PKI Glossar | Secardeo

Fachbegriffe zu IT-Sicherheit, PKI, digitaler Signatur und Identity Management von A wie Asymmetrische Verschlüsselung bis Z wie Zertifizierungsstelle

Asymmetrische Verschlüsselung
Die asymmetrische Verschlüsselung ist dadurch gekennzeichnet, dass sich der bei der Verschlüsselung verwendete Schlüssel von dem zum Entschlüsseln eingesetzten Schlüssel unterscheidet. Dem Teilnehmer wird bei der asymmetrischen Verschlüsselung ein Schlüsselpaar zugeordnet, bestehend aus einem Chiffrierschlüssel und einem dazu inversen Dechiffrierschlüssel.
Es ist dabei rechentechnisch nicht möglich, mit vertretbarem Aufwand (an Rechenleistung, Zeit oder Geld) den Dechiffrierschlüssel aus Kenntnis des Chiffrierschlüssels herzuleiten („hacken“). Angewendet wird die asymmetrische Verschlüsselung insbesondere beim Public Key Verfahren.

Authentisierung
Authentisierung (authentication) ist der Vorgang, eine behauptete Identität, beispielsweise einen angegebenen Benutzernamen, oder die Echtheit und Unverfälschtheit von Daten nachzuweisen. Meistens erfolgt der Nachweis mittels Angabe von Benutzernamen und Passwort. Stärkere Sicherheit bietet die Authentisierung mit kryptografischen Mechanismen (z.B. Chipkarte, Authentisierungsprotokolle) oder biometrischen Merkmalen (z.B. Fingerabdruck).

Authentizität
Unter Authentizität (authenticity) wird allgemein die Echtheit (Unverfälschtheit) und Glaubwürdigkeit von Daten oder einer Partnerinstanz verstanden. Die Authentizität kann durch kryptografische Maßnahmen gesichert und überprüft werden.

CA
Certification Authority (Zertifizierungsstelle): unabhängige, vertrauenswürdige Instanz, die für die Vergabe und die Verwaltung von digitalen Zertifikaten zuständig ist. Die CA signiert die von Ihr ausgestellten Zertifikate digital und garantiert somit für die Echtheit der Daten auf dem Zertifikat. Da beim Public Key Verfahren alle Teilnehmer der CA vertrauen, können sie auf diese Weise auch auf die Gültigkeit der ausgestellten Zertifikate und damit den öffentlichen Schlüsseln anderer Teilnehmer vertrauen.

CRL
Eine Certificate Revocation List (Zertifikats-Sperrliste) dient der CA zur Veröffentlichung von Zertifikaten, die vor Ablauf ihrer Gültigkeit gesperrt wurden. Alle in einer Sperrliste aufgeführten Zertifikate sind ab dem Zeitpunkt der Publikation ungültig.

Digitale Signatur
Mit einer digitalen Signatur kann der Ursprung von Daten eindeutig nachgewiesen werden. Unter digitalen Signaturen werden solche elektronischen Signaturen verstanden, die mittels asymmetrischer Verschlüsselung erzeugt und überprüft werden können. Die EU-Richtlinie für elektronische Signaturen sowie deren nationale Umsetzung, beispielsweise in Deutschland durch das Signaturgesetz (SigG), die Signaturverordnung (SigV) sowie das Formanpassungsgesetz, ermöglicht bis auf wenige Ausnahmefälle die rechtliche Gleichstellung der elektronischen mit der handschriftlichen Signatur.

Directory Service
Verzeichnisdienst: Eine nach dem ITU-Standard X.500 hierarchisch (baumförmig) aufgebaute Datenbank, in der von einem geeigneten Client aus Informationen abgerufen werden können.
Anwendung findet dies z. B. in Adress-, E-Mail-, Telefon- oder Branchenverzeichnissen, in denen nach unterschiedlichen Kriterien die gewünschte Information gesucht werden kann. Die Datenbank kann auch über mehrere Server verteilt vorliegen.

