Der entscheidende Leitfaden für PKI

Die Public key infrastructure (PKI) besteht aus Richtlinien, Rollen, Hardware, Software und Verfahren, die zum Erstellen, Verwalten, Verteilen, Verwenden, Speichern und Widerrufen von digitalen Zertifikaten erforderlich sind. Ein digitales Zertifikat funktioniert wie ein Reisepass oder ein Führerschein, indem es Ihre Identität nachweist und bestimmte Berechtigungen gewährt.

Der Zweck einer PKI besteht darin, die sichere elektronische Übertragung von Informationen für eine Reihe von Netzaktivitäten wie E-Commerce, Internet-Banking und vertrauliche E-Mails zu erleichtern. Dabei handelt es sich um ein System, das es Nutzern und Maschinen ermöglicht, sicher Daten über das Internet auszutauschen und die Identität der anderen Partei zu überprüfen.

Wenn Sie sich zum Beispiel bei Ihrem Online-Banking-Konto anmelden, verschlüsselt PKI die Verbindung und sorgt dafür, dass Ihre sensiblen Daten privat und sicher bleiben. Auf diese Weise können Sie Ihre Anmeldedaten sicher eingeben und auf Ihr Konto zugreifen, in der Gewissheit, dass Sie es nicht mit einer illegalen Website zu tun haben.

Bestandteile der PKI

Bei der Public-Key-Infrastruktur handelt es sich nicht um eine einzelne Technologie, sondern um eine Kombination aus mehreren wesentlichen Bestandteilen. Gemeinsam stellen sie die Technologien und Prozesse zur Verwaltung der Verschlüsselung, zum Schutz der Daten und zur Sicherung der Kommunikation in großem Umfang bereit.

Auf einer allgemeinen Ebene umfasst die PKI:

• PKI-Schlüssel: Ein Schlüsselpaar ermöglicht die Verschlüsselung – ein Prozess, bei dem Daten so umgewandelt werden, dass niemand außer dem vorgesehenen Empfänger sie lesen kann. In der Kryptografie wird jeder öffentliche Schlüssel mit einem privaten Schlüssel gepaart. Der öffentliche Schlüssel wird frei und offen verteilt, während der private Schlüssel für den Besitzer geheim ist.
• Digitale Zertifikate:: Elektronische Ausweise, die die Identität des Zertifikatsinhabers mit einem Schlüsselpaar verbinden, das zum Verschlüsseln und Signieren von Informationen verwendet werden kann. 
• Zertifizierungsstelle (CA): Eine vertrauenswürdige Instanz, die digitale Zertifikate ausstellt. 
• Registrierungsstelle (RA): Zuständig für die Annahme von Zertifikatsanträgen und die Authentifizierung der dahinter stehenden Person oder Organisation.
• Zertifikat-Repository: Sichere Orte, an denen Zertifikate gespeichert werden und zur Validierung abgerufen werden können.
• Zentrale Verwaltungssoftware: Ein Dashboard, mit dem Unternehmen ihre kryptografischen Schlüssel und digitalen Zertifikate verwalten können.
• Hardware-Sicherheitsmodul (HSM): Physische Geräte, die eine sichere Umgebung für die Durchführung kryptografischer Operationen und die Speicherung/Verwaltung digitaler Schlüssel bieten.

Viele dieser Komponenten sind über umfassende PKI-Anbieter erhältlich. Zum Beispiel ist Entrust PKI eine branchenführende Lösung, die Unternehmen nutzen, um Menschen, Systeme und Ressourcen sicher zu verbinden. Als flexibles Angebot ist es vor Ort, in der Cloud und als verwalteter PKI-Service verfügbar.

Wenn Sie wissen, wie PKI funktioniert, können Sie besser verstehen, warum sie so wichtig ist und wie Ihr Unternehmen ihre Möglichkeiten optimal nutzen kann. Schauen wir uns die einzelnen Teile mal genauer an:

Kryptografie und Verschlüsselung

Obwohl diese Begriffe miteinander verwandt sind, sind sie nicht austauschbar. Die Kryptografie ist die Wissenschaft von der Sicherung der Kommunikation durch Code, während die Verschlüsselung eine Untergruppe der Kryptografie ist, die dies mit Hilfe mathematischer Algorithmen erreicht. Beide verschleiern sensible Informationen, sodass sie für Unbefugte unlesbar werden.

