Wenn Unternehmen einen digitalen Ansatz verfolgen, steht eine wichtige Entscheidung an: die Wahl einer Public Key Infrastructure (PKI)-Lösung. PKI bildet das Rückgrat vieler Sicherheitsmechanismen und ermöglicht Authentifizierung, digitale Signaturen und verschlüsselte Kommunikation.
Bei der Wahl zwischen öffentlicher und privater PKI gibt es jedoch keine Einheitslösung, vor allem nicht bei sich weiterentwickelnden Vorschriften wie eIDAS 2.
In meinem bevorstehenden Vortrag auf den Keyfactor Tech Days werde ich näher darauf eingehen, wie sich digitales Vertrauen und TLS, S/MIME, öffentliche Code Signing-Zertifikate und Qualified Trust Services entwickeln und neue Trends erforschen, die die Cybersicherheitslandschaft umgestalten werden.
Die Rolle von öffentlichem TLS und privater PKI
Öffentliche TLS , auch bekannt als "WebPKI", sind die häufigste Form des Vertrauens, die Menschen beim Besuch einer Website erkennen. Diese Zertifikate, die von den gängigen Browsern als vertrauenswürdig eingestuft werden, authentifizieren und verschlüsseln öffentlich zugängliche Dienste und stellen sicher, dass Benutzer eine Verbindung zu legitimen Websites herstellen. Öffentliches TLS ist einfach zu implementieren, allgemein akzeptiert und für den täglichen Gebrauch ausreichend.
Aufgrund des Fehlens anderer öffentlicher Vertrauensrahmen und des Mangels an öffentlichen PKI-Hierarchien für spezielle Anwendungsfälle wurde die WebPKI in der Vergangenheit nicht nur von gängigen Browsern genutzt. Hersteller von Betriebssystemen und andere Anbieter von software bieten software an, die WebPKI-Root-CAs als Vertrauensanker für ihre TLS (und Client-) Authentifizierungsanwendungen nutzen. SMTP, IMAP, LDAP, FTP und viele andere Protokolle/Anwendungsfälle waren in der Lage, TLSdurch die Verwendung öffentlicher TLS zu "aktivieren". Wie sieht die Zukunft für diese "Nicht-Browser"-Anwendungsfälle aus?
Eine private PKI wird dagegen häufig von Unternehmen mit individuelleren Sicherheitsanforderungen gewählt. Eine private Zertifizierungsstelle (CA) bietet die volle Kontrolle über Sicherheitsrichtlinien, kryptografische Schlüssel und die Einhaltung von Vorschriften. Für Unternehmen, die sensible Daten verwalten, bietet eine private PKI Autonomie und Flexibilität, die öffentliche Lösungen nicht bieten können.
eIDAS (Electronic Identification, Authentication and Trust Services) ist ein Rahmenwerk der Europäischen Union, das Normen für digitale Signaturen und elektronische Transaktionen festlegt. Der eigentliche Durchbruch von eIDAS ist das rechtliche Gewicht, das es bietet - digitale Signaturen sind nicht mehr nur sicher, sondern auch rechtsverbindlich. Mit eIDAS 2 wird dieser Rahmen weiterentwickelt, um strengere Anforderungen an die Einhaltung der Vorschriften, aber auch neue Vertrauensdienste und digitale Identitätsbrieftaschen zu schaffen, die die digitale Interaktion von Bürgern/Rechtssubjekten mit anderen Bürgern/Rechtssubjekten und staatlichen Diensten revolutionieren werden.
Öffentliche vs. private PKI: Die Gegensätze
Öffentliches TLS genießt weithin Vertrauen und ist einfach zu implementieren, aber es mangelt ihm an Flexibilität. Sie sind abhängig von einer Drittanbieter-Zertifizierungsstelle, von strengen Regeln, die vom CA/Browser-Forum vorgegeben werden, und von Browser-Root-Store-Richtlinien, die möglicherweise nicht mit Ihren internen Sicherheitsrichtlinien übereinstimmen. Diese mangelnde Kontrolle ist zwar praktisch, kann aber auch einschränkend und in einigen Fällen störend sein, wenn Sie nicht darauf vorbereitet sind (z. B. während eines Massenwiderrufs/Ersatzes von Zertifikaten, bei dem Zertifikate innerhalb von 24 Stunden von Ihrer Drittanbieter-CA widerrufen werden müssen).
Die private PKI bietet dagegen mehr Flexibilität und Kontrolle. Allerdings ist sie mit zusätzlicher Komplexität verbunden.
Die Verwaltung einer privaten Zertifizierungsstelle erfordert Infrastruktur, Fachwissen, sorgfältig ausgearbeitete Richtlinien und laufende Wartung - es ist keine Lösung, die man einfach einrichten kann. Die Frage ist, ob Sie Komfort und breites Vertrauen (öffentliches TLS) oder Kontrolle und Anpassung (private PKI) bevorzugen. Immer mehr öffentliche Zertifizierungsstellen bieten Managed Services/Private PKI-Lösungen an, die ein gutes Gleichgewicht zwischen Flexibilität/Kontrolle und Sicherheit zu bieten scheinen (öffentliche Zertifizierungsstellen verfügen bereits über die Kompetenz, das Know-how, die Infrastruktur und die grundlegenden Sicherheitsrichtlinien).
Was ist in den kommenden Jahren, insbesondere wenn die WebPKI strengere Richtlinien einführt (z. B. 100 oder 47 Tage maximale Zertifikatsgültigkeit), die von den Website-Betreibern verlangen, dass sie eine Automatisierung des Zertifikats-Lebenszyklus-Managements implementieren, der beste Weg für Public PKI "Nicht-Browser"- und "nicht über das öffentliche Internet zugängliche" Anwendungsfälle? Für diejenigen, die die Verwaltung des Lebenszyklus von Zertifikaten nicht rechtzeitig automatisieren können, könnte der Wechsel zu einer privaten PKI die beste Lösung sein.
Blick in die Zukunft: Die Auswirkungen von eIDAS, öffentlichen und privaten PKI auf das digitale Vertrauen
Die Zukunft des digitalen Vertrauens erfordert fundierte, vorausschauende Entscheidungen. Die Keyfactor Tech Days sind eine gute Gelegenheit, zusammenzukommen und zu lernen, wie man der Cybersecurity-Kurve voraus ist. In meiner Sitzung werde ich untersuchen, wie eIDAS, öffentliche und private PKI die digitale Vertrauenslandschaft verändern.
Da eIDAS bereits ein erfolgreich etablierter und getesteter Vertrauensrahmen für grenzüberschreitende Transaktionen ist, übernehmen auch Nicht-EU-Länder den gleichen oder einen sehr ähnlichen Rahmen in ihre nationalen Rechtsvorschriften, was die Konvergenz und die rechtliche Akzeptanz digitaler Signaturen auf globaler Ebene beschleunigt.
Daher hoffe ich, dass Sie mich auf den Keyfactor Tech Days in Miami Beach begleiten werden, wo wir die Auswirkungen dieser Trends auf unsere digitale Zukunft näher beleuchten werden.
Keyfactor Tech Days - Sichern Sie sich hier Ihr Ticket! Begleiten Sie uns auf eine unvergessliche Reise in eine Zukunft des sicheren, skalierbaren und automatisierten digitalen Vertrauens.
