PKI-Konzepte/Wörter erklärt

Die PKI-Umgebung innerhalb einer Organisation ist manchmal schwer zu verstehen, weil es viele Abkürzungen, Konzepte und Wörter gibt, die typisch für PKI sind.
Deshalb haben wir eine Liste dieser Begriffe mit einer Erklärung erstellt, damit Sie die Welt der PKI besser verstehen.

Begriff Beschreibung
Advanced Encryption Standard (AES) ist eine Spezifikation für die symmetrische Verschlüsselung von elektronischen Daten
A-symmetrische Verschlüsselung Die Verwendung von zwei unterschiedlichen, aber mathematisch verwandten Schlüsseln zum Zweck der Verschlüsselung. Ein öffentlicher Schlüssel (der mit jedem geteilt werden kann), um Nachrichten zu verschlüsseln, und ein privater Schlüssel (der nur dem Empfänger bekannt sein sollte), um Nachrichten zu entschlüsseln.
Zugriff auf Autoritätsinformationen (AIA) Gibt in einem Zertifikat an, wo aktuelle übergeordnete Zertifikate des Zertifikats zu finden sind
Automatische Zertifikatsverwaltungsumgebung (ACME) ist ein Kommunikationsprotokoll zur Automatisierung der Interaktion zwischen Zertifizierungsstellen und den Servern ihrer Benutzer, das die automatische Bereitstellung einer Public-Key-Infrastruktur zu sehr geringen Kosten ermöglicht.
Zertifikats- und Schlüsselverwaltungslösung (CKMS) Eine Reihe von Regeln und Prozessen, die häufig in einer Softwarelösung zusammengefasst sind und die Erstellung und sichere Verwaltung von PKI-basierten Zertifikaten und entsprechenden privaten Schlüsseln ermöglichen.
Zertifizierungsstelle (CA) Eine Ressource und ein System für die Erstellung digitaler Zertifikate und die eigenen Richtlinien, Praktiken und Verfahren für die Überprüfung von Empfängern und die Ausstellung der Zertifikate. Es obliegt den Eigentümern und Betreibern einer Zertifizierungsstelle, die Überprüfungsmethoden für Zertifikatsempfänger, die Arten von Zertifikaten, die sie ausstellen, die in jedem Zertifikat enthaltenen Parameter sowie die Sicherheits- und Betriebsverfahren festzulegen.
Zertifikatskette Eine Kette von Zertifikaten, die aus dem Zertifikat des Abonnenten, dem Zertifikat der ausstellenden CA, dem/den Zertifikat(en) der Zwischen-CA und dem Zertifikat der Stamm-CA besteht.
Verwaltung des Lebenszyklus von Zertifikaten (CLM) Eine Reihe von Regeln und Prozessen, die oft in einer Softwarelösung zusammengefasst sind und die Verwaltung von PKI-basierten Zertifikaten ermöglichen.
Zertifikat-Management-Protokoll (CMPv2) ist ein von der IETF standardisiertes Internetprotokoll, das für den Erhalt von digitalen X.509-Zertifikaten in einer Public Key Infrastructure (PKI) verwendet wird. CMP ist ein sehr funktionsreiches und flexibles Protokoll, das alle Arten von Kryptographie unterstützt. CMP-Nachrichten sind in sich geschlossen, was das Protokoll im Gegensatz zu EST unabhängig vom Transportmechanismus macht und Ende-zu-Ende-Sicherheit bietet.
Zertifikatspfad Eine Kette von Zertifikaten, die aus dem Zertifikat des Abonnenten, dem Zertifikat der ausstellenden CA, dem/den Zertifikat(en) der Zwischen-CA und dem Zertifikat der Stamm-CA besteht.
Zertifikatspolitik (CP) Eine spezielle Form der Verwaltungsrichtlinie, die auf elektronische Transaktionen bei der Zertifikatsverwaltung abgestimmt ist. Eine Zertifikatsrichtlinie befasst sich mit allen Aspekten, die mit der Erstellung, Produktion, Verteilung, Abrechnung, Wiederherstellung von Kompromissen und der Verwaltung von digitalen Zertifikaten verbunden sind. Indirekt kann eine Zertifikatsrichtlinie auch die Transaktionen regeln, die mit einem Kommunikationssystem durchgeführt werden, das durch ein zertifikatsbasiertes Sicherheitssystem geschützt ist. Durch die Kontrolle kritischer Zertifikatserweiterungen können solche Richtlinien und die zugehörige Durchsetzungstechnologie die Bereitstellung der von bestimmten Anwendungen benötigten Sicherheitsdienste unterstützen.
