PKI?

Wie bei der zweistufigen Architektur gibt es auch bei der dreistufigen Architektur eine Offline-Stammzertifizierungsstelle oben und eine online ausstellende Zertifizierungsstelle unten. Es gibt jedoch eine Zwischenebene, die die Zertifizierungsstelle enthält, die offline bleiben sollte. Die Zwischenzertifizierungsstelle kann als Richtlinienzertifizierungsstelle fungieren und die bei der Ausstellung eines Zertifikats zu befolgenden Richtlinien vorgeben. Jeder authentifizierte Benutzer kann ein Zertifikat erhalten oder muss zur Zertifikatsgenehmigung persönlich erscheinen.

Wenn jedoch eine ausstellende Zertifizierungsstelle kompromittiert wird oder etwas Ähnliches passiert, kann die zweite Ebene die Zertifikate widerrufen, während die übrigen Zweige am Leben bleiben.

Eine dreistufige PKI erhöht zwar die Sicherheit, Skalierbarkeit und Flexibilität, ist aber mit höheren Kosten und einem höheren Verwaltungsaufwand verbunden. Wenn eine Organisation keine administrativen oder politischen Grenzen implementiert, bleibt die mittlere Ebene möglicherweise ungenutzt. Daher werden dreistufige PKIs in der Regel weder empfohlen noch eingesetzt.

Implementierung von PKI

Welche Herausforderungen werden durch PKI gelöst?

1. Vertrauen können

   PKI hilft Nutzern, die Gültigkeit von Geräten und Websites zu bestätigen. Dadurch wird sichergestellt, dass Nutzer die richtige Website aufrufen. Die Kommunikation zwischen Nutzer und Server bleibt verschlüsselt. Das schließt Spoofing oder Man-in-the-Middle-Angriffe aus. PKI hilft Kunden außerdem, E-Commerce-Websites zu vertrauen und Online-Zahlungen sicher durchzuführen. PKI gewährleistet die Authentizität aller Beteiligten und verschlüsselt die Kommunikation zwischen ihnen, wodurch Vertrauen aufgebaut wird.

2. Authentifizierung

   Passwörter sind schwach, da die Leute dazu neigen, sie weiterzugeben, auf Post-its zu schreiben usw. PKI erstellt digitale Zertifikate, die ihre Identität bestätigen, und da die Identität bestätigt wird, funktioniert es zur Authentifizierung von Benutzern, Geräten und Anwendungen.

3. Sicherheit

   PKI verbessert die Sicherheit, denn wenn das Vertrauen gestärkt und die Authentifizierung implementiert ist, bleibt nur noch die PKI selbst als Angriffsvektor übrig. Der Mensch ist in der Regel das schwächste Glied in der Sicherheitskette, und bei der Implementierung von PKI haben Benutzer kaum Kontrolle. PKI stellt sicher, dass alle Richtlinien eingehalten werden und die Sicherheit gewährleistet ist. Digitale Zertifikate (in Form von Smartcards) tragen dazu bei, dass Benutzer keine leicht kompromittierbaren Passwörter oder PINs verwenden. Die einzige verbleibende Variable ist die PKI, die gesichert werden kann und so das Netzwerk schützt.

PKI für das Internet

Das Surfen im Internet erfolgt häufig über HTTPS, eine sichere Version von HTTP, die die primäre Methode zum Aufrufen von Websites darstellt. Bei Verwendung von HTTPS ist unsere Verbindung zum Server verschlüsselt. Um sicherzustellen, dass wir uns mit dem richtigen Server verbinden, akzeptiert unser Browser zunächst ein Zertifikat vom Server. Anschließend validiert er das Zertifikat und verwendet den darin enthaltenen öffentlichen Schlüssel, um eine sichere Verbindung herzustellen.

Dieses Zertifikat beweist die Authentizität des Servers, erhöht die Sicherheit, verschlüsselt die Verbindung und gibt dem Benutzer das Vertrauen in die Website.

Ist das Zertifikat ungültig oder abgelaufen, weist der Browser den Benutzer darauf hin, der Website nicht zu vertrauen. Häufig wird der Besuch der Website sogar untersagt. Der Browser kann den Benutzer auch daran hindern, Websites zu besuchen, die keine HTTPS-Verbindungen verwenden.

PKI zur Authentifizierung

PKI stellt digitale Zertifikate bereit, die die Authentizität des Benutzers belegen. Da der Benutzer authentisch ist und autorisiert ist, dient sie der Authentifizierung von Benutzern in einem Bereich mithilfe von Smartcards oder im Netzwerk. PKI geht weit über die reine Benutzerauthentifizierung hinaus. Sie ermöglicht Benutzern und Systemen die Überprüfung ihrer Identität und die drahtlose Kommunikation, wie bei der zertifikatsbasierten WLAN-Authentifizierung.

Mithilfe dieser digitalen Zertifikate können auch andere Geräte und Server authentifiziert werden, um Zugriff und Berechtigungen auf das Netzwerk zu erhalten. Dies kann auch Intrusion Detection Devices oder andere Netzwerkgeräte wie Router umfassen. PKI spielt auch bei der VPN-Authentifizierung eine wichtige Rolle. Da über VPN zudem hochsensible Daten abgerufen werden, gelten Zertifikate als bevorzugte Authentifizierungsmethode. In der Regel wird die CA in der Firewall des Geräts gespeichert. Sobald der Benutzer authentifiziert ist, wird ein sicherer Tunnel zwischen den beiden kommunizierenden Einheiten erstellt.

