Public-Key-Infrastruktur. Aufbau einer vertrauenswürdigen und sicheren Geschäftsumgebung durch Authentifizierung von Benutzern, Netzwerken, Anwendungen und Geräten.
Eine Public-Key-Infrastruktur (PKI) ist für die Einrichtung eines vertrauenswürdigen und sicheren Geschäftsumfelds von entscheidender Bedeutung, da sie in der Lage ist, Daten zu überprüfen und zwischen mehreren Entitäten auszutauschen, bei denen es sich um Benutzer, Netzwerke, Anwendungen oder Geräte handeln kann. Der Zweck einer PKI besteht darin, eine vertrauenswürdige Umgebung für die verbundenen Entitäten zu erstellen. PKI funktioniert durch den Einsatz von zwei Technologien: digitale Zertifikate und kryptografische Schlüssel.
Durch die Verwendung des privaten Schlüssels der Zertifizierungsstelle (CA) der PKI können digitale Zertifikate ausgestellt, erneuert und widerrufen werden, um die vertrauenswürdige Authentifizierung und Verwaltung aller Entitäten innerhalb der vertrauenswürdigen Umgebung sicherzustellen. Diese digitalen Zertifikate sind die Grundlage für die sichere Verbindung und Kommunikation der Entitäten innerhalb der vertrauenswürdigen Umgebung.
Durch die Ausstellung eines digitalen Zertifikats stellt die PKI die Verbindung zwischen dem kryptografischen Schlüsselpaar der einzelnen Entität und der Entität selbst her, indem sie sie kryptografisch bindet. Die wichtigste Aufgabe der PKI besteht darin, eine Vertrauenskette zu schaffen: In jeder vernetzten Umgebung kann jede Einheit der Umgebung einander implizit vertrauen, indem sie der Root-CA der PKI ausdrücklich vertraut. Diese Vertrauenskette ermöglicht sichere Verbindungen, Kommunikation und Datenaustausch innerhalb der vertrauenswürdigen PKI-Umgebung.
Eine PKI basiert auf einer Reihe von Komponenten und Verfahren zur Verwaltung öffentlicher und privater Schlüsselpaare:
- Eine für die Ausstellung und den Widerruf digitaler Zertifikate zuständige Zertifizierungsstelle (CA)
- Ein digitales Zertifikat, das von einer Zertifizierungsstelle signiert ist und den Inhaber eines öffentlichen Schlüssels innerhalb einer PKI ausweist. Bevor die Zertifizierungsstelle ein Zertifikat ausstellen kann, muss die Registrierungsbehörde die Anfrage autorisieren
- Eine Registrierungsbehörde (Registration Authority, RA), die die Identität einer End-Entität überprüft. Dies ist ein wichtiger Teil des Prozesses und umfasst einen Mechanismus zur Registrierung von End-Entitäten in der PKI
- Eine Validierungsbehörde (VA) ermöglicht es einer Entität, zu überprüfen, ob ein Zertifikat nicht widerrufen wurde
- Ein zentrales Verzeichnis zum Speichern und Indizieren von Zertifikaten
- Ein Zertifikatsverwaltungssystem, das beispielsweise den Zugriff auf gespeicherte Zertifikate oder die Ausstellung von Zertifikaten verwaltet.
HSMs as the Root of Trust for PKI
A Hardware Security Module (HSM) is a tamper-resistant hardware device designed for secure cryptographic key generation, management, and storage. In a PKI, the HSM serves as the root of trust, generating the cryptographic key pairs—consisting of a private and public key—needed for digital certificate creation. The private key never leaves the device’s secure boundary, this is crucial, as the security of the entire PKI relies on protecting the private key from exposure or compromise.
Solutions Offered by Utimaco
Utimaco’s General Purpose HSMs provide a secure, scalable foundation for PKI with plug-and-play integration for leading PKI providers. Key Benefits:
- Certified Security – FIPS 140-2 Level 3 certified, with options for eIDAS and classified environments.
- High Performance – From entry-level to high-speed models, supporting up to 40,000 RSA 2K operations / s
- PQC-ready – u.trust General Purpose HSM Se-Series is designed crypto-agile and can be extended with PQC algorithms for a quantum-resistant PKI
