Was ist „Prompt Signing“? Ein Leitfaden zur Sicherung von Anweisungen für KI-Agenten  

KI-Agenten reagieren nicht mehr nur passiv auf Fragen im Dialog. Sie führen eigenständig Aktionen aus: Sie lesen Datenbanken aus, rufen APIs auf, nehmen Änderungen an der Infrastruktur vor, führen Geldtransfers durch und treffen Entscheidungen, die konkrete operative Konsequenzen haben. Wenn ein Agent eine Anweisung ausführt, hat diese Anweisung dasselbe Gewicht wie eine Zeile ausführbaren Codes. Dennoch akzeptieren die meisten agentenbasierten KI-Systeme heute Anweisungen, ohne über einen Mechanismus zu verfügen, mit dem überprüft werden kann, wer sie verfasst hat, ob sie während der Übertragung verändert wurden oder ob sie noch aktuell sind. 

Genau diese Vertrauenslücke ist die Art von Schwachstelle, diedurch Prompt-Injection-Angriffeausgenutzt wird. Prompt Signing behebt das Problem an der Wurzel, indem jede Anweisung an eine überprüfbare Identität gebunden wird und jede Manipulation mathematisch nachweisbar gemacht wird. 

Warum Prompts für KI-Agenten dasselbe Vertrauen erfordern wie ausführbarer Code 

Bei herkömmlicher software lässt sich jede Binärdatei oder jedes Skript, das ein Betriebssystem ausführt, über eine digitale Signatur zu einem Herausgeber zurückverfolgen. Wenn Windows einen Dialog zur Benutzerkontensteuerung anzeigt, in dem gefragt wird: „Möchten Sie dieser App erlauben, Änderungen an Ihrem Gerät vorzunehmen?“, basiert diese Frage auf einer kryptografischen Feststellung: Ein bekannter Herausgeber hat diesen Code signiert, die Signatur ist gültig und das Zertifikat ist mit einer vertrauenswürdigen Stammzertifizierungsstelle verknüpft. Fehlt die Signatur oder ist sie beschädigt, warnt das Betriebssystem den Benutzer. Ist sie gültig, hat der Benutzer eine Grundlage, um eine Vertrauensentscheidung zu treffen. 

Im Zusammenhang mit KI ist eine Eingabeaufforderung im Grunde ein nicht-deterministisches Programm, das in natürlicher Sprache verfasst ist. Sie teilt einer KI (sei es einem Chatbot, einem Agenten usw.) mit, was zu tun ist, welche Einschränkungen zu beachten sind und wie mit Grenzfällen umzugehen ist. Im Gegensatz zu kompiliertem Code hat eine Eingabeaufforderung keinen festen Ausführungsablauf. Sein Verhalten hängt vom Modell, dem Kontext und den Eingaben ab, die es erhält. Die Sicherheitsbedenken sind jedoch dieselben: Wer hat diese Anweisung autorisiert? Wurde sie seit der Autorisierung verändert? Kann ich ihre Herkunft überprüfen, ohne den Autor zu kontaktieren? 

Ohne Antworten auf diese Fragen ist jede Anweisung, die ein Agent erhält, eine unsignierte Binärdatei. Der Agent hat keine Möglichkeit, eine legitime Anweisung von einer zu unterscheiden, die von einem Angreifer eingeschleust, aus einer früheren Sitzung wiederholt oder während der Übertragung zwischen Diensten verändert wurde. Wenn man versteht,wie Prompt-Injection-Angriffe diese Vertrauenslücke ausnutzen, wird klar, warum heuristische Abwehrmaßnahmen allein nicht ausreichen. Die Prompt-Injection manipuliert die Befehlsebene selbst, und keine noch so umfangreiche Eingabefilterung kann einen kryptografischen Herkunftsnachweis ersetzen. 

