Sergey Nivens - Fotolia
PKI Authentication: Die wichtigsten Grundlagen für IT-Admins
PKI gehört zu den Säulen des Internets. Auf diese Weise erstellte Schlüssel und Zertifikate werden genutzt, um weltweit Kommunikation abzusichern und um Identitäten zu überprüfen.
PKI oder Public Key Infrastructure ist ein täglich anzutreffender wichtiger Bestandteil unseres Online-Lebens. IT-Profis sollten sich deswegen einen Moment Zeit nehmen, um wirklich zu verstehen, was PKI eigentlich ist und wie die Technik funktioniert.
So ist etwa PKI Authentication keine Verschlüsselung, auch wenn die Begriffe oft in einem Atemzug genannt werden. PKI basiert auf Mechanismen zur Überprüfung der Identität von zwei Parteien. PKI Authentication ist damit die Basis unserer modernen IT-Infrastruktur.
Einsatzzwecke von PKI in der modernen IT
PKI Authentication ermöglicht sicheres Messaging, die Überprüfung gegenseitiger Identitäten, die Sicherung der Privatsphäre im Internet, Nonrepudiation beziehungsweise, dass zum Beispiel eine Unterschrift unter eine Nachricht nicht geleugnet werden kann, und zudem einen Schutz vor Manipulationen durch Dritte.
Sicheres Ende-zu-Ende-Messaging: PKI Authentication sorgt zumeist für Sicherheit, wenn ein Anwender zum Beispiel eine Webseite besucht. Die Technik kann aber genauso beim Senden und Empfangen von E-Mails sowie beim Messaging zwischen zwei oder mehr Teilnehmern verwendet werden. Sie dient dann dazu, die Identität der Kommunikationspartner zu überprüfen.
Überprüfung von Identitäten (Verifikation): Dieser Teil wird in der heutigen Geschäftswelt immer wichtiger. So könnte ein Angreifer beispielsweise sonst eine gefälschte Pressemitteilung veröffentlichen und damit den Börsenwert eines Unternehmens massiv unter Druck setzen.
Mit der Möglichkeit, die Echtheit eines Absenders zu prüfen, können Empfänger feststellen, ob eine Quelle echt – oder möglicherweise auch nicht echt ist.
Schutz der Privatsphäre: Die Kombination aus privatem und öffentlichem Schlüssel stellt sicher, dass zwei Teilnehmer einen gemeinsamen Weg vereinbaren können, um sicher und geschützt miteinander zu kommunizieren.
Nonrepudiation: Dieser Teil funktioniert ähnlich wie die Verifikation. Wenn jemand eine Nachricht mit seinem privaten Schlüssel unterzeichnet, dann kann er später aufgrund der PKI nicht mehr leugnen, dass die Nachricht von ihm stammt.
Schutz vor Manipulationen: Verschlüsselte Daten können nicht einfach so verändert oder um neue Inhalte ergänzt werden, da der zur Verschlüsselung genutzte Key anderen Parteien in der Regel nicht bekannt ist.
So funktioniert PKI Authentication: Die Teilnehmer und ihre Schlüssel
Im Kern von PKI Authentication befindet sich eine Certificate Authority oder abgekürzt eine CA. Eine CA kann ein digitales Zertifikat ausstellen, das die wahre Identität eines Anwenders oder eines Servers belegen soll.
Um Zertifikate zu verstehen, ist es hilfreich, an Reisepässe zu denken. Reisepässe werden meist von einer Stelle ausgegeben, der gemeinhin vertraut wird: Der Regierung eines Landes. Alle Reisepässe teilen sich dabei ein vorab vereinbartes Format. Die Pässe dienen als Beleg, dass eine Person auch wirklich die ist, die sie zu sein vorgibt. Reisepässen wird in der Regel auf der ganzen Welt vertraut, da die Beamten an den Grenzen den Regierungen vertrauen, die den jeweiligen Reisepass ausgestellt und unterzeichnet haben.
Jeder Reisepass wird nicht nur von seinem Besitzer, sondern auch von einer autorisierten Behörde unterschrieben. Ebenso wie Reisepässe haben Zertifikate nur eine begrenzte Gültigkeit. Ein Webbrowser zum Beispiel prüft deswegen bei jedem Besuch einer Seite, ob das Zertifikat nicht schon abgelaufen ist. Ein nicht mehr gültiges Zertifikat führt zu einer Warnung, die den Anwender darauf hinweist, dass er der besuchten Webseite möglicherweise nicht mehr vertrauen kann.