Zertifikatsprofil Detaillierte Beschreibung der Struktur, der Komponenten und der Herkunft der Daten im Zertifikat
Zertifikatswiderrufslisten (CRL) Eine Liste von Zertifikaten (oder genauer gesagt, eine Liste von Seriennummern für Zertifikate), die widerrufen wurden, so dass Unternehmen, die diese (widerrufenen) Zertifikate vorlegen, nicht mehr vertraut werden sollte.
Zertifikatssignierungsanforderung (CSR) Die CSR speichert Identifizierungsinformationen in einem eindeutigen Format für eine Person oder ein Gerät, das einen privaten Schlüssel besitzt, sowie Informationen über den entsprechenden öffentlichen Schlüssel.
Vertrauensliste für Zertifikate (CTL) Die Sammlung vertrauenswürdiger Zertifikate, die von vertrauenswürdigen Parteien zur Authentifizierung anderer Zertifikate verwendet werden.
Erklärung zur Zertifizierungspraxis (CPS) Eine Erklärung zu den Praktiken, die eine Zertifizierungsstelle bei der Ausstellung, der Aussetzung, dem Widerruf und der Erneuerung von Zertifikaten sowie bei der Bereitstellung des Zugriffs auf diese Zertifikate in Übereinstimmung mit bestimmten Anforderungen anwendet (d. h. Anforderungen, die in dieser Zertifizierungsrichtlinie oder in einem Dienstleistungsvertrag festgelegt sind).
CRL-Verteilungspunkt (CDP) Der Ort, an dem Sie die neueste CRL herunterladen können.
Digitale Signatur ist eine Möglichkeit, die Authentizität durch die Verwendung einer eindeutigen digitalen Kennung zu überprüfen. Digitale Signaturen beruhen auf asymmetrischer Verschlüsselung, da der Besitzer eines privaten Schlüssels diesen Schlüssel verwenden kann, um eine Nachricht digital zu signieren. Dritte können dann den entsprechenden öffentlichen Schlüssel verwenden, um die Signatur zu überprüfen und zu bestätigen, dass die Nachricht während der Übertragung nicht verändert wurde, was die Überprüfung fehlschlagen lassen würde. Digitale Signaturen bieten auch die Möglichkeit der Nichtabstreitbarkeit, da Unterzeichner ihre Signatur nicht leugnen können.
Elliptische-Kurven-Kryptographie (ECC) Ist ein Verschlüsselungsansatz für Public-Key-Kryptographie, der auf der algebraischen Struktur elliptischer Kurven über endlichen Feldern basiert. ECC ermöglicht im Vergleich zur Nicht-EC-Kryptographie wie RSA kleinere Schlüssel, um gleichwertige Sicherheit zu bieten.
Verschlüsselungszertifikat Ein Zertifikat, das einen öffentlichen Schlüssel und die entsprechende Schlüsselnutzung enthält, die zur Verschlüsselung von elektronischen Nachrichten, Dateien, Dokumenten oder Datenübertragungen oder zur Erstellung oder zum Austausch eines Sitzungsschlüssels für dieselben Zwecke verwendet wird.
End-Entity Zertifikat Ein Zertifikat, das sich am unteren Ende der CA-Hierarchie befindet und nicht zum Signieren anderer Zertifikate verwendet werden kann. Die meisten Endbenutzer-, Geräte- und Server-Zertifikate sind Endteilnehmer-Zertifikate.
Einschreibung über sicheren Transport (EST) ist ein kryptografisches Protokoll, das ein X.509-Zertifikatsverwaltungsprotokoll für Public Key Infrastructure (PKI)-Clients beschreibt, die Client-Zertifikate und zugehörige Zertifizierungsstellen (CAs) erwerben müssen. EST ist in RFC 7030 beschrieben. EST wurde als Ersatz für SCEP vorgeschlagen, da es auf Geräten, die bereits über einen HTTPS-Stack verfügen, einfacher zu implementieren ist. EST verwendet HTTPS als Transportmedium und nutzt TLS für viele seiner Sicherheitsattribute.
Erweiterte Schlüsselverwendung (EKU) Definiert die erweiterten Eigenschaften, für die ein Zertifikat verwendet werden soll.
Hardware-Sicherheitsmodul (HSM) Ein Hardware-Sicherheitsmodul ist ein physisches Computergerät, das digitale Schlüssel für eine starke Authentifizierung schützt und verwaltet und die Verarbeitung kryptografischer Operationen ermöglicht.
Raute Ein digitaler Fingerabdruck, der häufig bei digitalen Signaturen verwendet wird, um sicherzustellen, dass die Daten nicht manipuliert wurden. Genauer gesagt handelt es sich um einen Einweg-Algorithmus, mit dem ein Wert in einen anderen umgewandelt wird, um Informationen durch eine mathematische Ausgabe zu maskieren.
Intermediäre Zertifizierungsstelle (Intermediate) Eine CA, die einer anderen CA untergeordnet ist und eine CA hat, die ihr selbst untergeordnet ist.
