Was ist eigentlich... Public-Key-Infrastruktur

5. Februar 2021, 09:37
image

Eine Public-Key-Infrastruktur? Und was hat sie mit der E-ID zu tun? Wir erklären das Prinzip in vernünftiger Länge.

Beim Surfen verlassen wir uns täglich viele Male auf eine Public-Key-Infrastruktur (PKI), ohne dies zu realisieren. Aber sie ist auch das zentrale Element, ohne das die E-ID nicht funktionieren könnte. In der ersten Folge von "Was ist eigentlich…" habe ich mich mit Public-Private-Key-Verschlüsselung beschäftigt. Dabei habe ich erwähnt, dass der öffentliche Schlüssel dazu verwendet werden kann, nachzuweisen, dass eine Maschine oder auch ein Mensch im Besitz des dazugehörigen privaten Schlüssels ist.
Eine PKI soll nun sicherstellen, dass diesem Besitzer eines privaten Schlüssels auch eine bestimmte Identität zugeordnet werden kann. Das kann sehr vieles sein, zum Beispiel "Hallo Browser, ich bin inside-it.ch, eine Website der Winsider AG", "Hallo PC, ich bin ein Software-Patch der von Microsoft stammt und nicht von irgendeinem Hacker". Oder eben auch: "Ich bin Hans Jörg Maron."

Aus öffentlichen Schlüsseln werden Zertifikate

Die Verknüpfung zwischen dem Besitzer eines privaten Schlüssels und einer Identität wird in einer PKI von einer oder mehreren dritten Stellen sichergestellt. Wie sicher man sein kann, dass beispielsweise eine Nachricht, die vorgibt, von "Hans Jörg Maron" zu stammen, wirklich von mir stammt, hängt davon ab, wie sehr man der PKI vertrauen kann, welche dies mit einem sogenannten Zertifikat bestätigt.
Zertifikate sind eine Art digitale Pässe. Sie beinhalten den öffentlichen Schlüssel einer bestimmten Entität sowie ein Attest einer vertrauenswürdigen sogenannten Certificate Authority (CA), dass die Entität wirklich die ist, für die sie sich ausgibt. Dieses Attest wird seinerseits mit dem öffentlichen Schlüssel dieser Stelle signiert.

Zu einer PKI gehören die folgenden Elemente:

  • Die erwähnte Certificate Authority (CA), eine Institution beziehungsweise Organisation, welche Zertifikate ausgibt und sie mit ihrem öffentlichen Schlüssel signiert. Die CA muss die Zertifikate auch speichern und verwalten.
  • Die Registration Authority, eine Registrierungsstelle, welche die Identität einer Entität vorgängig verifiziert. Eine CA kann dies selbst tun, oder diese Aufgabe einer Drittpartei überlassen.
  • Eine Zertifikats-Datenbank, in der die Zertifikate und die dazugehörigen Metadaten gespeichert werden.
  • Eine Zertifikats-Policy, die beschreibt, wie die Identitäts-Verifizierung gehandhabt wird und, ebenfalls sehr wichtig, wie lange Zertifikate gültig bleiben. Die Policy soll es erlauben, dass Aussenstehende beurteilen können, wie vertrauenswürdig eine PKI ist.