Zertifikate bieten weit mehr Sicherheit als vergleichsweise simple Passwörter. Sie können auch dazu eingesetzt werden, Schlüssel zu dechiffrieren oder um die Identität einer Person oder eines Servers zu bestätigen. Der wichtigste Vorteil bei der Verschlüsselung via PKI ist dabei, dass kein Passwort zwischen den Teilnehmern verteilt werden muss. Bis zu der Einführung dieser Technik war es schwierig, Passwörter sicher über größere Distanzen zu übertragen. Beim Einsatz einer PKI ist dies jedoch kein Problem, da dabei kein Passwort mehr über ein in vielen Fällen unsicheres Netzwerk, wie das Internet, gesendet werden muss.
Das Vertrauen in Reisepässe basiert auf dem Vertrauen in die ausstellenden Regierungen. Das Vertrauen in Zertifikate beruht seinerseits auf dem Vertrauen in die ausstellenden CAs, seien es Verisign, GoDaddy oder auch neuerdings Let’s encrypt. Unternehmen können darüber hinaus selbst eine eigene CA in ihrer Infrastruktur einrichten, die Zertifikate für die Mitarbeiter und die von ihnen genutzten Dienste ausstellt. Welche Methode jeweils gewählt wird, hängt von der jeweiligen Umgebung und den Bedürfnissen eines Unternehmens ab.
Ein Teilnehmer an einer Kommunikation kann eine vertrauenswürdige Certificate Authority, also einen PKI-Anbieter, außerdem dazu nutzen, um zu überprüfen, ob der zweite Teilnehmer in einer Kommunikation auch wirklich die Person oder Entität ist, die sie zu sein vorgibt. Um eine Manipulation von Zertifikaten zu verhindern, unterzeichnen sowohl der Anwender, also beispielsweise der IT-Admin eines Unternehmens, und die ausstellende CA ihre Schlüssel jeweils gegenseitig. Durch das Unterzeichnen bestätigt die Certificate Authority öffentlich, dass ein bestimmtes Zertifikat auch wirklich für die Person oder den Server gilt, von der oder von dem es verwendet wird. Dadurch entsteht Vertrauen.
Verschlüsselung mit PKI
Die Verschlüsselung mit PKI, die erstmals von Whitfield Diffie in den Siebzigern des vorangegangenen Jahrhunderts entwickelt wurde, ist bis heute die Basis für sichere Transaktionen und Kommunikation im Internet. Vereinfacht gesagt, erstellt ein Anwender dabei jeweils ein Schlüsselpaar, das aus zwei Teilen besteht: Einen öffentlichen und einen privaten Teil. Die Erstellung des Schlüssels funktioniert dabei ähnlich wie eine Falltür: In die eine Richtung, also bei der Berechnung des Schlüssels, ist es leicht, hindurch zu kommen. Umgekehrt, etwa beim Versuch den Schlüssel zu dechiffrieren, ist dieser Weg jedoch deutlich schwerer bis unmöglich.
Kryptografie ermöglicht den Teilnehmern darüber hinaus, ein Zertifikat digital zu unterschreiben. Der Anwender erstellt wiederum zunächst ein Paar aus einem privaten und einem öffentlichen Schlüssel. Der wesentliche Teil ist dabei wieder der private Schlüssel. Er ist mit einem Master-Key vergleichbar, mit dem das Zertifikat unterzeichnet werden kann.
Nach dem Erstellen des Zertifikats wird es zunächst mit dem privaten Schlüssel des Anwenders und danach von der CA unterzeichnet und verschlüsselt. Der private Schlüssel darf nie weitergegeben werden. Der öffentliche Schlüssel kann dagegen bedenkenlos verteilt werden. Der öffentliche Schlüssel basiert auf dem privaten Schlüssel. Er kann verwendet werden, um das Zertifikat der CA überprüfen zu können. Für sich allein gestellt, kann der öffentliche Schlüssel aber nicht dazu genutzt werden, um etwas zu unterzeichnen. Das geht nur mit dem privaten Schlüssel.
Öffentliche Schlüssel dienen unter anderem dazu, eine sichere Kommunikation mit einem Webserver einzuleiten. Um sie zu überprüfen, bieten die PKI-Anbieter frei zugängliche Repositories, in denen Anwender und Server Informationen über ausgestellte Zertifikate finden. Microsoft beschreibt in einem englischsprachigen MSDN-Beitrag detailliert, wie der dabei verwendete Prozess funktioniert. Dadurch wird klar, wie Zertifikate genutzt werden können, um Web-Traffic sicher zu verschlüsseln.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