IPsec
Internet Protocol Security fasst einen Satz von Protokollen zusammen, die Vorgaben an die Sicherheit auf Netzwerk-, bzw. Paketebene definieren. IPsec wird insbesondere zur Herstellung von verschlüsselten VPN-Verbindungen eingesetzt. Der Einsatz von IPsec-gesicherten VPNs ist für den Endbenutzer transparent.

Kryptografie
Originäres Ziel der Kryptografie ist das Unkenntlichmachen von Daten für unberechtigte Dritte durch Anwenden von Verschlüsselungsmethoden. Die Verschlüsselung gilt als umso stärker, je mehr theoretischer bzw. mathematischer Aufwand betrieben werden müsste, um die Rekonstruktion der Daten durch einen Unbefugten durchzuführen.

L2TP
Layer 2 Tunneling Protocol: Dieses Protokoll ist eine Erweiterung des PPP (Point to Point Protocol), das häufig von ISPs (Internet Service Providern) für den Verbindungsaufbau zum Endbenutzer eingesetzt wird. Mit dem L2TP-Protokoll können verschlüsselte VPN-Verbindungen aufgebaut werden. L2TP ist eine Mischung aus dem PPTP (Point to Point Tunneling Protocol) von Microsoft und dem L2F (Layer 2 Forwarding) von Cisco. Die Bezeichnung „Layer 2“ bezieht sich auf die Transportschicht (Schicht 2) nach dem OSI-Schichtenmodell.

Öffentlicher Schlüssel
Public Key: Das ist der bei Public Key Verfahren verwendete öffentliche Schlüssel eines Schlüsselpaares. Dieser wird vom Inhaber oder der ausstellenden CA öffentlich zugänglich gemacht, z. B. über den Directory Server einer CA, aber auch per Diskette, Web-Download oder E-Mail. Mit Hilfe eines von einer CA ausgestellten und digital signierten elektronischen Zertifikats wird der öffentliche Schlüssel offiziell beglaubigt.

PKCS
Public Key Cryptography Standards. Von der RSA Data Security Inc. veröffentlichte Serie von de-facto-Standards für kryptografische Verfahren.

PKCS#7
„Cryptographic Message Syntax Standard„: Eine Teilmenge der PKCS-Standards. Es handelt sich um ein generisches Datenformat, welches einem „elektronischem Briefumschlag“ entspricht. In ihm können signierte und/oder verschlüsselte Daten eingepackt werden.

PKI
Public Key Infrastructure: Bezeichnung für die notwendigen technischen Einrichtungen sowie der dazugehörenden Prozesse und Konzepte beim Einsatz von asymmetrischer Verschlüsselung. Zu den notwendigen Einrichtungen gehören typischerweise Registrierungsinstanzen (Registration Authority, RA), Zertifizierungsinstanzen (Certification Authority, CA) sowie Verzeichnisdienste (Directory Service, Repository). Heute verbreitete Varianten sind PGP sowie in zunehmendem Maße X.509-basierte PKIs.

Private Key
Siehe Privater Schlüssel.

Privater Schlüssel
Private Key: Ist der bei asymmetrischen Verschlüsselungsverfahren verwendete Schlüssel, auf den nur der Inhaber Zugriff haben darf. Der private Schlüssel dient zur Erzeugung von digitalen Signaturen und zur Entschlüsselung von Daten.

PSE
Personal Security Environment: Das ist ein persönlicher Sicherheitsbereich, in dem persönliche sicherheitsrelevante Daten, wie beispielsweise der Private Key , enthalten sind. Zu finden ist ein PSE in der Regel auf einer Chipkarte (SmartCard), kann aber auch als verschlüsselte Datei vorliegen. Der PSE ist durch ein Passwort, eine PIN oder durch biometrische Verfahren (Fingerabdruck, Augenscanner) gesichert.

Public Key
Siehe Öffentlicher Schlüssel.

