slider

Nutzen und Chancen von Public-Key-Infrastrukturen - Prof. Dr. Norbert Pohlmann

Nutzen und Chancen von Public-Key-Infrastrukturen

124-Nutzen-und-Chancen-von-Public-Key-Infrastrukturen-Prof.-Norbert-Pohlmann-pdf

Norbert Pohlmann  (Institut für Internet-Sicherheit):,
“Nutzen und Chancen von Public-Key-Infrastrukturen”.
In Proceedings der IT-Security Konferenz -Sicherheitsinfrastrukturen in Wirtschaft und Verwaltung,
Hrsg.: Patrick Horster,
IT Verlag,
2002

Nutzen und Chancen von PKIs
Immer mehr Geschäftsprozesse in Unternehmen und Organisationen werden – ganz oder teilweise – über elektronische Medien abgewickelt. Sowohl diese Prozesse als auch die dabei verarbeiteten oder generierten Daten stellen einen wesentlichen Unternehmenswert dar. Daher ist es wichtig, ausreichende Sicherheitsmechanismen zur Verfügung zu stellen, um diese Geschäftsprozesse adäquat zu schützen. Public-Key-Infrastrukturen (PKIs) und PKI-enabled Applications (PKAs) helfen, eine geeignete Sicherheitsbasis zu schaffen. PKIs werden zur Zeit kontrovers diskutiert: Gegner behaupten, dass solche Systeme nicht einsetzbar seien, weil sie zu große Probleme und Veränderungen im Arbeitsablauf bewirkten. Konträr dazu steht die Forderung, PKIs in großem Umfang einzuführen, damit insbesondere bei organisationsübergreifenden Geschäftsprozessen eine angemessene Sicherheit erreicht werden kann. Dieser Beitrag zeigt auf, was PKIs und PKAs leisten, welchen Nutzen sie in der heutigen Informations- und Wissensgesellschaft haben und welche Chancen sie bieten.

PKI und Anwendungsprinzipien
Eine PKI stellt zentrale Sicherheitsdienste zur Verfügung, schafft also die Voraussetzungen dafür, dass eine Anwendung vertrauenswürdig realisiert werden kann. Das folgende Bild zeigt im oberen Teil den prinzipiellen Aufbau einer Public-Key-Infrastruktur sowie einige Kommunikationskanäle. Im unteren Bereich ist schematisch eine Anwendung abgebildet, die auf der PKI-Grundfunktionalität basiert.

Aufgaben und Komponenten einer PKI
Public-Key-Infrastrukturen bestehen aus Hardware, Software und einem abgestimmten Regelwerk, der Policy. Die Policy definiert, nach welchen Sicherheitsregeln die Dienstleistungen erbracht werden. Dazu zählt das Betriebskonzept der PKI, die Benutzerrichtlinien sowie Organisations- und Arbeitsanweisungen. Im Allgemeinen ist es üblich, die Registrierung der Teilnehmer und die Zertifizierung der Schlüssel voneinander zu trennen und zum Teil auch an unterschiedlichen Orten vorzunehmen.

Die Registration Authority (RA) kann als private (innerhalb einer Organisation) oder öffentliche Einrichtung betrieben werden. Ihre Hauptaufgabe besteht darin, die Anträge auf Zertifizierung zu erfassen und die Identität der Antragsteller entsprechend der Policy zu prüfen. Die Identitätsprüfung kann sehr einfach, z.B. per E-Mail, oder auch aufwendiger und sicherer, z.B. durch persönliches Erscheinen und Vorlage des Ausweises, erfolgen.
Die Registration Authority bildet die Schnittstelle zwischen den Teilnehmern bzw. Antragstellern und der Certification Authority (CA), an die sie die Anträge weiterleitet.

Die Certification Authority vergibt eindeutige Identitäten und verwaltet für jeden Teilnehmer ein oder mehrere Schlüsselpaare mit den dazugehörigen Zertifikaten. Jedes von der CA erzeugte Zertifikat verbindet den öffentlichen Schlüssel des Teilnehmers mit dessen Namen und zusätzlichen Daten (Gültigkeitszeitraum, Seriennummer, evtl. weitere Attribute). Die Certification Authority gibt die Zertifikate aus und verwaltet sie, damit die öffentlichen Schlüssel und Attribute (Position im Unternehmen, Rechte usw.) der Teilnehmer möglichst einfach verifiziert werden können. Zur Verwaltung der Zertifikate unterhält jede PKI einen Directory Service. Hier werden die gültigen zertifizierten öffentlichen Schlüssel der Teilnehmer veröffentlicht. Zurückgezogene oder kompromittierte Schlüssel werden in einer Sperrliste (“Certificate Revocation List”, CRL) zum Abruf bereitgehalten.

Ein Zeitstempeldienst dient dazu, gesicherte Zeitsignaturen gemäß der Policy zu erstellen. Damit wird ein Dokument oder eine Transaktion mit der aktuellen Zeitangabe verknüpft und diese Gesamtinformation anschließend digital signiert.

Das Personal Security Environment (PSE) ist die Sammlung aller sicherheitsrelevanten Daten eines Teilnehmers. Dazu gehören seine geheimen Schlüssel, die Zertifikate seiner Kommunikationspartner sowie der öffentliche Schlüssel der Zertifizierungsinstanz.

kostenlos downloaden
124-Nutzen-und-Chancen-von-Public-Key-Infrastrukturen-Prof.-Norbert-Pohlmann-pdf
Nutzen und Chancen von Public-Key-Infrastrukturen Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten