Eine PKI stellt eine sehr gute Grundlage für die Verwendung von asymetrischen Verschlüsselungssystemen dar. Sie dient mit Ihrem streng hierarchischem Aufbau der Abbildung eines Systems von Vertrauensbeziehungen. In der Praxis werden diese Beziehungen über Zertifikate dokumentiert. An der obersten Spitze der Hierarchie steht das so genannte Root- oder Wurzelzertifikat. Mit diesem werden untergeordnete Zertifikate signiert und damit die Identität des jeweiligen Antragsstellers bestätigt. Das Rootzertifikat „vertraut“ also dem unterzeichneten Zertifikat. Wenn Sie bzw. Ihre Software dem Rootzertifikat vertrauen, dann Vertrauen Sie automatisch auch dessen untergeordneten Zertifikaten.

Warum ist die Vertrauensbeziehung zwischen Zertifikaten nun so wichtig?
Der Grund liegt in dem elementaren Zusammenhang zwischen der Verschlüsselung und den Identitäten der Kommunikationspartner. Wenn Sie eine verschlüsselte Nachricht erhalten, müssen Sie sicherstellen, dass diese auch von dem richtigen Absender stammt und die Absenderdaten nicht gefälscht sind. Das wird in der Praxis über die digitale Signatur gewährleistet. Neben der Verschlüsselung ist das die zweite wichtige Funktion eines Zertifikates.

Zertifizierungsstelle – Certificate Authority (CA)

Eine CA verwaltet eine PKI und übernimmt die Signatur von Zertifikatsanträgen. Sie stellt auch den öffentlichen Teil Ihres Rootzertifikates bereit. Die öffentlichen/komerziellen Zertifizierungsstellen (z.B. TC TrustCenter, VerySign, Post, etc.) überprüfen die Daten des Antragsstellers im realen Leben und haben den Vorteil einer weiten Verbreitung Ihrer Stammzertifikate in gängiger Software. Surfen Sie z.B. die Webseite Ihrer Hausbank an, so wird Ihr Webbrowser dem Zertifikat in der Regel sofort vertrauen, da das signiernde Stammzertifikat Ihrer Software bereits bekannt ist.

Rufen sie andererseits eine Webseite auf, die durch eine nicht komerzielle CA (z.B. CaCert), eine interne PKI der Organisation oder ein selbstsigniertes Zertifikat geschützt ist, so erhalten Sie eine Sicherheitswarnung. An dieser Stelle müssen Sie entscheiden, ob Sie dem entsprechenden Zertifikat vertrauen wollen oder nicht. Bei vorhanden PKIs können Sie die entsprechenden Stammzertifikate in Ihre Software importieren. Dann verhält sich Ihre Software genau wie bei einem gekauften Zertifikat.

Die Stärke der Verschlüsselung ist bei komerziellen und Non-Profit Zertifikaten identisch bzw. hängt von den angegebenen Parametern bei dessen Erstellung ab. Der signifikante Unterschied liegt lediglich in dem Erwerb der Vertrauensstellung.

Strukturen im WZR

Wir setzen auf einen gemischten Betrieb von öffentlichen Zertifikaten und interner PKI. Im Bereich gesicherter Webseiten und verschlüsseltem FTP haben sich die Zertifikate von komerziellen Anbietern bewährt. Da wir hier eine breite Öffentlichkeit ansprechen würden sich Warnmeldungen über beeinträchtigte Sicherheit an dieser Stelle nur störend auswirken und Verunsischerung hervorrufen.

Für den Bereich E-Mail und interne Systeme nutzen wir unsere eigene PKI. Um die E-Mail-Sicherheit zwischen uns und unseren Kunden und Partnern zu initieren, bedarf es sowieso des Austausches signierter E-Mails. Dabei unser Stammzertifikat zusätzlich zu übermitteln, ist nur ein ausgesprochen geringer Mehraufwand gegenüber einer komerziellen Lösung. Zusätzlich können wir unseren Kommunikationspartnern ein kostenfreies Zertifikat zur Verfügung stellen, falls diese nicht über eine PKI oder ein E-Mailzertifikat verfügen.