Was ist eigentlich... Public-Key-Infrastruktur

5. Februar 2021, 09:37
image

Eine Public-Key-Infrastruktur? Und was hat sie mit der E-ID zu tun? Wir erklären das Prinzip in vernünftiger Länge.

Beim Surfen verlassen wir uns täglich viele Male auf eine Public-Key-Infrastruktur (PKI), ohne dies zu realisieren. Aber sie ist auch das zentrale Element, ohne das die E-ID nicht funktionieren könnte. In der ersten Folge von "Was ist eigentlich…" habe ich mich mit Public-Private-Key-Verschlüsselung beschäftigt. Dabei habe ich erwähnt, dass der öffentliche Schlüssel dazu verwendet werden kann, nachzuweisen, dass eine Maschine oder auch ein Mensch im Besitz des dazugehörigen privaten Schlüssels ist.
Eine PKI soll nun sicherstellen, dass diesem Besitzer eines privaten Schlüssels auch eine bestimmte Identität zugeordnet werden kann. Das kann sehr vieles sein, zum Beispiel "Hallo Browser, ich bin inside-it.ch, eine Website der Winsider AG", "Hallo PC, ich bin ein Software-Patch der von Microsoft stammt und nicht von irgendeinem Hacker". Oder eben auch: "Ich bin Hans Jörg Maron."

Aus öffentlichen Schlüsseln werden Zertifikate

Die Verknüpfung zwischen dem Besitzer eines privaten Schlüssels und einer Identität wird in einer PKI von einer oder mehreren dritten Stellen sichergestellt. Wie sicher man sein kann, dass beispielsweise eine Nachricht, die vorgibt, von "Hans Jörg Maron" zu stammen, wirklich von mir stammt, hängt davon ab, wie sehr man der PKI vertrauen kann, welche dies mit einem sogenannten Zertifikat bestätigt.
Zertifikate sind eine Art digitale Pässe. Sie beinhalten den öffentlichen Schlüssel einer bestimmten Entität sowie ein Attest einer vertrauenswürdigen sogenannten Certificate Authority (CA), dass die Entität wirklich die ist, für die sie sich ausgibt. Dieses Attest wird seinerseits mit dem öffentlichen Schlüssel dieser Stelle signiert.

Zu einer PKI gehören die folgenden Elemente:

  • Die erwähnte Certificate Authority (CA), eine Institution beziehungsweise Organisation, welche Zertifikate ausgibt und sie mit ihrem öffentlichen Schlüssel signiert. Die CA muss die Zertifikate auch speichern und verwalten.
  • Die Registration Authority, eine Registrierungsstelle, welche die Identität einer Entität vorgängig verifiziert. Eine CA kann dies selbst tun, oder diese Aufgabe einer Drittpartei überlassen.
  • Eine Zertifikats-Datenbank, in der die Zertifikate und die dazugehörigen Metadaten gespeichert werden.
  • Eine Zertifikats-Policy, die beschreibt, wie die Identitäts-Verifizierung gehandhabt wird und, ebenfalls sehr wichtig, wie lange Zertifikate gültig bleiben. Die Policy soll es erlauben, dass Aussenstehende beurteilen können, wie vertrauenswürdig eine PKI ist.

Vertrauen, Vertrauen, Vertrauen…

Die nächste offensichtliche Frage ist nun: Wer stellt eigentlich sicher, dass eine CA ihrerseits vertrauenswürdig ist und die Registrierungsstelle den Job, eine Identität zu verifizieren, korrekt durchführt? Jede PKI muss irgendeinen Mechanismus zur Kontrolle der CAs haben.
Wie viel Kontrolle es über die CAs gibt und wer diese Kontrolle wahrnimmt, ist je nach PKI sehr unterschiedlich. Über die Unternehmen und Organisationen beispielsweise, die Zertifikate für Websites ausgeben, gibt es keine organisierte Kontrolle. Jedes Unternehmen kann versuchen, sich als CA zu etablieren. Naturgemäss versuchen die CAs, den Aufwand zur Verifizierung eines Domain-Besitzers gering zu halten. Es kann zum Beispiel genügen, der CA ein Mail mit dem Absender [email protected] zu schicken. Diese Adresse sollte nur jemand benützen können, der eine bestimmte Domain verwalten darf. Wenn diese Person daraufhin das Zertifikat erhält, kann sie es auf den entsprechenden Webserver hochladen. Browser, welche eine Domain ansteuern, prüfen das Zertifikat um sicher zu sein, dass Daten, die sie empfangen von dieser Site stammen, und nicht von jemand anderem.
CAs, die Site-Zertifikate ausgeben, werden heute de facto von den grossen Betriebssystem- und Browser-Anbietern kontrolliert. Apple, Microsoft und Mozilla führen Listen von CAs, denen sie vertrauen.
Ich kann an dieser Stelle nicht im Einzelnen durchgehen, wie die CAs für die vielen anderen PKIs für andere Einsatzzwecke kontrolliert werden, zum Beispiel die Sicherung von Internet-of-Things-Netzwerken, verschlüsselte E-Mail-Kommunikation, sicheres Messaging, elektronische Signaturen und vieles mehr.