Verschlüsselungsalgorithmen lassen sich in zwei Kategorien einteilen:

• Symmetrische Verschlüsselung: Bei dieser Methode wird derselbe kryptografische Schlüssel zur Verschlüsselung (Sicherung) und Entschlüsselung (Entsperrung) von Daten verwendet. Trotz der Einfachheit ist es so, als würde man alles auf eine Karte setzen – jeder, der den Schlüssel kompromittiert, kann auf das zugreifen, was er schützt.
• Asymmetrische Verschlüsselung: Im Gegensatz dazu wird die asymmetrische Verschlüsselung in der gesamten PKI verwendet, weshalb sie auch „Public-Key-Kryptografie“ genannt wird. Bei dieser Methode wird ein mathematisch verknüpftes Schlüsselpaar verwendet, um Ver- und Entschlüsselung getrennt zu behandeln. Da der private Schlüssel den Zugriff erlaubt, ist er nur der Instanz bekannt, die die geschützte Nachricht erhält.

Angenommen, Sie möchten eine vertrauliche Nachricht an John senden. Sie verschlüsseln die Nachricht mit dem öffentlichen Schlüssel von John, der für jeden zugänglich ist. Dadurch wird sichergestellt, dass nur Johns privater Schlüssel, den er sicher aufbewahrt, die Nachricht entschlüsseln kann. Auf diese Weise wird verhindert, dass andere Personen, einschließlich potenzieller Angreifer, den Inhalt lesen können.

Aber woher wissen Sie, dass der öffentliche Schlüssel, den Sie erhalten haben, zu dem gehört, von dem Sie glauben, dass er es ist? Ohne Authentifizierung laufen Sie Gefahr, Opfer eines MITM-Angriffs (Man-in-the-Middle) zu werden. Dies ist der Fall, wenn ein Betrüger einen öffentlichen Schlüssel verwendet, um die Kommunikation für schändliche Zwecke, wie z. B. das Entwenden von Daten, abzufangen und zu verändern.

Hier kommen die digitalen Zertifikate ins Spiel.

Digitale Zertifikate

Ein digitales Zertifikat, manchmal auch als „Public-Key-Zertifikat“ bezeichnet, ist ein elektronisches Dokument, das zur Identifizierung des Inhabers eines öffentlichen Schlüssels verwendet wird. Dadurch kann der Empfänger bestätigen, dass der Schlüssel von einer legitimen Quelle stammt, was das Risiko eines MITM-Angriffs verringert. 

Die Zertifikate umfassen in der Regel:

• Identifizierbare Informationen, wie der Name des Zertifikatsinhabers, die Seriennummer des Zertifikats und sein Ablaufdatum
• Eine Kopie des öffentlichen Schlüssels
• Die digitale Unterschrift der ausstellenden CA zum Nachweis der Authentizität

Zertifizierungsstellen

Eine Zertifizierungsstelle (CA) ist eine vertrauenswürdige Drittorganisation, die digitale Zertifikate erstellt und ausgibt. Im Falle einer öffentlichen Zertifizierungsstelle sind sie auch für die Überprüfung und Validierung der Identität von Zertifikatsinhabern zuständig, was sie zu einem integralen Bestandteil der Infrastruktur für öffentliche Schlüssel macht.

Alle CAs müssen eine „Zertifikatswiderrufsliste“ führen. Kurz gesagt, diese dokumentiert alle Zertifikate, die von einer vertrauenswürdigen CA vor ihrem geplanten Ablaufdatum widerrufen wurden, und identifiziert alle, denen nicht mehr vertraut werden sollte.

Grob gesagt gibt es zwei Arten von CAs:

• Root-Zertifizierungsstelle: Der vertrauenswürdigste Typ von CA in der PKI-Hierarchie. Das Zertifikat einer Root-CA ist selbstsigniert, d. h. es wird durch seine eigene digitale Signatur authentifiziert. Diese CAs bilden die Grundlage für das Vertrauen, da ihre Zertifikate zum Erstellen, Signieren und Ausstellen von Zertifikaten an untergeordnete CAs oder direkt an Endinstanzen verwendet werden.
• Untergeordnete Zertifizierungsstelle: Eine Organisation, die von einer Root-CA oder einer ihr untergeordneten CA zertifiziert ist, die in der Kette höher steht. Zertifikate, die von einer untergeordneten CA ausgestellt werden, tragen die Signatur der Root-CA und sind somit vertrauenswürdig. Jedes Zertifikat in der Kette ist dafür verantwortlich, die Authentizität des nächsten zu bestätigen, wodurch ein kontinuierlicher und zuverlässiger Vertrauenspfad von oben nach unten entsteht.