Der Paradigmenwechsel ist klar: Wenn eine Anweisung dazu führen kann, dass ein Akteur eine folgenreiche Handlung vornimmt, muss diese Anweisung vor der Ausführung von einer autorisierten Stelle unterzeichnet und überprüft werden. 

So funktioniert die sofortige Unterzeichnung 

Die sofortige Signierung erfolgt in einem zweistufigen Arbeitsablauf: einer Signierphase, in der eine Anweisung an eine Identität gebunden wird, und einer Verifizierungsphase, in der diese Bindung vor der Ausführung überprüft wird. 

Der Unterzeichnungsprozess 

1. Eine autorisierte Partei erstellt eine Eingabeaufforderung.
   Dabei kann es sich um eine Systemaufforderung, eine Anleitung zur Verwendung eines Tools, einen Arbeitsschritt oder command beliebigen strukturierten command handeln, command für einen KI-Agenten command . 

2. Die Richtlinie wird mithilfe eines Signaturdienstes für Unternehmen signiert.
   Eine zentralisierte Plattform berechnet eine kryptografische Signatur für den Inhalt der Richtlinie unter Verwendung des privaten Schlüssels des Unterzeichners, der in einem hardware (HSM) gespeichert ist und niemals offengelegt wird. 

3. Die Zertifikatskette wird extrahiert und zusammen mit der Direktive gebündelt.
   Das Signaturzertifikat sowie alle Zwischenzertifikate, die für die Verknüpfung mit der Stamm-Zertifizierungsstelle des Unternehmens erforderlich sind, werden zusammen mit der Direktive und der Signatur gebündelt. 

4. Drei Elemente werden gemeinsam übermittelt.
   Die Prompt-Anweisung (im Klartext), die kryptografische Signatur und die Zertifikatskette werden als Einheit an das System oder den Agenten übermittelt, der sie verarbeiten muss. 

Dieser Prozess entspricht funktional der Art und Weise, wie Unternehmen heute ausführbare Dateien, Firmware-Images oder Container-Images signieren. Das Format der Anweisungen ist zwar anders, der kryptografische Ablauf jedoch nicht. 

Der Verifizierungsprozess 

5. Die Signatur wird anhand des Zertifikats überprüft.
   Das empfangende System verwendet den öffentlichen Schlüssel im Signaturzertifikat, um zu bestätigen, dass die Signatur mit dem Inhalt der Direktive übereinstimmt. Jede Änderung an der Direktive, selbst wenn es sich nur um ein einziges Zeichen handelt, führt dazu, dass die Überprüfung fehlschlägt. 

6. Die Zertifikatskette wird anhand einer vertrauenswürdigen Unternehmens-Stammzertifizierungsstelle validiert.
   Das System stellt sicher, dass das Signaturzertifikat von einer Zertifizierungsstelle ausgestellt wurde, die von der Organisation kontrolliert wird und der sie vertraut, und nicht von einem beliebigen Dritten. 

7. Die Aktualität des Zeitstempels wird überprüft.
   Ein in die Signatur eingebetteter vertrauenswürdiger Zeitstempel wird mit einem konfigurierten Aktualitätsfenster abgeglichen. Veraltete Anweisungen werden abgelehnt, um Replay-Angriffe zu verhindern. 

8. Nur verifizierte Anweisungen werden an den KI-Agenten weitergeleitet.
   Wenn ein Schritt fehlschlägt (ungültige Signatur, nicht vertrauenswürdiges Zertifikat, abgelaufener Zeitstempel), wird die Anweisung blockiert und der Fehler protokolliert. 

Dieser Verifizierungsablauf kann vollständig offline durchgeführt werden. Er erfordert lediglich den öffentlichen Schlüssel und das vertrauenswürdige Stammzertifikat, ohne dass ein Rückruf an den Signaturdienst erforderlich ist. Diese Eigenschaft der nicht-interaktiven Verifizierung, die auch als entkoppelte Verifizierung bezeichnet wird, ist von entscheidender Bedeutung für Umgebungen, in denen Agenten in Air-Gapped-Netzwerken, Edge-Bereitstellungen oder latenzempfindlichen Pipelines eingesetzt werden. 

