Public Key Infrastructure (PKI) ist eine Governance-Ebene, die Unternehmen dabei hilft, die Sperren und Schlüssel für ihre Unternehmensdaten und -ressourcen zu verwalten. Dazu gehören die Ausstellung und der Widerruf von Zertifikaten, die Verschlüsselung und die Authentifizierung.
Ein häufig missverstandener Aspekt der PKI ist die asymmetrische Kryptografie. Dabei handelt es sich um eine Verschlüsselungsmethode, bei der öffentliche und private Schlüssel verwendet werden, um den autorisierten Zugriff auf eine Ressource zu validieren. In diesem Artikel werden wir uns mit folgenden Themen befassen die Unterschiede zwischen öffentlichen und privaten Schlüsseln unterscheiden, wie sie zusammenwirken und welche Best Practices es für PKI gibt.
Diese Verschlüsselungstechnik verbessert digitales Vertrauen, schreckt Verstöße ab und trägt zu einer besseren allgemeinen Sicherheitslage bei.
Unterschiede zwischen öffentlichen und privaten Schlüsseln
Bei der asymmetrischen Kryptografie werden Daten mithilfe von gepaarten öffentlichen und privaten Schlüsseln verschlüsselt. Die Schlüssel arbeiten zusammen, um Daten sicher zu verschlüsseln und zu entschlüsseln.
Öffentlicher Schlüssel
Öffentliche Schlüssel enthalten keine geheimen Details oder wichtigen Informationen. Sie:
- Werden offen geteilt: Sie können ohne Beeinträchtigung der Sicherheit breit verteilt werden.
- Verschlüsseln und verifizieren: Sie können zum Verschlüsseln von Daten oder zum Verifizieren einer digitalen Signatur verwendet werden.
Beispielsweise enthältTLS eines Servers dessen öffentlichen Schlüssel, mit dem Daten verschlüsselt werden können, die nur mit dem richtigen privaten Schlüssel entschlüsselt werden können. Wenn man die Verwendung von öffentlichen und privaten Schlüsseln vergleicht, funktionieren öffentliche Schlüssel in etwa wie Schlösser. Man kann sie sich auch als E-Mail-Adressen mit spezifischen Anweisungen zum Zurücksenden einer Nachricht (Verschlüsselung) vorstellen.
Privater Schlüssel
Private Schlüssel sollten niemals öffentlich sein, da ihre Funktion darin besteht, Daten zu entschlüsseln, die durch den entsprechenden öffentlichen Schlüssel „gesperrt” wurden. Sie müssen geheim bleiben und in Ihrem Unternehmen streng kontrolliert werden. Private Schlüssel:
- Entschlüsseln: Sie können zum Entschlüsseln von Daten verwendet werden, die mit dem entsprechenden öffentlichen Schlüssel verschlüsselt wurden.
- Zeichen: Mit privaten Schlüsseln können digitale Signaturen erstellt werden, die die Herkunft der Daten oder Anwendungen bestätigen.
Wenn der private Schlüssel kompromittiert wird, können Angreifer sich als Systeme ausgeben, sensible Daten entschlüsseln oder schädliche software signieren. Betrachtet man die Verwendung von öffentlichen und privaten Schlüsseln, so funktionieren private Schlüssel einfach wie Schlüssel.
Wie sie zusammenarbeiten
Öffentliche und private Schlüssel arbeiten zusammen, um Daten in Ihrem gesamten Unternehmen zu verschlüsseln und zu authentifizieren. Beispiel:
- Verschlüsselung: Ein Client verschlüsselt einen Sitzungsschlüssel mit dem öffentlichen Schlüssel des Servers, und nur der private Schlüssel des Servers kann ihn entschlüsseln.
- Entschlüsselung: Eine mit einem privaten Schlüssel erstellte digitale Signatur wird von anderen mithilfe des öffentlichen Schlüssels validiert.
Diese Dynamik zwischen öffentlichem und privatem Schlüssel ermöglicht es, sowohl Identität als auch Vertraulichkeit in großem Maßstab nachzuweisen. Ein einfacher Anwendungsfall könnte sein:
- Ein Client versucht, Zugriff auf Ressourcen auf einem Server zu erhalten.
- Der Client verwendet seinen privaten Schlüssel, um eine digitale Signatur zu erstellen, und verschlüsselt dann die Anfrage mit dem öffentlichen Schlüssel des Servers.
- Der Kunde reicht die Anfrage ein.
- Der Server empfängt die Anfrage und entschlüsselt sie mit seinem privaten Schlüssel. Anschließend authentifiziert er den Client mit dessen öffentlichem Schlüssel , wer die Anfrage gesendet hat.
