Public Key Infrastructure

Wie funktioniert eine PKI?

24.11.2021
Von 
Andreas Philipp ist Business Development Manager bei Primekey und zuständig für die Bereiche Industrie 4.0 und IoT-Lösungen.
Eine Public Key Infrastructure (PKI) ist vielerorts zentraler Teil der Unternehmens-Security. Erfahren Sie, was eine PKI ist, wie sie funktioniert und wie Betriebe die passende Implementierung finden können.
Das Prinzip einer Public Key Intrastructure beruht auf einem öffentlichen (Public Key) und einem privaten Schlüssel (Private Key). Anhand diese Schlüsselpaares kann eine Person oder ein Gerät identifiziert werden.
Das Prinzip einer Public Key Intrastructure beruht auf einem öffentlichen (Public Key) und einem privaten Schlüssel (Private Key). Anhand diese Schlüsselpaares kann eine Person oder ein Gerät identifiziert werden.
Foto: Shaiith - shutterstock.com

Anwendungen laufen verstärkt in der Cloud und das Vertrauen bei den Unternehmen wächst, weil sie von Skalierbarkeit, Effizienz und Verfügbarkeit profitieren. Dieser Trend erfasst auch die sicherheitskritische Public Key Infrastruktur (PKI). Bereitgestellt als PKI-as-a-Service (PKIaaS) oder Cloud-Plattform steht sie Firmen als Framework zur Verfügung. Manchmal lohnt es sich allerdings, über eine On-Premises-PKI nachzudenken. Welche Lösung ist für den konkreten Anwendungsfall also die Richtige?

Public Key Infrastructure - Definition

Ein solides Sicherheitskonzept beruht zunächst darauf, jede Person und jedes digitale Gerät sicher zu identifizieren, egal ob es sich um einen Anwendungsserver, ein Fahrzeug oder Kühlschrank handelt. Darauf baut der nächste Schritt auf: Es gilt, die Kommunikation oder Verbindung zwischen diesen Einheiten abzusichern. Erst mit diesem Fundament und deren Ausbaustufe können auch alle anderen Abwehrmaßnahmen in der Cybersicherheit effektiv greifen. Für diese Aufgabe hat sich die Public-Key-Infrastruktur (PKI) als Vertrauensanker etabliert.

Das Konzept der Public Key Infrastructure beruht auf einem öffentlichen (Public Key) und einem privaten Schlüssel (Private Key). Die PKI überprüft die Identität des Schlüsselpaarinhabers und stellt dann ein Zertifikat für den Public Key aus, das die Authentizität des Schlüsselpaares bescheinigt. Möchten die Kommunikationsteilnehmer die Identitäten prüfen, so können sie über die PKI die Echtheit der Zertifikate abfragen.

Eine Public Key Infrastructure ist immer als mehrstufige Sicherheitspyramide aufgebaut. Sie beginnt damit, dass die Root Certificate Authority (CA), die untergeordnete Zertifizierungsstelle, die ausstellenden (Issuing) CAs, autorisiert. Diese Instanzen erzeugen dann, nachdem die Identität erfolgreich bestätigt wurde, die Zertifikate zu den kryptographischen Schlüsseln für die Endgeräte und Nutzer.

Bisher wurde dieser IT-Sicherheitsstandard lokal in den eigenen vertrauenswürdigen Rechenzentren implementiert, was jedoch das notwendige Know-how und Personal voraussetzt. Dazu zählt viel Grundlagenwissen darüber, wie gesicherte Betriebsstätten, abgesicherte Rechenzentren oder gehärtete Betriebssysteme für jede Implementierung neu aufgesetzt werden.

Das grundlegende Konzept einer PKI sowie die dazugehören Prozesse und Richtlinien haben in den vergangenen drei Jahren Millionen Organisationen genutzt, wozu zehn Milliarden Geräte auf der ganzen Welt zum Einsatz kamen. Die Anwendungsfälle reichen vom Übertragen von Kreditkartendaten bei einem Online-Kauf bis zum Bedienen einer Autoalarmanlage per Smartphone-App. Weltweit bilden diese Frameworks zu jeder Sekunde die Grundlage für unzählige sichere und vertrauenswürdige Transaktionen.

PKI - mehr Security für IoT

IDC schätzt, dass es 2025 weltweit 42 Milliarden Geräte mit IP-Anschluss im Internet of Things (IoT) geben wird. Die IoT-Geräte decken ein weites Anwendungsfeld ab und müssen geschützt werden.

In der jüngsten Zeit beschäftigen sich viele Gerätehersteller damit, eine Public Key Infrastructure zu konzipieren, beziehungsweise zu adaptieren. Der Zweck: die Geräte und die notwendigen damit verknüpften Dienste abzusichern. Dies hat zu einem großen Wachstumsschub für Public Keys und Zertifikaten geführt. Industriezweige versuchen nun, über einen standardisierten Weg zumindest die nötigen Sicherheitskontrollen umzusetzen. Das kann in der Cloud passieren, wobei Unternehmen vor der Wahl stehen, ihre PKI im SaaS-Modell oder via Cloud-Plattform zu beziehen.