Um einen umfassenderen Überblick darüber zu erhalten, wie Signaturen in eine Verteidigungsstrategie zurAbwehr von Prompt-Injection-Angriffen bei agentenbasierter KI eingebunden sind, bildet die Prompt-Signatur die kryptografische Grundlage, auf der andere Kontrollmechanismen aufbauen. 

Sicherheitseigenschaften der sofortigen Signatur 

Die sofortige Signatur bietet fünf spezifische Sicherheitseigenschaften, die den zentralen Vertrauensanforderungen agentischer KI-Systeme gerecht werden. 

Unwiderrufliche Authentizität 

Eine gültige Signatur ist ein mathematischer Nachweis dafür, dass eine bestimmte Identität die Anweisung autorisiert hat. Dies geht über Zugriffskontrolllisten oder Whitelisting-Ansätze hinaus. Diese bestätigen zwar, dass eine Anweisung auf einer genehmigten Liste steht, sagen jedoch nichts darüber aus, ob die aufgeführte Anweisung von einer autorisierten Partei dort platziert wurde. Durch die Signatur wird die Authentizität an ein kryptografisches Schlüsselpaar gebunden, das von einer bekannten Entität kontrolliert wird. Damit kann nicht nur der Empfänger sicher sein, dass die Anweisung vom Unterzeichner stammt, sondern der Unterzeichner kann auch (gegenüber niemandem) leugnen, die Anweisung erteilt zu haben, und keine andere Partei kann die Signatur fälschen, ohne im Besitz des privaten Schlüssels zu sein. 

Integrität 

Jede Änderung an einer signierten Anweisung macht deren Signatur ungültig. Diese Eigenschaft gilt unabhängig davon, durch wie viele Systeme die Anweisung läuft, wie sie gespeichert oder wie sie übertragen wird. Ganz gleich, ob die Anweisung durch eine kompromittierte Middleware-Komponente, einen Man-in-the-Middle-Angreifer oder einen falsch konfigurierten Pipeline-Schritt verändert wird – der Verifizierungsprozess erkennt die Änderung. Die Manipulationssicherung ist bedingungslos: Sie hängt nicht von Überwachung, Anomalieerkennung oder Musterabgleich ab. 

Entkoppelte Verifikation 

Für die Überprüfung sind lediglich der öffentliche Schlüssel und das vertrauenswürdige Stammzertifikat erforderlich. Das überprüfende System muss zur Validierung einer Direktive weder den Signaturdienst kontaktieren, noch eine zentrale Zertifizierungsstelle abfragen, noch eine Netzwerkverbindung aufrechterhalten. Dadurch eignet sich die sofortige Signatur besonders für Edge-Bereitstellungen, Offline-Agenten, containerisierte Workloads und alle Umgebungen, in denen externe Abhängigkeiten zu Latenz oder Instabilität führen. 

Vollständigkeit der Prüfung 

Jede signierte Anweisung ist ein in sich geschlossener Prüfprotokoll. Die Signatur, die Zertifikatskette und der Zeitstempel belegen gemeinsam, wer die Anweisung signiert hat, wann sie signiert wurde und dass sie nicht verändert wurde. Diese Aufzeichnungen können protokolliert, archiviert und für Compliance-Berichte, die Untersuchung von Vorfällen oder forensische Analysen abgerufen werden. In regulierten Branchen ist die Möglichkeit, nachzuweisen, dass jede Aktion eines KI-Agenten auf einer verifizierten, autorisierten Anweisung beruht, ein wesentlicher Vorteil für die Unternehmensführung. 

