TechTalk

Public Key Infrastructure

Posted on Author Klaus Dieter Wolfinger

Was ist eine PKI

Bei einer PKI handelt es sich um eine streng geregelte hierachische Struktur zur Verwaltung von Zertifikaten und Schlüsseln. Die PKI ist die Basis der Vertrauensstellung zwischen Zertifikaten, Herausgeber und Inhaber.

Die technische Basis einer PKI sind asymmetrische Verschlüsselungsverfahren. Schlüsselpaare, bestehend aus einem privaten und einem öffentlichen Anteil werden beim Verbindungsaufbau (Beispiel Onlinebanking) zum Austauch von sogenannten “Sessionkeys” verwendet. Die öffentlichen Schlüssel-Anteile werden nun also vorab in Zertifikatsanfragen gepackt, und einem Trustcenter (PKI) zur Unterschrift vorgelegt. Um also die Zugehörigkeit eines öffentlichen Schlüssels zu einer Person oder Maschine eindeutig zu Beschreiben, signiert ein Tructcenter innerhalb einer PKI diese Zertifikatsanfragen.

PKI Zertifikatsrichtline nach RFC3647

Eine PKI Richtlinie (Policy) erfüllt folgende Aufgaben:

  1. Sie regelt verbindlich die Generierung, Herausgabe und Verwendung von Zertfiikaten (elektronische IDs) für den elektronischen Schriftverkehr und Datenübertragung
  2. Sie dient als Musterdokument zur externen Veröffentlichung der “Certificate Policy” sowie eines “Certification Practice Statements” über einen öffentlichen Webserver.

Abkürzungsverzeichnis

Zum besseren Verständnis dieses Dokumentes werden hier die am häufigsten benutzen Abkürzungen beschrieben.

PKIPublic Key Infrastructure
PKITPKI Tool, Software for Certificate Management
CACertification Authority
CPCertificate Policy
PDSPKI Disclosure Statement
RARegistration Authority
RFCRequest for Comment

Zertifikatsrichtlinie CP

Eine CP ist eine verbindliche Beschreibung von Anforderungen der PKI. Sie ist konform zu gesetzlichen Regelungen zu halten.
Eine CP soll in in Teilen veröffentlicht werden, um das Sicherheitsniveau der PKI klar zu beschreiben. Dies trägt im Wesentlichen zum Vertrauen der beteiligten Parteien bei.

Certification Practice Statement CPS

Eine CPS ist die Beschreibung der Umsetzung einer PKI und wird nicht veröffentlicht. Die CPS ist damit auch die Grundlage eines internen Audits nach rechtlichen und technischen Standards.

PKI Disclosure Statement PDS

Das PDS als kleines Dokument, mit Anteilen aus dem CP oder CPS, bestehend aus Minimalaussagen, kann den Unternehmensverträgen zugefügt werden.
Damit wird vertraglich ein Mindest-Sicherheitsniveau definiert und wird von den Partnern als verbindlich bestätigt. Das Vertrauensniveau zwischen Kommunikationspartnern soll durch das CPS erhöht werden.

A PDS is a supplementary document that provides a concise, clear and conspicuous framework to disclose and emphasize critical information about the policies an practices of a CA or a PKI that is normally adressed in much greater detail by an associated CP or CPS

RFC3647