Automatisierte Schlüsselverwaltung ist unerlässlich
Schlüssel und Zertifikate schützen alles, was zur Architektur Ihres Unternehmens gehören könnte, von Websites und VPNs bis hin zu IoT und Cloud-Workloads. Daher ist die Schlüsselverwaltung in Ihrem gesamten Unternehmen von entscheidender Bedeutung. Ein verlegter Schlüssel oder ein abgelaufenes Zertifikat kann weitreichende Folgen haben, von denen einige erst Jahre später sichtbar werden.
Eine unsachgemäße Verwaltung von Schlüsseln kann jedoch zu Ausfällen, fehlgeschlagenen Audits und Sicherheitsverletzungen führen.
- Ausfälle: Abgelaufene Zertifikate stören Dienste und führen zu Ausfallzeiten für Mitarbeiter und Kunden.
- Audit-Fehler: Lücken in der Schlüsselverwaltung können zu Strafen wegen Nichteinhaltung von Vorschriften führen.
- Sicherheitsvorfälle: Gestohlene oder missbräuchlich verwendete private Schlüssel ermöglichen Identitätsdiebstahl und Datenverletzungen.
Die größte Herausforderung beim Schlüsselmanagement ist ganz einfach die Größe. Es kann Millionen von Zertifikaten geben, was eine manuelle Überwachung unmöglich macht. Die Dynamik zwischen öffentlichen und privaten Schlüsseln hilft Ihrem Unternehmen, Daten zu schützen und zu validieren, aber nur, wenn die Schlüssel ordnungsgemäß verwaltet werden. Sie sollten niemals in Klartextdateien gespeichert werden. Vorzugsweise sollten Sie über hardware (HSMs) oder Tresore für Schlüssel verfügen.
Die Rolle der PKI bei der Verwaltung von Schlüsseln
PKI bietet einen Rahmen, um öffentliche und private Schlüssel über digitale Zertifikate mit vertrauenswürdigen Identitäten zu verknüpfen. Zu seinen Kernfunktionen gehören:
- Zertifizierungsstellen (CAs): Stellen Zertifikate aus und bestätigen die Authentizität von Unternehmen.
- Zertifikatssperrlisten (CRLs) und OCSP: Unterstützen Sie die Ungültigkeitserklärung kompromittierter Schlüssel.
Ohne PKI würde es an Vertrauen in die Dynamik zwischen öffentlichen und privaten Schlüsseln mangeln, da jeder ohne Überprüfung eine Identität beanspruchen könnte. Unternehmen verlassen sich auf PKI für:
- Webserver undTLS
- Authentifizierung von Benutzern und Geräten
- Sicherung von DevOps-Pipelines und Cloud-Workloads
- Schutz von IoT
Auswirkungen von schwerwiegendem Missmanagement und bewährten Verfahren auf das Geschäft
Wenn die PKI Ihres Unternehmens nicht über solide Prozesse und Schutzmaßnahmen verfügt, könnte Ihr Unternehmen mit Risiken durch unsachgemäße Schlüsselverwaltung wie Ausfälle, Zwischenfälle oder Compliance-Probleme konfrontiert sein.
Serviceausfälle + Lebenszyklusautomatisierung
Abgelaufene oder falsch konfigurierte Zertifikate können zu Ausfällen und Arbeitsausfällen bei Mitarbeitern führen. Jede Minute ungeplanter Ausfallzeit gefährdet Ihr Unternehmen Geld und Produktivität.
Bewährte Verfahren: Implementierung Automatisierung des Zertifikatslebenszyklus, automatische Erneuerung und Bereitstellung von Zertifikaten vor Ablauf
Verstöße gegen Compliance-Vorschriften + Durchsetzung von Richtlinien
Fehlgeschlagene Audits aufgrund nicht verwalteter oder missbräuchlich verwendeter Schlüssel können zu Geldstrafen, Strafen und/oder Rufschädigung führen. Vorschriften wie PCI DSS verlangen, dass Sie Kontrolle über die Zertifikate in Ihrem Unternehmen nachzuweisen, was schwierig ist, wenn Ihre Richtlinien und Fähigkeiten zur Schlüsselverwaltung unzureichend sind.
Bewährte Verfahren: Durchsetzung PKI-Richtlinien und führen Sie überprüfbare Protokolle über alle Ereignisse im Lebenszyklus eines Schlüssels. So stellen Sie sicher, dass Sie die erforderlichen Informationen zur Verfügung haben, wenn eine Aufsichtsbehörde diese für eine Prüfung benötigt.
Sicherheitsvorfälle (Diebstahl/Missbrauch von Schlüsseln) + Schutz privater Schlüssel
Verlorene oder gestohlene private Schlüssel ermöglichen es Angreifern, sich als vertrauenswürdige Systeme auszugeben oder bösartigen Code zu signieren. In Microsofts Azure Key Incident im Jahr 2021 (offengelegt im Juni 2023) wurde ein Schlüssel versehentlich in einen Absturzspeicher aufgenommen, von Angreifern gefunden und dazu verwendet, die Authentifizierungssysteme von Microsoft zu umgehen, um sich unbefugten Zugriff auf Microsoft 365-Dienste zu verschaffen.