Volles Eigentum an der Treuhandgesellschaft 

Durch die Verknüpfung der Zertifikatsüberprüfung mit einer unternehmensinternen Stamm-Zertifizierungsstelle behalten Unternehmen die vollständige Kontrolle über die Vertrauenshierarchie. Es muss keiner externen Zertifizierungsstelle oder keinem Drittanbieter vertraut werden. Das Unternehmen entscheidet selbst, wer signieren darf, welche Zertifikate gültig sind und wann Zertifikate widerrufen werden sollen. Dies ist besonders wichtig bei der Bereitstellung von KI-Agenten, da eine kompromittierte Vertrauenskette unter anderem zu unbefugten Finanztransaktionen, Datenexfiltration oder Änderungen an der Infrastruktur führen könnte. 

Prompt-Signierung vs. Code-Signierung: Die entscheidende Parallele 

Der konzeptionelle Unterschied zwischen der sofortigen Signierung und der Codesignierung ist geringer, als es den Anschein hat.  

• Die Codesignierungstellt sicher, dass eine kompilierte Binärdatei von einem bekannten Herausgeber stammt und nicht verändert wurde.  

• Die sofortige Signaturbestätigt, dass eine Anweisung in natürlicher Sprache von einer autorisierten Partei erteilt und nicht verändert wurde. Das Format des Artefakts ist unterschiedlich; das Sicherheitsmodell ist identisch. 

Betrachten wir die Eingabeaufforderung der Benutzerkontensteuerung in Windows. Wenn ein Benutzer eine Anwendung startet, prüft das Betriebssystem, ob die ausführbare Datei signiert ist. Ist dies der Fall, zeigt der Dialog den Namen des Herausgebers an und weist darauf hin, dass die Signatur gültig ist. Ist dies nicht der Fall, warnt der Dialog, dass der Herausgeber unbekannt ist. Der Benutzer trifft dann auf der Grundlage dieser Informationen eine Vertrauensentscheidung. 

Die sofortige Signatur wendet dieselbe Logik auf die Anweisungen von KI-Agenten an. Aus „Vertraust du diesem Programm?“ wird „Vertraust du dieser Anweisung?“ Die zugrunde liegende Frage bleibt unverändert: Kannst du die Herkunft und Integrität dieses Artefakts überprüfen, bevor du dessen Ausführung zulässt? 

Der einzige wesentliche Unterschied liegt im Determinismus. Eine kompilierte Binärdatei liefert bei gleichen Eingaben immer dieselben Ausgaben. Eine Eingabe in natürlicher Sprache, die von einem großen Sprachmodell verarbeitet wird, kann je nach Kontext, Modellversion, stochastischer Stichprobenauswahl, Eingabesprache, Format und sogar dem „Tonfall“ der Eingabe unterschiedliche Ausgaben liefern.  

Dieser Unterschied hat keinen Einfluss auf die Sicherheitseigenschaften der Signatur. Bei der sofortigen Signatur kommt es im Wesentlichen nur auf die Absicht der Anweisung an, unabhängig davon, in welchem Format oder in welcher Sprache sie verfasst ist. Unabhängig davon, ob das Artefakt deterministisch oder nichtdeterministisch ist, bleiben die Fragen der Autorisierung, Integrität und Herkunft dieselben, und die kryptografische Signatur erfüllt alle drei Anforderungen. 

Unternehmen, die bereits über eine Infrastruktur zur Code-Signierung verfügen, sind gut aufgestellt, diese auf die sofortige Signierung auszuweiten. Die Schlüssel, Zertifikate, Signaturdienste und Verifizierungsabläufe können direkt wiederverwendet werden. Die neue Anforderung besteht darin, diese auf eine neue Art von Artefakten anzuwenden, und nicht darin, ein neues Sicherheitsmodell von Grund auf neu aufzubauen. 