PKI-as-a-Service

Damit ein Unternehmen zur geeigneten Public Key Infrastructure aus der Cloud gelangt, sollte es im ersten Schritt die gesamte PKI spezifizieren und konzeptionieren. Dazu gehört auch, Security Policies zu erstellen. Danach werden im Rahmen der Konzeption die notwendigen Systemumgebungen definiert. Hierzu gehören ebenfalls Betriebskonzepte, die unter anderem Last-Analysen, Geo-Konzeptionen und Verfügbarkeitsanforderungen berücksichtigen.

Mit den Erkenntnissen aus diesen Vorarbeiten ist es nun möglich, eine Entscheidungsgrundlage für das weitere Betriebsmodell abzuleiten. Es gilt die Frage zu beantworten, ob das Unternehmen in die Cloud geht, ein PKIaaS benötigt oder doch lieber im eigenen Rechenzentrum bleibt.

Angenommen eine Firma möchte mit seiner Public Key Infrastructure hauptsächlich Standardanwendungsfälle umzusetzen, die wenig Anpassung erfordern. In diesem Fall bietet sich eine PKIaaS an, damit diese dann die Standard-Zertifikate für Server, TLS (Transport Layer Security) oder das VPN ausstellt. Die Implementierung ist einfach, geht schnell und kostet wenig. Danach steht sofort ein fester Funktionssatz für den Einsatz bereit. Abgerechnet wird pro Zertifikat oder pro Gerät.

PKI aus der Cloud

Wenn sich abzeichnet, dass die Implementierung umfangreich wird oder ein Anwendungsfall sehr speziell ist, dann rückt eine Cloud-Plattform in den Fokus. Per API-Zugriff lassen sich Spezialfälle abbilden wie Zertifikate, die nicht auf dem TSL-Protokoll basieren. Von den Möglichkeiten dieser Option profitieren oftmals DevOps-Teams, die eine PKI-Layer in ein Produkt integrieren muss.

Über die Cloud-Konsole behält das IT-Team alle Public-Key-Infrastructure-Komponenten wie CA, Registration Authority (RA) und Validation Authority (VA) mit dem Online Certificate Status Protocol (OCSP) und der Certificate Revocation List (CRL) im Blick. Es kann die On-Premises-PKI-Funktionalität auch in einer Cloud-Plattform abbilden und kontrollieren. Selbst ein Hardware-Sicherheitsmodul (HSM) lässt sich in der Cloud als Service hinzubuchen.

Wer sich für eine vollständige PKI-Plattform entscheidet, die ein Cloud-Provider als Instanz bereitstellt, sollte das Abrechnungsmodell prüfen. Es empfiehlt sich, eine Einzellizenz für unbegrenzt viele Zertifikate zu erwerben. So zahlt man weniger, während die Plattform besser skaliert. Relevant ist das für Unternehmen, die viele IoT-Anwendungsfälle absichern wollen. Die Bereitstellung einer PKI über die Cloud beschleunigt für Unternehmen die Implementierung, während das notwendige Sicherheitsniveau gewahrt bleibt. Die integrierten Tools und die Möglichkeit der Anpassung an den notwendigen Hardware-Unterbau sowie die Berücksichtigung der Verfügbarkeiten vereinfachen die Bereitstellung der Dienste einer Public Key Infrastructure.

Die typischen Cloud-Versprechen Effizienz und Verfügbarkeit löst eine PKI dann sowohl als PKIaaS als auch als Cloud-Plattform ein. In der Cloud-Instanz-Variante punktet beispielsweise die Enterprise JavaBeans Certificate Authority (EJBCA) damit, dass der Anwender die gesamte PKI-Funktionalität und alle eingesetzten Zertifikate kontrollieren und verwalten kann - dank der Cloud mit einem internationalen Footprint. Das bedeutet, dass der Anwender die Cluster-Funktionalität mit der Cloud-Infrastruktur global umsetzen und anwenden kann.

Public Key Infrastructure - On-Premises?

Die Cloud macht On-Premises-Implementierungen allerdings nicht obsolet. Deshalb sollte PKI vor Ort nicht vorschnell ausgeschlossen werden. Wenn eine Public Key Infrastructure weltweit zur Verfügung stehen muss, erscheint die lokale Umsetzung als große Herausforderung. Doch durch verteilte Rechenzentren ist selbst das heute weiterhin möglich.

Eine wichtige Frage ist: Ist eine Infrastruktur zu jedem Zeitpunkt darauf ausgelegt, die eingehenden Anfragen zu bearbeiten? Im E-Commerce benötigen viele Händler (etwa zum Weihnachtsgeschäft) kurzfristig deutlich höhere Kapazitäten als sonst. On-Premises würde ein Großteil der Ressourcen den Rest des Jahres brach liegen, wenn das Unternehmen diese dauerhaft vorhalten würde.

Wenn in einem Anwendungsfall das Volumen der Anfragen allerdings kontinuierlich gleichbleibend ist und das notwendige Know-how in der eigenen Organisation verfügbar ist, dann könnte die lokale Implementierung interessant bleiben. Bevor eine Auswahl getroffen wird, muss die beste Option aus On-Premises, Cloud-Plattform und PKI-as-a-Service daher in jedem Fall individuell evaluiert werden. (jd)