Vertrauen, Vertrauen, Vertrauen…

Die nächste offensichtliche Frage ist nun: Wer stellt eigentlich sicher, dass eine CA ihrerseits vertrauenswürdig ist und die Registrierungsstelle den Job, eine Identität zu verifizieren, korrekt durchführt? Jede PKI muss irgendeinen Mechanismus zur Kontrolle der CAs haben.
Wie viel Kontrolle es über die CAs gibt und wer diese Kontrolle wahrnimmt, ist je nach PKI sehr unterschiedlich. Über die Unternehmen und Organisationen beispielsweise, die Zertifikate für Websites ausgeben, gibt es keine organisierte Kontrolle. Jedes Unternehmen kann versuchen, sich als CA zu etablieren. Naturgemäss versuchen die CAs, den Aufwand zur Verifizierung eines Domain-Besitzers gering zu halten. Es kann zum Beispiel genügen, der CA ein Mail mit dem Absender [email protected] zu schicken. Diese Adresse sollte nur jemand benützen können, der eine bestimmte Domain verwalten darf. Wenn diese Person daraufhin das Zertifikat erhält, kann sie es auf den entsprechenden Webserver hochladen. Browser, welche eine Domain ansteuern, prüfen das Zertifikat um sicher zu sein, dass Daten, die sie empfangen von dieser Site stammen, und nicht von jemand anderem.
CAs, die Site-Zertifikate ausgeben, werden heute de facto von den grossen Betriebssystem- und Browser-Anbietern kontrolliert. Apple, Microsoft und Mozilla führen Listen von CAs, denen sie vertrauen.
Ich kann an dieser Stelle nicht im Einzelnen durchgehen, wie die CAs für die vielen anderen PKIs für andere Einsatzzwecke kontrolliert werden, zum Beispiel die Sicherung von Internet-of-Things-Netzwerken, verschlüsselte E-Mail-Kommunikation, sicheres Messaging, elektronische Signaturen und vieles mehr.

Die PKI der E-ID

Ein wichtiges und gerade hochaktuelles Beispiel soll aber noch angesprochen werden: Die E-ID, welche im Grunde genommen ebenfalls ein Zertifikat ist. Naturgemäss muss die Kontrolle für einen vom Staat anerkannten digitalen Pass sehr strikt sein.
In der vom Bundesrat vorgeschlagenen Version fungiert der Bund als Registrierungsstelle und prüft und bestätigt die Identität einer Person. Die Ausgabe der Zertifikate beziehungsweise der E-ID soll aber privaten Unternehmen überlassen werden, die sich dafür qualifizieren. Sie fungieren also als die CAs in dieser PKI. Die Kontrolle über diese CAs wird wiederum vom Bund wahrgenommen.
Die Gegner dieser Vorlage argumentieren, dass der Bund für eine staatlich anerkannte E-ID auch selbst als CA agieren sollte. Unter anderem, weil CAs potenziell viele sensible Daten über E-ID-Nutzer sammeln könnten.
Der Bundesrat hält dagegen, dass private Unternehmen schneller und flexibler auf sich verändernde technische Möglichkeiten und auf die Bedürfnisse der Konsumentinnen und Konsumenten reagieren können.
Es bleibt aber unumstritten, dass eine E-ID eine wichtige Voraussetzung für effiziente E-Government-Services ist, und dass der Bund die Registrierungsstelle sein muss.
Zum Autor:Hans Jörg Maron studierte in ferner Vergangenheit Zoologie, stieg aber später auf den Journalismus um und hat mittlerweile 20 Jahre Erfahrung in der ICT-Berichterstattung. 2004 war er Mitgründer von inside-it.ch/inside-channels .
Zu "Was ist eigentlich":Ein Fachjournalist von inside-it.ch recherchiert, definiert und erklärt jeweils ein Tech-Thema oder ein neues Buzzword, bei dem viele von Unterschiedlichem reden. Wollen Sie etwas genauer wissen? Ihre Ideen sind willkommen: Mail an [email protected] mit einer kurzen Begründung genügt und wir entscheiden, worüber wir recherchieren.

Loading

Mehr zum Thema

image

Zurich investiert erneut in kanadische Cyberversicherung

Boxx Insurance hat unter der Leitung von Zurich in einer Serie-B-Finanzierung 14,4 Millionen US-Dollar gesammelt.

publiziert am 31.1.2023
image

HPE zeichnet Schweizer Partner aus

Der Channel trägt 60% zum HPE-Umsatz bei. Auch dieses Jahr ehrt der Hersteller seine besten Schweizer Partner.

publiziert am 31.1.2023
image

Competec hat eigene Marke für PC-Zubehör lanciert

Die neue Schweizer Marke Onit wurde bis jetzt nicht gross angekündigt. Das wird laut Competec bewusst so gehandhabt.

publiziert am 30.1.2023
image

Talkeasy Schweiz wird liquidiert

Am 14. Dezember 2022 wurde Talkeasy aufgelöst. Der Schweizer Telco war für seine aggressive Kundenbindung bekannt.

publiziert am 27.1.2023