Überprüfung von Zeitstempeln und Verhinderung von Wiederholungen 

Eine signierte Anweisung ohne zeitliche Begrenzung bleibt auf unbestimmte Zeit gültig. Wenn ein Angreifer eine rechtmäßig signierte Anweisung abfängt und zu einem späteren Zeitpunkt erneut ausführt, wird die Signatur weiterhin als gültig erkannt. Die Anweisung ist authentisch und unverändert; sie wird lediglich außerhalb ihres vorgesehenen Kontexts verwendet. 

Manche wiederholte Anweisungen sind harmlos. Eine signierte Anweisung mit dem Wortlaut „die nächste Aufgabe aus der Warteschlange abrufen“ ist idempotent und kontextunabhängig. Betrachten wir jedoch eine signierte Anweisung mit dem Wortlaut „1728 Dollar auf das Konto 25519 überweisen“. Wenn diese Anweisung für eine bestimmte Transaktion signiert wurde und ein Angreifer sie Stunden, Tage oder Wochen später wiederholt, führt dies zu einer unbefugten doppelten Transaktion. 

Die Zeitstempelvalidierung löst dieses Problem, indem zum Zeitpunkt der Signatur ein vertrauenswürdiger Zeitstempel in die Signatur eingebettet wird. Das prüfende System vergleicht den Zeitstempel mit seiner aktuellen Uhrzeit und einem konfigurierten Gültigkeitszeitraum. Ist die Signatur älter als der zulässige Zeitraum, wird die Anweisung abgelehnt, unabhängig davon, ob die Signatur selbst gültig ist. 

Frischefenster sollten an den jeweiligen Betriebskontext angepasst werden: 

• Interaktive Agentengesprächeerfordern kurze Zeitfenster, in der Regel von Sekunden bis zu Minuten. Eine Anweisung, die in einem Live-Gespräch erteilt wird, sollte eine Stunde später nicht mehr gültig sein. 

• Batch-Workflowskönnen je nach der voraussichtlichen Dauer der Verarbeitungskette längere Zeitfenster von Minuten bis zu Stunden zulassen. 

• In Notfallszenarienkann es erforderlich sein, die Aktualitätsprüfungen unter kontrollierten Bedingungen zu umgehen, wobei eine angemessene Protokollierung sowie eine manuelle Genehmigung erforderlich sind. 

Das zentrale Gestaltungsprinzip lautet, dass die Einhaltung der Gültigkeitsdauer standardmäßig streng gehandhabt und nur bei ausdrücklicher Begründung gelockert werden sollte. Eine signierte Anweisung, die zu alt ist, um als vertrauenswürdig zu gelten, sollte neu signiert werden und nicht allein aufgrund der Tatsache akzeptiert werden, dass die Signatur technisch gültig ist. 

Weitere Informationen dazu, wie sichdie Durchsetzung von Zeitstempeln zur Gewährleistung der Aktualität von Direktivenin eine umfassendere KI-Sicherheitsstrategie einfügt: Die Zeitstempelvalidierung wirkt zusammen mit anderen Kontrollmechanismen, um den Angriffsvektor für Replay-Angriffe zu schließen. 

Unternehmens-PKI und zentralisierte Signaturdienste für KI-Agenten 

Die flächendeckende Einführung der sofortigen Signatur erfordert zwei grundlegende Komponenten: eine Public-Key-Infrastruktur (PKI), die die Identität über Zertifikate sicherstellt, und einen zentralen Signaturdienst, der regelt, wer was unter welchen Bedingungen signieren darf. 

Identitätsnachweis durch Zertifikate. 
Jeder Unterzeichner in einem Prompt-Signing-System benötigt ein digitales Zertifikat, das seine Identität mit einem öffentlichen Schlüssel verknüpft. Eine Zertifizierungsstelle (CA) stellt diese Zertifikate aus, überprüft die Identität des Antragstellers und verwaltet den Lebenszyklus der Zertifikate (Ausstellung, Erneuerung, Widerruf). Bei KI-Implementierungen in Unternehmen sollte diese CA intern betrieben werden, damit die Organisation die volle Kontrolle über die Vertrauenshierarchie behält. 