Die PKI der E-ID

Ein wichtiges und gerade hochaktuelles Beispiel soll aber noch angesprochen werden: Die E-ID, welche im Grunde genommen ebenfalls ein Zertifikat ist. Naturgemäss muss die Kontrolle für einen vom Staat anerkannten digitalen Pass sehr strikt sein.
In der vom Bundesrat vorgeschlagenen Version fungiert der Bund als Registrierungsstelle und prüft und bestätigt die Identität einer Person. Die Ausgabe der Zertifikate beziehungsweise der E-ID soll aber privaten Unternehmen überlassen werden, die sich dafür qualifizieren. Sie fungieren also als die CAs in dieser PKI. Die Kontrolle über diese CAs wird wiederum vom Bund wahrgenommen.
Die Gegner dieser Vorlage argumentieren, dass der Bund für eine staatlich anerkannte E-ID auch selbst als CA agieren sollte. Unter anderem, weil CAs potenziell viele sensible Daten über E-ID-Nutzer sammeln könnten.
Der Bundesrat hält dagegen, dass private Unternehmen schneller und flexibler auf sich verändernde technische Möglichkeiten und auf die Bedürfnisse der Konsumentinnen und Konsumenten reagieren können.
Es bleibt aber unumstritten, dass eine E-ID eine wichtige Voraussetzung für effiziente E-Government-Services ist, und dass der Bund die Registrierungsstelle sein muss.
Zum Autor:Hans Jörg Maron studierte in ferner Vergangenheit Zoologie, stieg aber später auf den Journalismus um und hat mittlerweile 20 Jahre Erfahrung in der ICT-Berichterstattung. 2004 war er Mitgründer von inside-it.ch/inside-channels .
Zu "Was ist eigentlich":Ein Fachjournalist von inside-it.ch recherchiert, definiert und erklärt jeweils ein Tech-Thema oder ein neues Buzzword, bei dem viele von Unterschiedlichem reden. Wollen Sie etwas genauer wissen? Ihre Ideen sind willkommen: Mail an [email protected] mit einer kurzen Begründung genügt und wir entscheiden, worüber wir recherchieren.

Loading

Mehr zum Thema

image

IT-Fachkräftemangel: Wie Wachstum dennoch gelingt

Der Fachkräftemangel ist akuter denn je, besonders in der IT und Cyber Security. Gleichzeitig steigt die Nachfrage nach entsprechenden Services kontinuierlich. Wie gelingt der Spagat zwischen Wachstum und dem «War of Talents»? Rita Kaspar, Head of HR bei InfoGuard AG, gibt Auskunft.

image

Luzerner können Wille zur Organspende in App hinterlegen

Patientinnen und Patienten des Luzerner Kantonsspitals können ihre Entscheidung zur Organspende neu in der Patienten-App ablegen.

publiziert am 26.1.2023
image

PUK soll Zürcher Datenskandal durchleuchten

Datenträger der Justizdirektion landeten im Sex- und Drogenmilieu. Jetzt soll eine Parlamentarische Unter­suchungs­kommission zum Vorfall eingesetzt werden.

publiziert am 26.1.2023
image

Cyberkrimineller erbeutet Meldedaten fast aller Österreicher

Ein Fauxpas bei einem Wiener IT-Unternehmen machte einen grossen Datendiebstahl möglich. Die Spuren führen in die Niederlande.

publiziert am 26.1.2023