Public-Key-Infrastruktur

Eine Public-Key-Infrastruktur (PKI) bündelt die Prozesse, Rollen, Richtlinien und technischen Komponenten, mit denen digitale Zertifikate über ihren gesamten Lebenszyklus verwaltet werden. Kern ist die asymmetrische Kryptografie: Jedem Schlüsselpaar wird ein öffentlicher und ein privater Schlüssel zugeordnet, wobei eine vertrauenswürdige Zertifizierungsstelle (Certification Authority, CA) den öffentlichen Schlüssel über ein signiertes X.509-Zertifikat verbindlich einer Identität zuordnet. Eine PKI ermöglicht damit Authentizität, Integrität, Vertraulichkeit und Nichtabstreitbarkeit für Kommunikation, Signaturen und Verschlüsselung.

Das Vertrauensmodell beruht auf hierarchischen Vertrauensketten: Eine Root-CA bildet den Vertrauensanker und signiert nachgeordnete Zwischenzertifizierungsstellen (Sub-CAs), die wiederum die Endteilnehmerzertifikate ausstellen. Zentrale Bestandteile sind die Registrierungsstelle (Registration Authority, RA) zur Identitätsprüfung, ein Verzeichnisdienst zur Bereitstellung von Zertifikaten sowie Mechanismen zum Rückruf wie Sperrlisten (Certificate Revocation List, CRL) und das Online Certificate Status Protocol (OCSP). Verbindlich geregelt werden die Abläufe in einer Certificate Policy (CP) und einem Certification Practice Statement (CPS).

Im Kontext der Informationssicherheit ist eine PKI ein zentrales Werkzeug zur Umsetzung von Schutzzielen und Zugriffskontrolle. Sie ist Grundlage für TLS-gesicherte Verbindungen, qualifizierte elektronische Signaturen nach der eIDAS-Verordnung, S/MIME-E-Mail-Verschlüsselung sowie zertifikatsbasierte Authentisierung in Zero-Trust-Architekturen. Der BSI IT-Grundschutz und die ISO/IEC 27001 fordern ein geregeltes Schlüsselmanagement; eine PKI operationalisiert diese Anforderung. Kritisch ist der Schutz der privaten Schlüssel, der oft über Hardware-Sicherheitsmodule (HSM) erfolgt, sowie ein durchgängiges Lebenszyklusmanagement von Ausstellung bis Sperrung.