Die Public-Key-Infrastruktur, allgemein als PKI abgekürzt, ist ein System, das es Benutzern in einem von Natur aus unsicheren öffentlichen Netzwerk wie dem Internet ermöglicht, Daten und Geld sicher und privat auszutauschen. Dies wird durch die Verwendung eines kryptografischen Schlüsselpaares ermöglicht: eines öffentlichen Schlüssels und eines privaten Schlüssels, die über eine vertrauenswürdige Instanz bezogen und geteilt werden.

Komponenten der PKI

1. Kryptografische Schlüssel:
   • Öffentlicher Schlüssel: Kann frei verteilt werden und dient dazu, Daten zu verschlüsseln oder digitale Signaturen zu verifizieren.
   • Privater Schlüssel: Muss vom Eigentümer geheim gehalten werden und dient dazu, Daten zu entschlüsseln, die mit dem öffentlichen Schlüssel verschlüsselt wurden, oder um digitale Signaturen zu erstellen.
2. Digitale Zertifikate:
   • Ein digitales Zertifikat ist ein elektronisches Dokument, das einen öffentlichen Schlüssel mit einer Entität, wie einer Person oder einer Organisation, über die digitale Signatur einer Zertifizierungsstelle (CA) verknüpft.
   • Zertifikate enthalten Informationen über die identifizierte Entität, den öffentlichen Schlüssel der Entität, die digitale Signatur der Zertifizierungsstelle und die zeitliche Gültigkeit des Zertifikats.
3. Zertifizierungsstelle (CA – Certificate Authority):
   • CAs sind vertrauenswürdige Instanzen, die digitale Zertifikate ausstellen, erneuern und widerrufen. Ihre Hauptaufgabe besteht darin, sicherzustellen, dass der im Zertifikat enthaltene öffentliche Schlüssel tatsächlich der identifizierten Entität gehört.
4. Registrierungsstelle (RA – Registration Authority):
   • RAs sind dafür verantwortlich, die Identität der Entitäten zu überprüfen, die ein Zertifikat beantragen, bevor die CA es ausstellen kann.
5. Zertifikatsverzeichnis:
   • Verzeichnisse sind öffentliche Archive, in denen digitale Zertifikate gespeichert und abgerufen werden können. Diese Archive erleichtern die Verteilung öffentlicher Schlüssel und die Überprüfung von Zertifikaten.
6. Zertifikatswiderrufsliste (CRL – Certificate Revocation List):
   • Die CRL ist eine von der CA geführte Liste, die Zertifikate enthält, die vor ihrem Ablaufdatum widerrufen wurden. Dies ermöglicht es Benutzern zu erkennen, welche Zertifikate nicht mehr gültig sind.

Funktionsweise der PKI

1. Ausstellung des Zertifikats:
   • Eine Einzelperson oder eine Organisation beantragt ein digitales Zertifikat bei einer CA. Der Antrag wird von einer RA geprüft, die die Identität des Antragstellers authentifiziert.
   • Sobald die Identität überprüft wurde, stellt die CA ein digitales Zertifikat aus, das den öffentlichen Schlüssel des Antragstellers und andere relevante Informationen enthält.
2. Verteilung des Zertifikats:
   • Das digitale Zertifikat wird an den Antragsteller verteilt, der es nun für die sichere Kommunikation verwenden kann.
   • Der öffentliche Schlüssel kann frei verteilt werden, während der private Schlüssel geheim gehalten werden muss.
3. Überprüfung des Zertifikats:
   • Beim Erhalt eines digitalen Zertifikats kann dessen Echtheit durch Überprüfung der digitalen Signatur der Zertifizierungsstelle verifiziert werden.
   • Wenn das Zertifikat gültig ist, kann der öffentliche Schlüssel verwendet werden, um Daten für den Zertifikatsinhaber zu verschlüsseln oder um digitale Signaturen zu verifizieren, die vom Inhaber erstellt wurden.
4. Widerruf des Zertifikats:
   • Wenn ein Zertifikat widerrufen werden muss (z. B. weil der private Schlüssel kompromittiert wurde), fügt die CA es der Zertifikatswiderrufsliste (CRL) hinzu.
   • Benutzer können die CRL einsehen, um sicherzustellen, dass das Zertifikat nicht vor der Verwendung widerrufen wurde.

Die Public-Key-Infrastruktur ist grundlegend für die Sicherheit der Kommunikation in unsicheren Netzwerken wie dem Internet und bietet einen robusten Mechanismus für Authentifizierung, Vertraulichkeit und Datenintegrität.