Dahinter verbirgt sich ein System, eine Infrastruktur, die der Erstellung, Verwaltung, Verteilung sowie Überprüfung von digitalen Zertifikaten samt der darauf abgelegten öffentlichen Schlüssel dient. Das Ziel der Public-Key-Infrastruktur besteht darin, Dienste bereitzustellen, die für einen sicheren Austausch von Daten zwischen Kommunikationsteilnehmern sorgen – sicher im Sinne einer Verschlüsselung und signierter Daten.
Asymmetrische Verschlüsselung
Eine wesentliche Grundlage einer PKI besteht im Verfahren der asymmetrischen Verschlüsselung. Kurz zur Erinnerung: Das Problem symmetrischer Verschlüsselung besteht vornehmlich im Austausch ein und desselben Schlüssels, über den beide Kommunikationspartner zur Ver- und Entschlüsselung verfügen müssen. Gleichzeitig muss dieser Schlüssel geheim gehalten werden (vgl. hier auch das Kerckhoff’sche Prinzip). Im Kontext asymmetrischer Kryptografie entfällt dies. Bereitgestellt wird nur der öffentliche Schlüssel. Dieser Schlüssel dient zur Verschlüsselung und zur Überprüfung digitaler Signaturen. Er ist für die Welt – daher der Name „öffentlicher Schlüssel“. Jeder Kommunikationsteilnehmer verfügt über ein Schlüsselpaar, bestehend aus Public und Private Key. Letzterer Schlüssel bleibt stets geheim. Mit meinem privaten Schlüssel entschlüssele ich Daten, die mir jemand mit meinem öffentlichen Schlüssel verschlüsselt und gesendet hat. Gleichzeitig kann ich meine Daten auch mit dem privaten Schlüssel signieren – und jeder andere in der Welt kann mit meinem Public Key überprüfen, ob diese Daten während des Versands nicht verändert wurden.
Die PKI „managed“ digitale Zertifikate
Zertifikate dieser Art bestehen aus notwendigen Einträgen eines Kommunikationspartners. Diese beschreiben dessen Identität: Name der ausstellenden Certificate Authority (CA), digitale Signatur der ausstellenden CA, der öffentliche Key des Besitzers und Name des Besitzers. Eine Public-Key-Infrastruktur verwaltet diese digitalen CA-Zertifikate und leistet darüber hinaus doch noch mehr.
Die Public-Key-Infrastruktur – zur Sicherung vertrauensvoller Kommunikation
Der Hauptzweck einer Public-Key-Infrastruktur besteht im Erstellen und im zur Verfügung stellen, Verwalten und Überprüfen dieser eben erwähnten digitalen Zertifikate. Dazu bedarf es mehrerer Dienste, die diese Aufgaben einer PKI übernimmt. Folgende Services gehören zwangsläufig dazu:
- eine Registrierungsstelle (Registration Authority, RA)
- eine Zertifizierungsstelle (Certificate Authority, CA)
- eine Zertifikatssperrliste (Certificate Revocation List, CRL)
- ein Verzeichnisdienst (Directory Service)
- ein Validierungsdienst (Certificate Status Protocol (OCSP), Server-based Certificate Validation Protocol (SCVP))
Vertrauensmodelle einer PKI
Nachdem nun der Einsatzzweck einer PKI beschrieben ist, stellt sich die Frage, woher denn nun das Vertrauen stammt – also wie kann jemand sicherstellen, dass z.B. Nachricht, eine E-Mail tatsächlich von dem Menschen stammt, den einem das Mail-Programm anzeigt – kurz: Wie hilft eine PKI dabei?
Hierarchisches Vertrauensmodell – Chain-of-Trust (CoT)
In den meisten Fällen liegt der PKI ein streng hierarchisches Vertrauensmodell und damit Vertrauensstruktur zugrunde. Diese Struktur erwächst aus dem Sachverhalt, dass innerhalb einer PKI eine Wurzel-Certificate-Authority existiert. Diesen Wurzelzertifikaten vertrauen alle anderen Instanzen, die zur PKI gehören. Die Anwender vertrauen der CA einer PKI, da dieser Certificate Authority wieder andere Wurzel-CAs vertrauen, auch Root-CAs genannt. Das Vertrauen basiert also auf den öffentlichen Schlüsseln und Signaturen beteiligter Certificate Authorities, die hierarchisch aufeinander verweisen, eine Vertrauenskette bilden und überprüfbar sind. Zur Validierung von Zertifikaten stehen oben erwähnte PKI-Dienste zur Verfügung.
Verteiltes Vertrauen – Web-of-Trust (WoT)
Im Gegensatz zum eben erwähnten, gestaffelten Vertrauensmodell steht das Netz des Vertrauens, auch Web-of-Trust genannt. Hier versichern sich die Teilnehmer wechselseitig und miteinander die Echtheit von Zertifikaten. Dabei sind Zertifikate in diesem Modell anders gelagert, es sind die digitalen Signaturen der Teilnehmer. Beispiel – in aller Kürze und stark vereinfacht:
- Alice signiert Bobs Schlüssel und spricht damit Bobs Schlüsselsignatur das Vertrauen aus
- Damit vertraut Alice auch allen anderen Schlüsseln, die Bob signiert hat.
- So z.B. auch Carl, dem Bob vor langer Zeit das Vertrauen ausgesprochen und dessen Schlüssel signiert hat
In der Vergangenheit diente dazu oft die Keysigning-Party als Institution, um das Vertrauen aufzubauen: eine Veranstaltung, bei der sich die Teilnehmer trafen und gegenseitig deren öffentliche Schlüssel signierten. Der Vertrauensgrad eines Schlüssels steigt mit der Anzahl der Personen, die diesen signiert haben. Diese Art der Vertrauensbildung stammt aus der PGP-Welt. Im Gegensatz zur Hierarchie einer zertifikatsbasierten PKI stehen hier die vielen Teilnehmer des Web-of-Trust und treten als Instanzen des Vertrauens auf.