{"id":100115,"date":"2019-11-06T13:50:49","date_gmt":"2019-11-06T12:50:49","guid":{"rendered":"https:\/\/easy-software.com\/?post_type=glossar&p=100115"},"modified":"2025-06-06T12:00:42","modified_gmt":"2025-06-06T10:00:42","slug":"public-key-infrastruktur-pki","status":"publish","type":"glossar","link":"https:\/\/easy-software.com\/de\/glossar\/public-key-infrastruktur-pki\/","title":{"rendered":"Public-Key-Infrastruktur (PKI<\/em>)"},"content":{"rendered":"
\n
\n
\n
\n\n

Dahinter verbirgt sich ein System, eine Infrastruktur, die der Erstellung, Verwaltung, Verteilung sowie \u00dcberpr\u00fcfung von digitalen Zertifikaten samt der darauf abgelegten \u00f6ffentlichen Schl\u00fcssel dient. Das Ziel der Public-Key-Infrastruktur besteht darin, Dienste bereitzustellen, die f\u00fcr einen sicheren Austausch von Daten zwischen Kommunikationsteilnehmern sorgen \u2013 sicher im Sinne einer Verschl\u00fcsselung und signierter Daten.<\/p>\n\n\n\n

Asymmetrische Verschl\u00fcsselung<\/h2>\n\n\n\n

Eine wesentliche Grundlage einer PKI besteht im Verfahren der asymmetrischen Verschl\u00fcsselung. Kurz zur Erinnerung: Das Problem symmetrischer Verschl\u00fcsselung besteht vornehmlich im Austausch ein und desselben Schl\u00fcssels, \u00fcber den beide Kommunikationspartner zur Ver- und Entschl\u00fcsselung verf\u00fcgen m\u00fcssen. Gleichzeitig muss dieser Schl\u00fcssel geheim gehalten werden (vgl. hier auch das Kerckhoff\u2019sche Prinzip<\/a>). Im Kontext asymmetrischer Kryptografie entf\u00e4llt dies. Bereitgestellt wird nur der \u00f6ffentliche Schl\u00fcssel. Dieser Schl\u00fcssel dient zur Verschl\u00fcsselung und zur \u00dcberpr\u00fcfung digitaler Signaturen<\/a>. Er ist f\u00fcr die Welt \u2013 daher der Name \u201e\u00f6ffentlicher Schl\u00fcssel\u201c. Jeder Kommunikationsteilnehmer verf\u00fcgt \u00fcber ein Schl\u00fcsselpaar, bestehend aus Public und Private Key. Letzterer Schl\u00fcssel bleibt stets geheim. Mit meinem privaten Schl\u00fcssel entschl\u00fcssele ich Daten, die mir jemand mit meinem \u00f6ffentlichen Schl\u00fcssel verschl\u00fcsselt und gesendet hat. Gleichzeitig kann ich meine Daten auch mit dem privaten Schl\u00fcssel signieren \u2013 und jeder andere in der Welt kann mit meinem Public Key \u00fcberpr\u00fcfen, ob diese Daten w\u00e4hrend des Versands nicht ver\u00e4ndert wurden.<\/p>\n\n\n\n

Die PKI<\/em> \u201emanaged\u201c digitale Zertifikate<\/h2>\n\n\n\n

Zertifikate dieser Art bestehen aus notwendigen Eintr\u00e4gen eines Kommunikationspartners. Diese beschreiben dessen Identit\u00e4t: Name der ausstellenden Certificate Authority (CA), digitale Signatur der ausstellenden CA, der \u00f6ffentliche Key des Besitzers und Name des Besitzers. Eine Public-Key-Infrastruktur verwaltet diese digitalen CA-Zertifikate und leistet dar\u00fcber hinaus doch noch mehr.<\/p>\n\n\n\n

Die Public-Key-Infrastruktur \u2013 zur Sicherung vertrauensvoller Kommunikation<\/h2>\n\n\n\n

Der Hauptzweck einer Public-Key-Infrastruktur besteht im Erstellen und im zur Verf\u00fcgung stellen, Verwalten und \u00dcberpr\u00fcfen dieser eben erw\u00e4hnten digitalen Zertifikate. Dazu bedarf es mehrerer Dienste, die diese Aufgaben einer PKI \u00fcbernimmt. Folgende Services geh\u00f6ren zwangsl\u00e4ufig dazu:<\/p>\n\n\n\n