Granulare Autorisierung durch richtlinienbasierte Signierung.
Nicht jedes Teammitglied oder System sollte jede Art von Direktive signieren können. Ein zentraler Signaturdienst setzt Richtlinien durch, die regeln, welche Identitäten welche Kategorien von Richtlinien signieren dürfen. Beispielsweise könnte ein Sicherheitsteam berechtigt sein, Zugriffskontrollrichtlinien zu signieren, während ein Entwicklerteam berechtigt ist, Bereitstellungsrichtlinien zu signieren. Diese Richtlinien werden auf dem Signaturdienst und nicht auf dem Agenten durchgesetzt, was bedeutet, dass der Agent die Autorisierungslogik weder verstehen noch implementieren muss. 

Verlagerung der Autorisierung auf den Signaturdienst.
Bei einer zentralisierten Signatur erfolgt die Autorisierungsentscheidung vor der Signatur der Direktive und nicht danach. Der Signaturdienst fungiert als Kontrollpunkt für die Durchsetzung von Richtlinien: Ist ein Anforderer nicht zur Signatur eines bestimmten Direktiventyps berechtigt, wird die Signaturanforderung abgelehnt. Die Direktive erhält niemals eine gültige Signatur, und der Agent sieht sie nie. Dies ist ein wesentlicher architektonischer Vorteil gegenüber Modellen, bei denen der Agent selbst entscheiden muss, ob er einer Anweisung vertraut. 

Verwaltung des Zertifikatslebenszyklus. 
Zertifikate laufen ab, Schlüssel werden rotiert und kompromittierte Identitäten müssen widerrufen werden. Eine Unternehmens-PKI bietet die Möglichkeit, diese Lebenszyklusereignisse automatisch zu handhaben: Zertifikate vor Ablauf zu erneuern, Sperrlisten zu verteilen und sicherzustellen, dass Agenten stets über aktuelle Vertrauensanker verfügen. Ohne ein ordnungsgemäßes Lebenszyklusmanagement wird eine zeitnahe Signaturbereitstellung irgendwann zusammenbrechen, da Zertifikate ablaufen oder widerrufene Schlüssel weiterhin als vertrauenswürdig gelten. 

Das mehrschichtige Sicherheitsmodell: Signatur als Grundlage 

Die sofortige Signierung ist eine notwendige, aber nicht ausreichende Kontrollmaßnahme zur Sicherung von Anweisungen für KI-Agenten. Sie beantwortet die Frage „Wer hat diese Anweisung autorisiert und wurde sie verändert?“, gibt jedoch keine Antwort auf die Frage „Ist die Ausführung dieser Anweisung sicher?“. Ein umfassendes Sicherheitsmodell erfordert mehrere Ebenen, wobei die Signierung die kryptografische Grundlage bildet, die die Vertrauenswürdigkeit der übergeordneten Ebenen gewährleistet. 

Ebene 1: Kryptografische Vertrauensbasis.
Die sofortige Signierung bildet die Basisebene. Jede Anweisung, die in das System gelangt, muss von einer autorisierten Stelle signiert, anhand einer vertrauenswürdigen Zertifizierungsstelle verifiziert und auf Aktualität geprüft werden. Nicht signierte oder ungültige Anweisungen werden vor jeder weiteren Verarbeitung abgelehnt. 

Ebene 2: Durchsetzung des Autorisierungsumfangs.
Nachdem die Echtheit einer Anweisung überprüft wurde, prüft das System, ob der Unterzeichner befugt ist, eine Anweisung dieser Art zu erteilen. Eine gültige Unterschrift eines Mitglieds des Ingenieurteams auf einer Anweisung zu einer Finanztransaktion würde auf dieser Ebene abgelehnt werden, da der Unterzeichner nicht über den entsprechenden Autorisierungsumfang verfügt. 