Bewährte Verfahren: Speichern Sie private Schlüssel in HSMs oder Tresoren, setzen Sie rollenbasierte Zugriffskontrollen durch und verlangen Sie nach Möglichkeit die Schlüsselgenerierung auf dem Gerät.
Betriebliche Belastung + zentralisierte Transparenz und Bestandsverwaltung
Teams verbringen Stunden damit, Zertifikate mit Tabellenkalkulationen oder isolierten Tools zu verfolgen. Die meisten Unternehmen wissen nicht, wie viele Zertifikate sie besitzen oder in welcher Phase des Lebenszyklus sich diese Zertifikate befinden.
Bewährte Vorgehensweise: Implementieren Sie kontinuierliche Erkennung und zentralisierte Bestandsaufnahme in allen Umgebungen (Cloud, lokal, DevOps), um blinde Flecken zu beseitigen.
Reputationsschaden + Krypto-Agilität
Ausfälle, Sicherheitsverletzungen und schwache Kryptografie untergraben das Vertrauen der Kunden und den Markenwert und wirken sich negativ auf den Ruf Ihres Unternehmens aus. Wenn Ihre Kunden nicht darauf vertrauen können, dass ihre persönlichen Daten in den Händen Ihres Unternehmens sicher sind (oder schlimmer noch, wenn sie aufgrund einer Sicherheitsverletzung Opfer von Betrug werden), ist es viel weniger wahrscheinlich, dass sie Ihnen als Kunden treu bleiben.
Bewährte Vorgehensweise: Aufbau von Krypto-Agilität in die PKI- und Schlüsselverwaltungsprozesse Ihres Unternehmens ein. Das bedeutet, dass Sie starke/zugelassene Algorithmen standardisieren, eine schnelle Neuausstellung in großem Maßstab planen und sich auf eine Phase des Wandels vorbereiten müssen.
Wie man sich auf die Zukunft der Kryptografie vorbereitet
Die Kryptografie entwickelt sich rasant weiter, und Unternehmen müssen sich darauf vorbereiten, Bedrohungen immer einen Schritt voraus zu sein. Die Technologien entwickeln sich schnell weiter, neue Vorschriften treten in Kraft, und in den nächsten Jahren werden voraussichtlich einige Anforderungen hinzukommen, darunter:
- Kürzere Gültigkeitsdauer von Zertifikaten: TLS laufen derzeit nach 398 Tagen ab. Innerhalb des nächsten Jahrzehnts wird die Ablaufzeit auf 47 Tage verkürzt. Das bedeutet, dass Ihr Unternehmen in der Lage sein muss, Zertifikate viel häufiger zu erneuern, da ihre Gültigkeitsdauer um fast 90 % sinkt.
- Post-Quanten-Kryptografie (PQC): Quantencomputer werden eines Tages die heutigen Algorithmen für öffentliche und private Schlüssel untergraben. Sie werden in der Lage sein, aktuelle Verschlüsselungsstandards mit Brute-Force-Angriffen zu knacken. Ihr Unternehmen muss daher PKI- und Schlüsselverwaltungsprozesse kontinuierlich verbessern, um sich gegen Angriffe mit Quantentechnologien zu schützen.
- Integration mit DevOps/Cloud: PKI muss mit moderner Infrastruktur – APIs, Containern und CI/CD-Pipelines – kompatibel sein. Die Integration mit KI-Tools muss ebenfalls sorgfältig umgesetzt und mit starken Zertifikaten gesichert werden.
- Strategische Priorität: Unternehmen, die auf Automatisierung und Agilität setzen, minimieren Risiken und ermöglichen Innovationen. Sofern Ihr Unternehmen nicht einem extrem hohen Risiko für Datenverstöße und andere Sicherheitsvorfälle ausgesetzt ist (z. B. Behörden, Gesundheitswesen und Zahlungsdienstleister), sind kleine, kontinuierliche Verbesserungen für Sicherheitsteams leichter zu bewältigen und sorgen langfristig für die Sicherheit Ihres Unternehmens.
Vermeiden Sie Ausfälle, reduzieren Sie das Audit-Risiko und verschaffen Sie Ihrem Team wertvolle Zeit durch die automatisierte Verwaltung des gesamten Zertifikatslebenszyklus. Von der Ermittlung über die Erneuerung bis hin zur Post-Quanten-Sicherheit – Keyfactor Command PKI skalierbar, transparent und zuverlässig – überall dort, wo Ihr Unternehmen tätig ist.