Wie erstellen CAs digitale Zertifikate? Das grundlegende Verfahren funktioniert folgendermaßen:

1. Schlüsselerstellung: Ein Benutzer erzeugt ein Schlüsselpaar.
2. Zertifikatanforderung: Der Benutzer sendet eine Zertifikatsignierungsanforderung (CSR) an eine Zertifizierungsstelle, einschließlich seines öffentlichen Schlüssels und seiner Identifikationsdaten.
3. Verifizierung:: Die CA validiert die Identität des Benutzers, oft mit Hilfe einer RA. 
4. Zertifikat-Ausstellung: Nach der Überprüfung stellt die Zertifizierungsstelle ein digitales Zertifikat aus, das den öffentlichen Schlüssel des Benutzers und andere Identifikationsdaten enthält. Dieses Zertifikat wird ebenfalls mit dem privaten Schlüssel der Zertifizierungsstelle signiert, wodurch eine digitale Signatur entsteht.
5. Zertifikatverwendung: Bei der sicheren Kommunikation kann der Absender die Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsseln. Wenn der Empfänger die Nachricht erhält, kann er sie mit seinem privaten Schlüssel entschlüsseln.

Zertifikatsverwaltungssysteme

Zertifikatsverwaltungssysteme sind Softwarelösungen, die alle Aspekte des Lebenszyklus von Zertifikaten erleichtern. Von der Zertifikatsregistrierung und -ausstellung bis hin zur Verteilung, dem Widerruf und der Erneuerung nutzen sie die Automatisierung, um Prozesse zu rationalisieren und sicherzustellen, dass kryptografische Ressourcen ordnungsgemäß verwaltet werden.

Einige Lösungen führen zum Beispiel detaillierte Protokolle über alle damit verbundenen Aktivitäten, was die Einhaltung gesetzlicher Vorschriften und interner Audits erleichtert. Durch die Zentralisierung der Verwaltung über eine einzige Quelle der Wahrheit reduzieren Unternehmen das Risiko von falsch verwalteten Zertifikaten und verbessern den Datenschutz.

Hardware-Sicherheitsmodule

Schließlich spielen HSMs eine zentrale Rolle in der Sicherheitsarchitektur der PKI. Grundsätzlich handelt es sich dabei um physische Geräte, die kryptografische Prozesse schützen, indem sie Schlüssel in einer gehärteten, manipulationssicheren Umgebung erzeugen, speichern und verarbeiten.

Nehmen Sie zum Beispiel die Schlüsselerzeugung. Ein Hardware-Sicherheitsmodul kann ein Schlüsselpaar mit hochwertigen Zufallszahlengeneratoren erstellen, die für die Aufrechterhaltung der Stärke und Integrität kryptografischer Systeme entscheidend sind. Da die Schlüssel das Gerät nie im Klartext verlassen, wird ihre Anfälligkeit für potenzielle Schwachstellen minimiert.

Ebenso ist eine der Hauptfunktionen eines HSM die Speicherung privater Schlüssel. Die Aufbewahrung in einer Hardware-Umgebung schützt sie davor, dass sie von Unbefugten entwendet oder kompromittiert werden.

Warum PKI wichtig ist, lässt sich vielleicht am besten verstehen, wenn man ihre Anwendungsfälle in den Blick nimmt. Hier sind einige der wichtigsten Möglichkeiten, wie Unternehmen PKI zu ihrem Vorteil nutzen können:

1. Sichere Kommunikation

PKI ist ein Eckpfeiler für den Schutz verschiedener Formen der digitalen Kommunikation, einschließlich E-Mail, Nachrichtendienste und mehr. Dadurch werden diese Kanäle nicht nur geschützt, sondern auch für alle Beteiligten – Verbraucher, Partner, Mitarbeiter, Bürger usw. – vertrauenswürdiger gemacht.