Ebene 3: Semantische Analyse.Ein KI-„Wächteragent“ analysiert den Inhalt der Anweisung hinsichtlich Sicherheit, Einhaltung von Richtlinien und potenzieller Risiken. Diese Ebene kann Anweisungen erkennen, die zwar technisch zulässig, aber semantisch gefährlich sind, beispielsweise wenn ein berechtigter Unterzeichner eine Anweisung erteilt, die Produktionsdaten löschen würde. 

Ebene 4: Menschliche Überprüfung.Bei Maßnahmen mit schwerwiegenden Folgen leitet das System die Anweisung vor der Ausführung an einen menschlichen Prüfer weiter. Der Prüfer erhält eine verifizierte, autorisierte und semantisch analysierte Anweisung und trifft die endgültige Genehmigungsentscheidung. 

Ebene 5: Lebenszyklusmanagement und Überwachung.Durch kontinuierliche Überwachung wird der Zustand der Signaturinfrastruktur verfolgt, Abweichungen in den Signaturmustern erkannt, der Lebenszyklus von Zertifikaten verwaltet und sichergestellt, dass widerrufene Berechtigungsnachweise umgehend außer Kraft gesetzt werden. 

Die entscheidende Erkenntnis ist, dass die Signatur jede übergeordnete Ebene effektiver macht. Die semantische Analyse einer nicht signierten Anweisung liefert Schlussfolgerungen über ein Artefakt unbekannter Herkunft. Die Analyse mag technisch korrekt sein, doch den Ergebnissen kann man nicht trauen, da die Eingabe nicht vertrauenswürdig ist. Die semantische Analyse einer signierten Anweisung liefert Schlussfolgerungen über ein Artefakt mit verifizierter Herkunft und Integrität. Diese Schlussfolgerungen sind daher mit Zuversicht umsetzbar. 

Für eine detaillierte Betrachtung dermehrschichtigen Sicherheit zur Verhinderung von Prompt-Injection ist die Prompt-Signing-Ebene jene, die eine tiefgreifende Verteidigung nicht nur zu einem erstrebenswerten Ziel, sondern zu einer sinnvollen Strategie macht. 

Sehen Sie sich die Plattform in Aktion an. 

Überlegungen zur Umsetzung 

Schlüsselverwaltung 

Private Schlüssel, die für die sofortige Signierung verwendet werden, müssen mit derselben Sorgfalt geschützt werden wie Schlüssel für die Codesignierung. Es hat sich bewährt, sie in hardware (HSMs) zu speichern, die ein Extrahieren der Schlüssel verhindern und manipulationssichere Prüfpfade bieten. Ein zentraler Signaturdienst entlastet Entwicklungs- und Betriebsteams von der Komplexität der Schlüsselverwaltung: Sie übermitteln Signaturanfragen über APIs, und der Dienst kümmert sich um den Zugriff auf die Schlüssel, die Interaktion mit den HSMs und die Durchsetzung der Richtlinien. 

Integration mit semantischer Analyse 

Der empfohlene Ablauf lautet „zuerst signieren, dann analysieren“. Eine Anweisung wird zunächst von einer autorisierten Partei signiert und anschließend durch eine semantische Analyseebene geleitet, die ihren Inhalt auf Sicherheit und die Einhaltung von Richtlinien überprüft. Diese Reihenfolge ist entscheidend, da die Analyseebene so auf die Herkunft der zu bewertenden Anweisung vertrauen kann. Würde die Anweisung vor der Signatur analysiert, könnte ein nachgelagerter Angreifer sie nach der Analyse, aber vor der Ausführung verändern, wodurch die Analyse hinfällig würde. 

Referenzarchitektur 

Eine praktische Vorgehensweise für die schnelle Bereitstellung containerisierter Agent-Workloads folgt diesem Muster: 

9. Erstellung von Anweisungen.Autorisiertes Personal oder automatisierte Systeme erstellen Anweisungen über eine kontrollierte Schnittstelle. 

