• Sichere Anmeldung am Arbeitsrechner (Windows-Anmeldung)
• Sicherer Zugriff auf Unternehmensnetzwerke wie WIFI und VPN
• Starke Authentifizierung bei Clouddiensten oder lokalen Anwendungen
• E-Mail-Verschlüsselung und -Signatur
• Digitales Signieren von Dokumenten und Transaktionen
• Organisationssiegel
• Sichere Kommunikation zwischen Netzwerkkomponenten im Unternehmensumfeld (Server, Endgeräte, Schnittstellen, Router)
• Authentifizierung und sichere Kommunikation zwischen vernetzten Geräten im Internet der Dinge (IoT), Industrie 4.0, vernetztes Fahren

Innerhalb einer PKI sorgen digitale Zertifikate für die Vertrauenswürdigkeit von Identitäten. Sie stellen sicher, dass sowohl Geräte als auch Software sicher miteinander kommunizieren können. Sie alle besitzen ein digitales Zertifikat, das die jeweilige Identität verlässlich bestätigt.

Crashkurs PKI
Starke Authentifizierung, Datenverschlüsselung und digitale Signaturen sind die wesentlichen Funktionen, die mit einer PKI umgesetzt werden. Wer den Aufbau einer PKI verstehen will, sollte sich mit den wichtigsten Bestandteilen beschäftigten.

Die Certificate Authority (CA): Die Certificate Authority ist sozusagen die Quelle des Vertrauens. Sie macht die unbekannten Parteien innerhalb eines Netzwerks miteinander bekannt. Sie bestätigt beispielsweise, dass ein Gerät auch wirklich das ist, als das es sich ausgibt. Dies alles erfolgt mittels digitaler Zertifikate, die von der CA ausgestellt werden und deren Gültigkeit von der CA überwacht wird.

Das digitale Zertifikat: Ein Zertifikat besteht aus verschiedenen Informationen, unter anderem einer Seriennummer und einem Ablaufdatum. Es beinhaltet auch die digitale Signatur der ausstellenden Certificate Authority, sowie den öffentlichen Schlüssel des Zertifikatsinhabers. Weiterhin werden durch das Zertifikat die Regeln, mit denen sich der Zertifikatsinhaber in der digitalen Welt bewegen kann, festgelegt. Denn Zertifikate können für die Authentifizierung, die Signatur oder auch zum Verschlüsseln Verwendung finden.

Öffentliche und private Schlüssel: In der Kryptographie kommen öffentliche und private Schlüssel (Bitfolgen) zum Einsatz, um Daten zu verschlüsseln und zu entschlüsseln. Öffentlicher und privater Schlüssel werden als Paar generiert und sind mathematisch verknüpft. Dann werden sie jeweils an unterschiedliche Stellen im Netzwerk verteilt: Der öffentliche Schlüssel ist frei zugänglich – der private Schlüssel ist nur dem Besitzer bekannt und streng geheim.

Die Validation Authority: Die Aufgabe der Validation Authority ist es, die Gültigkeit digitaler Zertifikate zu überprüfen – und zwar in Echtzeit. Über das sogenannte Online Certificate Status Protocol (OCSP) fragt sie den Status eines Zertifikats bei der Certificate Authority ab. Wurde ein Zertifikat bereits vor Ablauf seiner Gültigkeit widerrufen – beispielsweise aufgrund von veränderten Berechtigungen, oder weil das Zertifikat korrumpiert wurde – so kann es in einer Certificate Revocation List (CRL) eingetragen und bereitgestellt werden, die ebenfalls vom Validierungsdienst eingesehen wird.

Aber wie lässt sich damit nun eine Authentifizierung oder das digitale Signieren von Dokumenten sowie eine entsprechende Verschlüsselung bewerkstelligen?

So funktioniert PKI
Werden Daten mit einem öffentlichen Schlüssel verschlüsselt, lassen sie sich nur mit dem dazugehörigen privaten Schlüssel entschlüsseln. Wird eine Nachricht mit einem privaten Schlüssel signiert, dann verifiziert der dazugehörige öffentliche Schlüssel die Unterschrift.

Authentifizierung in einer PKI: Bei der Authentifizierung kennt das System alle öffentlichen Schlüssel seiner User, da diese ja zugänglich sind und verteilt wurden. Wenn zum Beispiel eine Person sich gegenüber einer Anwendung eindeutig authentisieren will, erzeugt die Anwendung rein zufällige Daten und schickt sie an die Person. Die Person verschlüsselt die Daten mit ihrem öffentlichen Schlüssel und schickt sie zurück. Die Anwendung entschlüsselt die Daten mit dem im digitalen Zertifikat enthaltenen öffentlichen Schlüssel der Person. Stimmen die entschlüsselten Daten mit den ursprünglich versendeten Daten überein, dann weiß die Anwendung, dass die Person auch wirklich die Person ist, die sie vorgibt zu sein.

Digitales Signieren in einer PKI: Beim digitalen Signieren wird zuerst mithilfe eines Algorithmus der sogenannte Hash-Wert des Dokuments oder der Transaktion berechnet. Das Ergebnis ist der "Fingerabdruck" des Dateiinhalts. Der Hash-Wert wird nun mit dem privaten Schlüssel des Users (Mensch oder Maschine) verschlüsselt und dem Dokument oder der Transaktion hinzugefügt. Das ist die Signatur. Die Signatur wird nun zusammen mit dem öffentlichen Schlüssel des Users dem Dokument beigefügt. Jetzt lässt sich die Signatur mit dem enthaltenen öffentlichen Schlüssel entschlüsseln und der Hash-Wert des Dokuments berechnen. Wenn beide Resultate übereinstimmen, ist die Gültigkeit der Signatur und die Integrität des Dokuments bestätigt.

Verschlüsselung und Entschlüsselung in einer PKI: Bei der Ende-zu-Ende-Verschlüsselung von E-Mails tauschen Sender und Empfänger zunächst ihre öffentlichen Schlüssel aus. Der Sender verschlüsselt dann seine Nachricht an den Empfänger mit dessen öffentlichem Schlüssel – somit ist der Empfänger der einzige, der die Nachricht mit seinem privaten Schlüssel entschlüsseln und lesen kann. Das gängigste Verfahren für diese Form der Verschlüsselung ist S/MIME (Secure / Multipurpose Internet Mail Extensions).

Für die Ver- und Entschlüsselung großer Datenmengen ist das asymmetrische Verfahren zu langsam – hier muss symmetrische Verschlüsselung zum Einsatz kommen. Da beim symmetrischen Verfahren der gleiche Schlüssel für Ver- und Entschlüsselung Verwendung findet, muss dieser auf besonders sicherem Wege zwischen den Kommunikationspartnern ausgetauscht werden. Für das Übermitteln des Schlüssels werden daher die asymmetrischen Kryptographie-Funktionen der PKI genutzt, um die Übertragung sicher zu gestalten.

Seite 1: So funktioniert PKI

Seite 1 von 2

Nächste Seite >>

ln/Thorsten Gahrmann, Head of Software Sales DACH bei der Nexus Technology GmbH