PKI für die Kommunikation

PKI kann für die Kommunikation verwendet werden, wobei beide Parteien die Authentizität des jeweils anderen überprüfen können, was dazu führt, dass sie der Identität des anderen vertrauen und ihre Konversation verschlüsseln. Dies erhöht die Sicherheit und das Vertrauen zwischen den an der Kommunikation beteiligten Parteien erheblich. Ein Paradebeispiel für PKI in der Kommunikation ist sichere E-Mail. S/MIME (Secure/Multipurpose Internet Mail Extensions) verwendet digitale Zertifikate zur Verschlüsselung von E-Mails. Sowohl Absender als auch Empfänger benötigen ein vertrauenswürdiges, von einer Zertifizierungsstelle signiertes Zertifikat. S/MIME nutzt diese Zertifikate, um die Authentizität des Absenders sicherzustellen und den E-Mail-Inhalt zu verschlüsseln, sodass nur der vorgesehene Empfänger mit dem öffentlichen Schlüssel darauf zugreifen kann.

PKI im IoT

Auf der Erde gibt es mehr Geräte als Menschen. In den USA gibt es in jedem Haushalt durchschnittlich elf vernetzte Geräte. Die Verwaltung und Bereitstellung ausreichender IP-Adressen für alle Geräte ist eine Herausforderung. Im November 2019 ging in Europa IPv4 aus. Aus diesem Grund wurde 2012 IPv6 eingeführt, das seitdem im Einsatz ist.

Die Anzahl der Geräte wird aufgrund des IoT-Booms zwangsläufig weiter steigen. Mit der zunehmenden Anzahl intelligenter Geräte wird es zu einer Herausforderung, die digitale Identität dieser Geräte zu bestätigen und eine angemessene Netzwerksicherheit zu gewährleisten.

PKI bietet die Möglichkeit, Smartgeräten digitale Zertifikate zuzuweisen und die Verbindung zum Server zu sichern. Dies hilft OEMs, die Smartgeräte zu verfolgen, Updates bereitzustellen, zu überwachen und bei Bedarf sogar zu reparieren. Darüber hinaus schützt es IoT-Geräte vor Angriffen, die verheerende Folgen haben können, da sie unser Zuhause und unseren persönlichen Bereich beeinträchtigen können.

Verschlüsselungsberatung – PKI-Beratungsdienste

Encryption Consulting bietet mit seinen erstklassigen Beratern eine breite Palette an PKI-Diensten für alle Kunden. Unsere Leistungen umfassen:

• PKI-Bewertung  Die Bewertung identifiziert Lücken und liefert Empfehlungen im Rahmen einer vergleichenden Studie zum aktuellen und zukünftigen Zustand der PKI des Kunden. Diese Studie liefert den Kunden einen wertvollen Risikobericht, einen Fahrplan zur Verbesserung und eine Möglichkeit, Investitionen in die Datensicherheit zu priorisieren.
• PKI-Design/Implementierung  Die Entwicklung und Implementierung einer erfolgreichen PKI erfordert Fachwissen. Hier unterstützen wir unsere Kunden. Wir entwickeln PKI und unterstützende Prozesse. Anschließend unterstützen wir Sie bei der Implementierung/Migration der PKI-Technologie und -Infrastruktur, einschließlich der Stamm- und ausstellenden Zertifizierungsstellen. Wir entwickeln PKI-Richtlinien, -Regeln und -Prozesse, die auf Ihre Geschäftsanforderungen abgestimmt sind.
• PKI CP/CPS-Entwicklung Die CP- und CPS-Dokumente beschreiben die Architektur Ihrer spezifischen PKI und enthalten Abschnitte zu Zertifikatsverwendung, Benennung, Identifizierung, Authentifizierung, Schlüsselgenerierung, Verfahren, Betriebskontrollen, technischen Kontrollen, Sperrlisten, Audits, Bewertungen und rechtlichen Fragen. Encryption Consulting arbeitet mit den Interessenvertretern des Kunden zusammen, um ein Dokument mit Zertifikatsrichtlinien (CP) und Zertifikatspraxiserklärungen (Certificate Practice Statement, CPS) gemäß der Vorlage in Request for Comment (RFC) Nr. 3647 zu entwickeln.
• PKI als Service PKI as a Service von Encryption Consulting bietet Ihnen eine anpassbare, hochsichere Microsoft PKI, die nach höchsten Standards entwickelt und gebaut wurde. Es handelt sich um eine risikoarme, verwaltete Lösung, die Ihnen die volle Kontrolle über Ihre PKI gibt, ohne sich um die Komplexität kümmern zu müssen.
• PKI-Schulung Encryption Consulting bietet PKI-Schulungen für alle an, die Zertifikate verwenden oder verwalten, eine PKI-Unternehmenslösung entwerfen oder bereitstellen oder eine kommerzielle PKI-Technologielösung bewerten und auswählen.

Fazit

Zusammenfassend lässt sich sagen, dass die Public Key Infrastructure (PKI) der Eckpfeiler der modernen virtuellen Sicherheit bleibt, da sie Authentifizierung, Verschlüsselung und Genehmigung der notwendigen Mittel für eine sichere Kommunikation zwischen Domänen bereitstellt. Bei Verwendung von asymmetrischer Verschlüsselung, digitaler Verwendung robuster Zertifikate und Überprüfungsprozesse gewährleistet PKI die Authentizität und Echtheit von Benutzern, Geräten und Paketen.

Encryption Consulting bietet umfassendes Fachwissen und maßgeschneiderte Lösungen. Mit einem Team aus Top-Experten bietet Encryption Consulting umfassende PKI-Tests, Design, Implementierung und Schulungen an und stellt sicher, dass Kunden maßgeschneiderte Lösungen erhalten, die ihren individuellen Sicherheitsanforderungen entsprechen.