10. Signierung.Die Richtlinie wird über eine REST-API an einen zentralen Signierungsdienst übermittelt. Der Dienst überprüft die Berechtigung des Anfragenden, signiert die Richtlinie mit einem HSM-gestützten Schlüssel, fügt einen vertrauenswürdigen Zeitstempel ein und gibt das signierte Paket zurück. 

11. Verteilung.Das signierte Richtlinienpaket (Eingabeaufforderung, Signatur, Zertifikatskette) wird in einem Konfigurationsmanagementsystem, einem Secret Store oder einer Artefakt-Registry gespeichert. 

12. Überprüfung vor dem Start.Wenn eine containerisierte Agent-Workload gestartet wird, ruft ein Init-Container oder ein Einstiegsskript die signierte Direktive ab, überprüft die Signatur und die Zertifikatskette anhand der Unternehmens-Stammzertifizierungsstelle, kontrolliert die Aktualität des Zeitstempels und lädt die Direktive entweder in den Agenten oder blockiert den Start. 

13. Überprüfung während der Laufzeit.Bei lang laufende Agenten, die während der Ausführung aktualisierte Anweisungen erhalten, erfolgt die Überprüfung bei jeder Aktualisierung der Anweisungen und nicht nur beim Start. 

WieKeyfactor helfenKeyfactor 

Die Plattform Keyfactorbietet die Infrastruktur, die Unternehmen benötigen, um eine schnelle Signatur auf Unternehmensniveau zu implementieren, und baut dabei auf derselben bewährten Technologie auf, die auch zur Sicherung von Code, Firmware, Dokumenten und Geräten eingesetzt wird. 

Keyfactor SignServer ist ein zentraler Signaturdienst. Er signiert Befehle über REST-APIs, PKCS#11-Schnittstellen und Windows KSP und ist somit über CI/CD-Pipelines, Orchestrierungsplattformen und benutzerdefinierte Tools zugänglich. Die HSM-gestützte Schlüsselspeicherung stellt sicher, dass private Signaturschlüssel niemals offengelegt werden, und detaillierte Zugriffskontrollen regeln, welche Identitäten welche Befehlstypen signieren dürfen. 

Keyfactor EJBCA bildet die Grundlage für die Zertifizierungsstelle und das Lebenszyklusmanagement. Es stellt Zertifikate für Unterzeichner aus, verwaltet Verlängerungen und Sperrungen und unterstützt die Unternehmens-Stammzertifizierungsstelle, die als Vertrauensanker für alle sofortigen Signaturüberprüfungen dient. Durch die Unterstützung moderner Registrierungsprotokolle (ACME, EST, CMP) und postquantenresistenter Algorithmen EJBCAist die PKI-Infrastruktur, auf der die sofortige Signatur basiert, auf langfristige Beständigkeit ausgelegt. 

Die Durchsetzung von Zeitstempeln ist in die Signatur-WorkflowsSignServerintegriert, sodass Unternehmen vertrauenswürdige Zeitstempel in jede signierte Richtlinie einbetten und für jeden Anwendungsfall geeignete Gültigkeitszeiträume konfigurieren können. Die richtlinienbasierte Signatur stellt sicher, dass Autorisierungsentscheidungen bereits beim Signaturdienst getroffen werden, bevor Richtlinien einen Agenten erreichen. Kryptografisch signierte Prüfprotokolle gewährleisten vollständige Rückverfolgbarkeit für Compliance- und forensische Anforderungen. 

Für Unternehmen, die containerisierte KI-Agenten-Workloads ausführen, ermöglichen die Kubernetes-native Bereitstellung und die REST-API-UnterstützungSignServersowohl eine Überprüfung vor dem Start als auch eine erneute Überprüfung zur Laufzeit, ohne den Betrieb zu beeinträchtigen.