2. Authentifizierung und Zugriffskontrolle

PKI bietet starke Authentifizierungsmechanismen für Benutzer, die auf Systeme, Netzwerke oder Online-Dienste zugreifen. Zertifikate können als eine Form der sicheren digitalen Identifizierung dienen und sicherstellen, dass nur verifizierten Benutzern Zugang gewährt wird.

Diese Fähigkeiten machen PKI besonders nützlich für Organisationen, die ein Zero-Trust-Sicherheitsmodell implementieren. Zero Trust funktioniert nach dem Prinzip „Niemals vertrauen, immer überprüfen“, das eine kontinuierliche Authentifizierung erfordert, um jeden Benutzer und jedes Gerät, das auf Ressourcen zugreift, unabhängig vom Standort zu bestätigen.

Außerdem zahlt sich dieser Ansatz aus. Laut Forrester Research kann Zero-Trust-Sicherheit die Geschäftsergebnisse steigern und gleichzeitig die Benutzerfreundlichkeit verbessern.

3. Sicheres Surfen im Internet

Viele Aspekte der PKI sind für das Surfen im Internet und Online-Transaktionen von großer Bedeutung. Mit den Protokollen Secure Sockets Layer (SSL) und Transport Layer Security (TLS) nutzen Browser digitale Zertifikate, um Websites zu authentifizieren und verschlüsselte Verbindungen herzustellen. Einfacher ausgedrückt: Sie informieren die Endnutzer darüber, dass sie auf eine vertrauenswürdige Domain zugreifen.

TLS/SSL-Zertifikate gewährleisten, dass alle zwischen dem Webserver und dem Browser übertragenen Informationen vertraulich bleiben. Websites und Server, denen Zertifikate fehlen, sind anfällig für Angriffe und laufen Gefahr, dass sensible Daten in die falschen Hände geraten.

4. Unterzeichnung von Dokumenten und Zeitstempel

Digitale Signaturen auf der Grundlage von PKI überprüfen die Authentizität und Integrität elektronischer Dokumente. Dies ist wichtig für juristische Unterlagen, Verträge und andere Dokumente, bei denen ein Nachweis der Originalität und die Einwilligung erforderlich sind.

Am wichtigsten ist, dass Zertifikate zum Signieren von Dokumenten drei Hauptzwecke erfüllen: 

• Authentizität: Das Zertifikat bestätigt, dass das Dokument von der Person oder Einrichtung signiert wurde, die den entsprechenden privaten Schlüssel zum öffentlichen Schlüssel im Zertifikat besitzt.
• Integrität: Jede Änderung des Dokuments nach seiner Unterzeichnung macht die digitale Signatur ungültig. Auf diese Weise wird sichergestellt, dass das empfangene Dokument genau dem entspricht, was der Unterzeichner zu senden beabsichtigt hat, ohne jegliche Änderungen.
• Non-Repudiation: Der Unterzeichner kann die Echtheit seiner Unterschrift auf einem Dokument nicht leugnen, da die digitale Signatur und das zugehörige Zertifikat einen starken Beweis für die Identität des Unterzeichners und seine Zustimmung zum Inhalt des Dokuments zum Zeitpunkt der Unterzeichnung liefern.

5. Codesignierung

Softwareentwickler verwenden Code Signing-Zertifikate, um ihre Skripte zu authentifizieren. Auf diese Weise können die Endbenutzer überprüfen, ob die von ihnen heruntergeladene Software nicht verändert worden ist. Dies trägt zum Schutz vor Malware, zur Wahrung der Softwareintegrität und zur Stärkung des Vertrauens der Verbraucher bei.

6. Internet der Dinge (IoT)

Mit der zunehmenden Verbreitung von vernetzten Geräten sind die Maschinen in der Regel zahlreicher als die menschlichen Nutzer. Diese Geräte – z. B. Sensoren, die Daten sammeln, speichern und an andere Maschinen weiterleiten – sind potenziell anfällig für Cyber-Bedrohungen. Da es aber so viele sind, die verwaltet werden müssen, ist die IoT-Sicherheit immer schwieriger geworden.

Durch die Ausstattung jedes Geräts mit einem eindeutigen digitalen Zertifikat gewährleistet PKI eine solide Authentifizierung, bei der überprüft wird, ob die kommunizierenden Geräte tatsächlich legitim sind. Dies ist von entscheidender Bedeutung, um unbefugten Zugriff und Datenschutzverletzungen zu verhindern.

