Inhalt

Public Key Infrastruktur

Public Key Infrastruktur (PKI) ist eine Infrastruktur zur Verwaltung und Verteilung von kryptographischen Schlüsseln. Diese Technologie ermöglicht den sicheren Einsatz elektronischer Signaturen und Zertifikate.  

Allgemeines

Public Key Infrastruktur basiert auf einem System mit privaten und öffentlichen Schlüsseln zum Verschlüsseln und Entschlüsseln von elektronischen Daten.

Der zugrunde liegende Gedanke ist der folgende: Mit Hilfe solch eines asymmetrischen Kryptografiesystems können Nachrichten im Internet signiert und verschlüsselt werden. Das Signieren garantiert, dass die Nachricht in dieser Form wirklich vom angegebenen Absender, von der angegebenen Absenderin stammt. Zum Lesen der Nachricht wird der öffentliche Schlüssel (Public-Key) des Absenders/der Absenderin benötigt, der zum Beispiel per E-Mail versendet wird.

Wie kann aber sichergestellt werden, dass es sich tatsächlich um den öffentlichen Schlüssel des Absenders, der Absenderin handelt? Dazu wird der zu verschickende Schlüssel selbst wieder mit einem vertrauenswürdigen Schlüssel signiert. Die PKI bietet dafür ein hierarchisches Gültigkeitsmodell an. Wird einer Zertifizierungsstelle vertraut, wird damit allen von ihr signierten Zertifikaten auch vertraut. Da eine PKI untergeordnete PKIs haben kann (Mehrstufigkeit), wird auch allen untergeordneten PKIs vertraut.

Grundlage für sicheres E-Government

Ohne der PKI ist eine vertrauliche, gesicherte und rechtlich verbindliche Kommunikation zwischen Bürgerinnen beziehungsweise Bürgern und Behörden sowie von Behörden untereinander nach standardisierten Prozeduren nicht möglich.

Die Methode ermöglicht es, digitale Zertifikate auszustellen, zu verteilen und zu prüfen. Damit wird die Authentifizierung, Identifizierung, Vertraulichkeit und Nichtabstreitbarkeit von elektronischen Daten sichergestellt. So stellt die PKI unter anderem jene Informationen zur Verfügung, die aktuelle Informationen über den Gültigkeitszustand eines Zertifikats zur Verfügung stellen.

Zu den wichtigsten Anwendungen für PKI zählen

  • die Signatur von Dokumenten
  • sichere E-Mail-Kommunikation
  • elektronischer Handel

PKI in der Verwaltung

In der Verwaltung werden zusätzliche spezielle Profile und Erweiterungen verwendet.

In den Allgemeinen Richtlinien für den Einsatz von PKI in der Verwaltung werden die Einrichtung und der Betrieb von PKI-Strukturen innerhalb von Behörden erörtert. Die Richtlinien sind als Hilfestellung für Planer und Umsetzungsbeauftragte von PKI-Strukturen in der öffentlichen Verwaltung gedacht. Sie enthalten Informationen über Zertifikatstypen, Ausstellungsprozeduren, Gültigkeitszustand, Anforderungen an den Zertifizierungsdiensteanbieter (ZDA), Verzeichnisdienste, PKI-Spezifikationen, Profile, Erweiterungen und die Verwendung von Namen in einer PKI und in Root-Zertifikaten.

Zertifikate von Verwaltungsorganisationen werden speziell mit einer Verwaltungseigenschaft gekennzeichnet. Je nach Einsatz werden mehrere Arten von Zertifikaten unterschieden:

  • Zertifikate für Webservices zum automationsgestützten Signieren von Daten
  • Serverzertifikate zur digitalen Authentifizierung eines Servers
  • E-Mail-Zertifikate zur Steigerung der Vertrauenswürdigkeit von ausgehenden E-Mails der Verwaltung
  • Authentifizierungszertifikate für Authentifizierungszwecke
  • Verschlüsselungszertifikate zur Datenverschlüsselung
  • Qualifizierte Zertifikate für Fälle der qualifizierten elektronischen Signatur.
  • Zertifikate für spezielle Anwendungen (Digitaler Tachograph, elektronischer Reisepass und dergleichen)

Ohne öffentlichen Schlüssel der Kommunikationspartnerin, des Kommunikationspartners kann weder die Authentizität von Signaturen überprüft noch eine vertrauliche Kommunikation mit Hilfe von PKI hergestellt werden. Das Speichern und Publizieren der Zertifikate in einem oder mehreren Verzeichnisdiensten vereinfacht die praktische Verwendung von PKI.

Die Qualität einer PKI ist von der Ausstellungsqualität des Zertifikats abhängig. Der Aufbau einer qualitativ hochwertigen PKI bedeutet etwa für die Ausgabe qualifizierter Zertifikate strenge Auflagen an den Zertifizierungsdiensteanbieter. Benutzerinnen und Benutzer müssen mit Zertifikaten und den zugehörigen Schlüsseln verantwortungsbewusst umgehen. In der Belehrung sollte daher auf Punkte wie Nutzen, Zweck, Nutzung, Schutz der privaten Schlüssel, Voraussetzungen für die Speicherung und Widerruf eingegangen werden. Rollen und Berechtigungen sind getrennt vom Zertifikat zu halten.

Weiterführende Informationen