    \n
  • eine Registrierungsstelle (Registration Authority, RA)<\/li>\n\n\n\n
  • eine Zertifizierungsstelle (Certificate Authority, CA)<\/li>\n\n\n\n
  • eine Zertifikatssperrliste (Certificate Revocation List, CRL)<\/li>\n\n\n\n
  • ein Verzeichnisdienst (Directory Service)<\/li>\n\n\n\n
  • ein Validierungsdienst (Certificate Status Protocol (OCSP), Server-based Certificate Validation Protocol (SCVP))<\/li>\n<\/ul>\n\n\n\n

    Vertrauensmodelle einer PKI<\/em><\/h2>\n\n\n\n

    Nachdem nun der Einsatzzweck einer PKI beschrieben ist, stellt sich die Frage, woher denn nun das Vertrauen stammt \u2013 also wie kann jemand sicherstellen, dass z.B. Nachricht, eine E-Mail tats\u00e4chlich von dem Menschen stammt, den einem das Mail-Programm anzeigt \u2013 kurz: Wie hilft eine PKI dabei?<\/p>\n\n\n\n

    Hierarchisches Vertrauensmodell \u2013 Chain-of-Trust (CoT<\/em>)<\/h2>\n\n\n\n

    In den meisten F\u00e4llen liegt der PKI ein streng hierarchisches Vertrauensmodell und damit Vertrauensstruktur zugrunde. Diese Struktur erw\u00e4chst aus dem Sachverhalt, dass innerhalb einer PKI eine Wurzel-Certificate-Authority existiert. Diesen Wurzelzertifikaten vertrauen alle anderen Instanzen, die zur PKI geh\u00f6ren. Die Anwender vertrauen der CA einer PKI, da dieser Certificate Authority wieder andere Wurzel-CAs vertrauen, auch Root-CAs genannt. Das Vertrauen basiert also auf den \u00f6ffentlichen Schl\u00fcsseln und Signaturen beteiligter Certificate Authorities, die hierarchisch aufeinander verweisen, eine Vertrauenskette bilden und \u00fcberpr\u00fcfbar sind. Zur Validierung von Zertifikaten stehen oben erw\u00e4hnte PKI-Dienste zur Verf\u00fcgung.<\/p>\n\n\n\n

    Verteiltes Vertrauen \u2013 Web-of-Trust (WoT<\/em>)<\/h2>\n\n\n\n

    Im Gegensatz zum eben erw\u00e4hnten, gestaffelten Vertrauensmodell steht das Netz des Vertrauens, auch Web-of-Trust genannt. Hier versichern sich die Teilnehmer wechselseitig und miteinander die Echtheit von Zertifikaten. Dabei sind Zertifikate in diesem Modell anders gelagert, es sind die digitalen Signaturen der Teilnehmer. Beispiel \u2013 in aller K\u00fcrze und stark vereinfacht:<\/p>\n\n\n\n

      \n
    • Alice signiert Bobs Schl\u00fcssel und spricht damit Bobs Schl\u00fcsselsignatur das Vertrauen aus<\/li>\n\n\n\n
    • Damit vertraut Alice auch allen anderen Schl\u00fcsseln, die Bob signiert hat.<\/li>\n\n\n\n
    • So z.B. auch Carl, dem Bob vor langer Zeit das Vertrauen ausgesprochen und dessen Schl\u00fcssel signiert hat<\/li>\n<\/ul>\n\n\n\n

      In der Vergangenheit diente dazu oft die Keysigning-Party als Institution, um das Vertrauen aufzubauen: eine Veranstaltung, bei der sich die Teilnehmer trafen und gegenseitig deren \u00f6ffentliche Schl\u00fcssel signierten. Der Vertrauensgrad eines Schl\u00fcssels steigt mit der Anzahl der Personen, die diesen signiert haben. Diese Art der Vertrauensbildung stammt aus der PGP-Welt. Im Gegensatz zur Hierarchie einer zertifikatsbasierten PKI stehen hier die vielen Teilnehmer des Web-of-Trust und treten als Instanzen des Vertrauens auf.<\/p>\n\n<\/div><\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

      Das Wort Public-Key-Infrastruktur stammt aus der Informationstechnologie \u2013 genauer: aus dem Bereich asymmetrischer Verschl\u00fcsselung und deren praktischen Anwendung.<\/p>\n","protected":false},"author":64,"featured_media":0,"parent":0,"menu_order":25,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":"","_links_to":"","_links_to_target":""},"class_list":["post-100115","glossar","type-glossar","status-publish","format-standard","hentry","no-featured-image-padding"],"acf":[],"_links":{"self":[{"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/glossar\/100115","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/glossar"}],"about":[{"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/types\/glossar"}],"author":[{"embeddable":true,"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/users\/64"}],"version-history":[{"count":0,"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/glossar\/100115\/revisions"}],"wp:attachment":[{"href":"https:\/\/easy-software.com\/de\/wp-json\/wp\/v2\/media?parent=100115"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}