Darüber hinaus erleichtert PKI die verschlüsselte Kommunikation zwischen Geräten und schützt die Übertragung sensibler Daten vor Abhören und Manipulationen. Dieser umfassende Sicherheitsansatz ist für die Wahrung der Integrität und Vertraulichkeit von Daten in zunehmend komplexen IoT-Ökosystemen unerlässlich.

Im Folgenden finden Sie einige bewährte Verfahren, mit denen Sie das Beste aus Ihrer PKI-Implementierung herausholen können:

• Privaten Schlüsselspeicher verwenden: Implementieren Sie starke Mechanismen zum Schutz privater Schlüssel, wie z. B. die Verwendung von HSMs, die einen physischen und logischen Schutz gegen Manipulationen und unbefugten Zugriff bieten.
• Regelmäßige Schlüsselrotation und -erneuerung durchführen: Schlüssel und Zertifikate sollten nicht unbegrenzt verwendet werden. Führen Sie eine Routine für die regelmäßige Schlüsselrotation und die Erneuerung von Zertifikaten ein, um die mit der Schlüsselgefährdung verbundenen Risiken zu mindern und die Sicherheit zu erhöhen. Entziehen Sie außerdem kryptografische Ressourcen, wenn dies erforderlich ist, z. B. wenn ein Mitarbeiter das Unternehmen verlässt oder ein privater Schlüssel kompromittiert wird.
• Implementierung starker Authentifizierungsverfahren: Integrieren Sie die Multi-Faktor-Authentifizierung (MFA), um die Sicherheit zu erhöhen, insbesondere für den Zugriff auf PKI-Systeme und die Durchführung sensibler Vorgänge wie die Ausstellung oder den Widerruf von Zertifikaten.
• Zentralisierung der Zertifikats- und Schlüsselverwaltung: Implementierung von Tools und Prozessen für die Verwaltung des gesamten Lebenszyklus von Zertifikaten, von der Ausstellung bis zum Widerruf oder Ablauf. Stellen Sie sicher, dass diese Tools die Einhaltung von PKI-Richtlinien und Sicherheitsstandards erleichtern.
• Sicherungs- und Wiederherstellungsrichtlinien für Schlüssel erstellen: Einrichtung und regelmäßiger Test von Sicherungs- und Wiederherstellungsverfahren, um zu bestätigen, dass kritische PKI-Komponenten nach einer Störung oder Katastrophe schnell und sicher wiederhergestellt werden können.
• Richtlinien und Verfahren aktuell halten: Zertifizierungsrichtlinien (CP) und Erklärungen zur Zertifizierungspraxis (CPS) sind für die PKI von wesentlicher Bedeutung. Die CP ist ein umfassendes Dokument, in dem die verschiedenen Klassen von Zertifikaten, die von einer Zertifizierungsstelle ausgestellt werden, und die entsprechenden Richtlinien beschrieben sind. Im CPS wird detailliert beschrieben, wie die Zertifizierungsstelle diese Richtlinien technisch umsetzt. Diese Dokumente auf dem neuesten Stand zu halten, ist von grundlegender Bedeutung für die Aufrechterhaltung der Sicherheit, des Vertrauens und der Einhaltung von Rechtsvorschriften. Sie sollten regelmäßig überprüft und überarbeitet werden, um der dynamischen Landschaft von Cybersicherheit, Technologie und regulatorischen Änderungen gerecht zu werden.

Nur eine umfassende PKI-Lösung kann das Ziel erreichen, eine vertrauenswürdige Netzwerkumgebung zu etablieren und aufrechtzuerhalten und gleichzeitig ein automatisches, transparentes und benutzerfreundliches System bereitzustellen. Zum Glück erhalten Sie bei Entrust alles, was Sie für Ihren Erfolg brauchen.

Unsere Managed PKI-Services richten zertifikatgestützte Identitäten zum Schutz von Benutzern, Apps und Geräten in Ihrem aufstrebenden Unternehmen ein. Außerdem kümmern sich unsere Experten in Ihrem Namen um die Ersteinrichtung, Konfiguration, laufende Wartung und Audits. Warum? Um sicherzustellen, dass Ihre PKI-Implementierung die bestmögliche ist.