Ausstellende Zertifizierungsstelle Eine untergeordnete CA, die Zertifikate für Endbenutzer und Computer (Zertifikatsubjekte) ausstellt.
Schlüssel-Attestierung ist die technische Fähigkeit, einer entfernten Partei zu beweisen, dass ein verschlüsselter privater Schlüssel innerhalb eines kryptografischen Hardwaremoduls wie dem Trusted Platform Module (TPM) oder dem Hardware Security Module (HSM) generiert wurde und dort verwaltet wird und nicht exportiert werden kann.
Schlüsselverwendung (KU) Definiert die grundlegenden Eigenschaften, für die ein Zertifikat verwendet werden soll.
Lightweight Directory Access Protocol (LDAP) ist ein offenes, herstellerneutrales Anwendungsprotokoll nach Industriestandard für den Zugriff auf und die Pflege von verteilten Verzeichnisinformationsdiensten über ein Internet Protocol (IP)-Netzwerk. Verzeichnisdienste spielen eine wichtige Rolle bei der Entwicklung von Intranet- und Internetanwendungen, da sie die gemeinsame Nutzung von Informationen über Benutzer, Systeme, Netzwerke, Dienste und Anwendungen im gesamten Netzwerk ermöglichen. Ein LDAP wird häufig verwendet, um S/MIME-Zertifikatsdaten eines Benutzerkontos zu speichern.
Mehrzweck-Internet-Mail-Erweiterungen (MIME) ist ein Internet-Standard, der das Format von E-Mail-Nachrichten erweitert, um Text in anderen Zeichensätzen als ASCII sowie Anhänge von Audio-, Video-, Bild- und Anwendungsprogrammen zu unterstützen.
Objekt-Identifikator (OID) Ein global eindeutiger Wert, der einem Objekt zugeordnet ist, um es eindeutig zu identifizieren, verwendet in der Abstract Syntax Notation (ASN.1)
Online-Zertifikatsstatus-Protokoll (OCSP) Ein Online-Protokoll, das verwendet wird, um den Status eines Zertifikats mit öffentlichem Schlüssel zu ermitteln.
Kryptographie-Standards für öffentliche Schlüssel (PKCS) Eine Reihe von Standards, die die Verwendung von Standardkryptographietechniken innerhalb von PKI-Programmen beschreiben. Diese Standards werden von RSA Security LLC definiert und veröffentlicht und umfassen Techniken wie PKCS 7, PKCS 10, PKCS 11 und PCKS 12, die Dinge wie Nachrichtensyntax und Formatierung für digitale Zertifikate und die Speicherung privater Schlüssel abdecken.
Infrastruktur für öffentliche Schlüssel (PKI) Ist eine Reihe von Rollen, Richtlinien, Hardware, Software und Verfahren, die zum Erstellen, Verwalten, Verteilen, Verwenden, Speichern und Widerrufen digitaler Zertifikate und zur Verwaltung der Verschlüsselung mit öffentlichen Schlüsseln erforderlich sind. Der Zweck einer PKI besteht darin, die sichere elektronische Übertragung von Informationen für eine Reihe von Netzwerkaktivitäten wie E-Commerce, Internet-Banking und vertrauliche E-Mails zu erleichtern. Sie wird für Aktivitäten benötigt, bei denen einfache Passwörter eine unzureichende Authentifizierungsmethode darstellen und ein strengerer Nachweis erforderlich ist, um die Identität der an der Kommunikation beteiligten Parteien zu bestätigen und die übertragenen Informationen zu validieren.
Registrierungsbehörde (RA) Eine vertrauenswürdige Instanz, die die Identität eines Teilnehmers feststellt und sich gegenüber einer CA dafür verbürgt. Die RA kann integraler Bestandteil einer CA sein, oder sie kann unabhängig von einer CA sein, steht aber in einer Beziehung zur CA.
Neu verschlüsseln Ändern des Werts eines kryptografischen Schlüssels, der in einer kryptografischen Systemanwendung verwendet wird. Dies beinhaltet normalerweise die Ausstellung eines neuen Zertifikats für den neuen öffentlichen Schlüssel.
Erneuerung Der Akt oder Prozess der Verlängerung der Gültigkeit der von einem Public Key-Zertifikat behaupteten Datenbindung durch die Ausstellung eines neuen Zertifikats.
Anfrage für Kommentare (RFC) ist eine Veröffentlichung in einer Reihe der wichtigsten technischen Entwicklungs- und Standardisierungsgremien für das Internet, allen voran die Internet Engineering Task Force (IETF). Ein RFC wird von Einzelpersonen oder Gruppen von Ingenieuren und Informatikern in Form eines Memorandums verfasst, in dem Methoden, Verhaltensweisen, Forschung oder Innovationen beschrieben werden, die sich auf die Funktionsweise des Internets und mit dem Internet verbundener Systeme beziehen. PKI-bezogene RFCs sind 8399 und 5280
Widerruf Die vorzeitige Beendigung der Laufzeit eines Zertifikats zu einem bestimmten Datum und Zeitpunkt.
