Public Key Infrastructure (PKI)

Bei der Verwendung asymmetischer Kryptoverfahren besteht grundsätzlich das Problem der nachweisbaren Zuordnung eines öffentlichen Schlüssels zu einem Eigetümer. Diese nachweisbare Zuordnung erfolgt über allgemein anerkannte zentrale Institutionen (Trust Center). Diese erzeugen ein signiertes Dokument, dessen wesetliche Bestandteile der öffentliche Schlüssel und persönliche Angabe des Eigentümers sind (Zertifikat).

Bestandteile einer PKI:

Digitale Zertifikate: Digital signierte elektronische Daten, die sich zum Nachweis der Echtheit von Objekten verwenden lassen.
Certification Authority: Organisation, welche das CA-Zertifikat bereitstellt und die Signatur von Zertifikatsanträgen übernimmt.
Registration Authority: Organisation, bei der Personen, Maschinen oder auch untergeordnete Certification Authorities Zertifikate beantragen können. Diese prüft die Richtigkeit der Daten im gewünschten Zertifikat und genehmigt den Zertifikatsantrag der dann durch die Certificate Authority signiert wird.
Certificate Revocation Lists: (Sperrliste) Listen mit zurückgezogenen, abgelaufenen und für ungültig erklärten Zertifikaten.
Verzeichnisdienst: ein durchsuchbares Verzeichnis, welches ausgestellte Zertifikate enthält, meist ein LDAP-Server, seltener ein X.500-Server.
Validierungsdienst: Ein Dienst, der die Überprüfung von Zertifikaten in Echtzeit ermöglicht.
Dokumente: Eine PKI führt eines oder mehrere Dokumente in denen die Arbeitsprinzipien der PKI beschrieben sind. Kernpunkte sind der Registrierungsprozess, Handhabung des Secret-Key-Materials, zentrale oder dezentrale Schlüsselerzeugung, technischer Schutz der PKI-Systeme sowie evt. rechtliche Zusicherungen. In X.509-Zertifikaten kann das CPS in den Extensions eines Zertifikates verlinkt werden. Nachfolgenden Dokumente sind teilweise üblich.
- CP (Certificate Policy): In diesem Dokument beschreibt die PKI ihr Anforderungsprofil an ihre eigene Arbeitsweise. Es dient einem Dritten zu Analyse der Vertrauenswürdigkeit und damit Aufnahme in dem Browser.
- CPS (Certificate Practice Statement): Hier wird die konkrete Umsetzung der Anforderungen in die PKI beschrieben. Dieses Dokument beschreibt die Umsetzung der CP.
- PDS (Policy Disclosure Statement): Dieses Dokument ist ein Auszug aus dem CPS wenn das CPS nicht veröffentlich werden soll.

Eine PKI bietet ein hierachisches Gültigkeitsmodell an. Wird einer Certificate Authority vertraut, wird damit allen von ihr signierten Zertifikaten auch vertraut. Dadurch dass eine PKI untergeordnete PKIs haben kann (Mehrstufigkeit), wird auch allen untergeordneten PKIs vertraut. Problematisch ist bei PKI-Systemen, dass Computer-Programme bereits mit einer Vielzahl von "Root-Zertifikaten" ausgeliefert werden, die von Organisationen ausgestellt werden, deren Existenz und deren Integrität nicht gewährleistet ist. Eine Aussage über die Anforderungen, die zur Ausstellung der Zertifikate erforderlich sind, kann nur über die jeweiligen Dokumente getroffen werden.