Zurück zur Übersicht

Begriff

PKI (Public Key Infrastructure)

Security Infrastructure S3
2 Quellen 0 Lernpfade 0 Backlinks enriched

Warum wichtig?

Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.

Ein Zertifikat allein reicht nicht. Du brauchst ein ganzes System, um Schlüssel zu verwalten. Eine PKI ist wie das Einwohnermeldeamt + Polizei + Passdruckerei zusammen. Sie regelt:

  1. Erstellung: Wie beantragt man einen Ausweis?
    Musterantwort: Beginne mit dem konkreten Fall, prüfe die Fakten und erkläre den Begriff daran. Für diesen Abschnitt gilt: In der Firma: "Ich brauche VPN-Zugang." 1. Du generierst ein Key-Pair. 2. Die PKI (Software) signiert deinen Public Key. 3. Du bekommst das Cert auf deine Smartcard/YubiKey. 4. Wenn du entlassen wirst, setzt der Admin dein Cert auf die Sperrliste (CRL). Ab sofort kommst du nicht mehr rein.
  2. Verteilung: Wie kommt der Ausweis zum User?
    Musterantwort: Beginne mit dem konkreten Fall, prüfe die Fakten und erkläre den Begriff daran. Für diesen Abschnitt gilt: In der Firma: "Ich brauche VPN-Zugang." 1. Du generierst ein Key-Pair. 2. Die PKI (Software) signiert deinen Public Key. 3. Du bekommst das Cert auf deine Smartcard/YubiKey. 4. Wenn du entlassen wirst, setzt der Admin dein Cert auf die Sperrliste (CRL). Ab sofort kommst du nicht mehr rein.
  3. Prüfung: Wer darf prüfen?
    Bei der Prüfung belegst du die Fakten, bevor du handelst: Was ist passiert, wo passiert es, seit wann, wie oft, mit welcher Auswirkung und mit welchem Nachweis? Erst danach entscheidest du den nächsten Schritt.
  4. Sperrung: Was passiert, wenn ich meinen Ausweis verliere? (Revocation).

Ohne PKI sind Schlüssel nutzlos, weil man ihnen nicht vertrauen oder sie nicht managen kann. Das gesamte HTTPS-Internet ist eine riesige, weltweite PKI (Web PKI).

Merksatz: Die Gesamtheit aller Hardware, Software, Personen, Richtlinien und Verfahren, die benötigt werden, um digitale Zertifikate zu erstellen, zu verwalten, zu verteilen, zu nutzen, zu speichern und zu widerrufen.


Quick-Check

  1. Web of Trust (PGP)?
    Der Gegenentwurf zur PKI. Keine zentrale Autorität (CA). User zertifizieren sich gegenseitig ("Ich vertraue Max, und Max vertraut Moritz, also vertraue ich Moritz"). Hat sich im Web nicht durchgesetzt (nicht skalierbar).
  2. RA (Registration Authority)?
    Der "Schalterbeamte". Die RA prüft den Ausweis, darf aber keine Zertifikate drucken. Sie sagt der CA: "Alles okay, druck mal." (Aufgabentrennung).
  3. SSH und PKI?
    SSH nutzt standardmäßig keine PKI (sondern "Trust on First Use" - TOFU). Man kann aber SSH Certificates nutzen (mit eigener CA), was in großen Firmen (Netflix, Facebook) Standard ist, um Access Management zu skalieren.