Rivest-Shamir-Adleman-Kryptographie (RSA) Ist ein Kryptosystem mit öffentlichem Schlüssel, eines der ältesten, das häufig für die sichere Datenübertragung verwendet wird. Die Sicherheit von RSA beruht auf der praktischen Schwierigkeit, das Produkt aus zwei großen Primzahlen zu faktorisieren
Root-Zertifizierungsstelle (Root) Die Zertifizierungsstelle an der Spitze einer PKI-Hierarchie, der alle Abonnenten und vertrauenden Parteien ausdrücklich vertrauen und deren öffentlicher Schlüssel als das vertrauenswürdigste Datum (d.h. der Beginn der Vertrauenspfade) für eine Sicherheitsdomäne dient.
Sichere Sockelschicht (SSL) Ein veraltetes Protokoll, das dem TLS-Standard vorausging. Da von einer Zertifizierungsstelle ausgestellte Endpunktzertifikate erforderlich sind, um sowohl SSL als auch TLS zu ermöglichen, werden X.509-Zertifikate oft als SSL-Zertifikate bezeichnet.
Sichere/Mehrzweck-Internet-Mail-Erweiterungen (S/MIME) ist ein Standard für die Verschlüsselung und Signierung von MIME-Daten mit öffentlichen Schlüsseln. S/MIME gehört zu den IETF-Standards und ist in einer Reihe von Dokumenten definiert, vor allem in RFC 8551
Selbstsigniertes Zertifikat Ein Zertifikat, das 1: seinen öffentlichen Schlüssel verwendet, um seine eigene Signatur zu verifizieren; 2: der Name des Betreffs ist identisch mit dem Namen des Ausstellers. Entgegen der landläufigen Meinung sind selbstsignierte Zertifikate nicht nur privaten CAs vorbehalten, sondern auch in öffentlichen CAs (d.h. deren Root) vorhanden.
Signier-Zertifikat Ein öffentliches Schlüsselzertifikat, das einen öffentlichen Schlüssel enthält, der für die Verifizierung digitaler Signaturen und nicht für die Verschlüsselung von Daten oder andere kryptografische Funktionen bestimmt ist.
Simple Certificate Enrollment Protocol (SCEP) ist ein Protokoll für digitale Zertifikate, das die Verteilung von öffentlichen Schlüsseln durch Zertifizierungsstellen (CA) und Registrierungsstellen (RA), die Registrierung von Zertifikaten, den Widerruf von Zertifikaten, die Abfrage von Zertifikaten und die Abfrage von Zertifikatswiderrufslisten (CRL) unterstützt.
Untergeordnete Zertifizierungsstelle Eine Zertifizierungsstelle, deren Zertifikatssignaturschlüssel von einer anderen Zertifizierungsstelle zertifiziert wird und deren Aktivitäten von dieser anderen Zertifizierungsstelle eingeschränkt werden.
Symmetrische Verschlüsselung Die Verwendung mathematischer Permutationen zur Verschlüsselung einer Klartextnachricht. Zum Ver- und Entschlüsseln dieser Nachrichten wird derselbe Schlüssel verwendet.
Transport Layer Security (TLS) ist ein kryptographisches Protokoll, das für die Sicherheit der Kommunikation über ein Computernetzwerk entwickelt wurde. TLS hat das SSL-Protokoll ersetzt
Vertrauenswürdiges Plattformmodul (TPM ) ist ein internationaler Standard für einen sicheren Kryptoprozessor, ein spezieller Mikrocontroller, der die Hardware durch integrierte kryptografische Schlüssel sichert. TPM Version 2.0 ist der aktuelle Standard und macht Version 1.0 überflüssig.
X.509 ist ein Standard, der das Format von Zertifikaten für öffentliche Schlüssel definiert. X.509-Zertifikate werden in vielen Internetprotokollen verwendet, darunter TLS/SSL, das die Grundlage für HTTPS, das sichere Protokoll zum Surfen im Internet, bildet. Sie werden auch in Offline-Anwendungen wie elektronischen Signaturen verwendet.

Although we were one of the first customers to choose the combined S/MIME Management and Automation Service from GlobalSign & KeyTalk and we had to overcome some initial hurdles, we got fantastic support from the KeyTalk team and the service is working perfectly now. I would absolutely recommend their S/MIME Management and Automation Service to any company that needs easy-to-use end-to-end secure email communication. — Matteo Snidero, Head of IT @ Finance in Motion