Public Key Verfahren
Bei dem so genannten Public Key Verfahren setzt sich das Schlüsselpaar eines asymmetrischen Kryptosystems aus einem nur dem Inhaber zugänglichen geheimen Schlüssel (Private Key) und einem jedermann zugänglichen öffentlichen Schlüssel (Public Key) zusammen. Der Public Key wird zur Verschlüsselung vertraulicher Nachrichten oder zur Überprüfung einer digitalen Signatur verwendet. Beispielsweise kann der Sender einer E-Mail mit dem Public Key des Empfängers den Inhalt der Nachricht für Dritte unlesbar verschlüsseln. Nur der Empfänger kann als einziger mit seinem Private Key die Nachricht entschlüsseln. Der Empfänger einer signierten E-Mail kann mit dem Public Key des Absenders dessen digitale Signatur prüfen und weiß dadurch, dass nur der Absender diese Signatur mit seinem Private Key erzeugt haben kann.

RA
Registration Authority (Registrierungsstelle): ist eine Stelle, die für das Registrieren von Benutzern, die digitale Zertifikate einsetzen wollen, zuständig ist. Dabei soll die RA insbesondere die Identität des Antragstellers prüfen, das Zertifikat selbst wird dann von der CA ausgestellt.

Registrierungsstelle
Siehe RA.

Signaturgesetz
Das in seiner aktuellen Fassung am 22. Mai 2001 verabschiedete Signaturgesetz (SigG) ist Teil des Multimediagesetzes und schafft die Rahmenbedingungen für die Nutzung digitaler Signaturen. Zusammen mit der Signaturverordnung (SigV) und dem am 1. August 2001 neu eingeführten Formanpassungsgesetz („Gesetz zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr“) bildet das SigG die rechtliche Grundlage für den Einsatz elektronischer Signaturen durch die weitgehende Gleichstellung der elektronischen Signatur mit der handschriftlichen Unterschrift.

Single Sign-On Mechanismus
Unter Single Sign-On (SSO) wird der Vorgang einer einmaligen Anmeldung eines Benutzers gegenüber einem System, z.B. einer Web-Site, für die Dauer einer Sitzung verstanden. SSO gibt dem Benutzer die Möglichkeit, mit nur einer einzigen Anmeldung, d.h. beispielsweise durch die einmalige Eingabe von Benutzernamen und Passwort, auf alle für ihn zugelassenen Systeme, Anwendungen und Ressourcen zuzugreifen.

SmartCard
Chipkarte im Scheckkarten-Format mit integriertem Mikroprozessor. Dieser verfügt über einen Speicher, ein Karten-Betriebssystem und nach Bedarf über einen oder mehrere Koprozessoren und kann Programme (Chipkarten-Anwendungen) oder komplexe Rechenoperationen ausführen. Über ein SmartCard-Lesegerät (Terminal) kann die Karte vom Computer angesteuert werden. Auf SmartCards mit integriertem Crypto-Koprozessor werden oft private Schlüssel erzeugt und gespeichert, da SmartCards heute das sicherste Speichermedium darstellen. Die Chipkarten-Anwendung kann ein direktes Auslesen des privaten Schlüssels verhindern.

S/MIME
„Secure Multipurpose Internet Mail Extensions“ ist ein ursprünglich von RSA Data Security Inc. entwickelter de-facto-Standard für die Verschlüsselung und Signierung von E-Mails unter Verwendung digitaler Zertifikate nach X.509v3.

SSL
„Secure Sockets Layer“. SSL ist ein Protokoll für sicheren Datenaustausch zwischen Client und Server über das Internet. Client und Server können sich mit Hilfe von SSL-Zertifikaten gegenseitig authentisieren und die Daten beim Datenaustausch verschlüsseln. Entwickelt wurde dieses Protokoll von Netscape. SSL-Zertifikate basieren auf dem X.509-Standard.

Trustcenter
Ein Trustcenter ist eine Einrichtung, die insbesondere die sensitiven und sicherheitskritischen Komponenten einer CA in einer hochsicheren Umgebung zuverlässig betreibt.

Verschlüsselung
Unter Verschlüsselung versteht man die Transformation von Daten zu deren sicheren Aufbewahrung oder Übermittlung. Dazu wird mit Hilfe eines Chiffrier- Schlüssels der Inhalt z.B. eines Dokuments, einer Datei oder E-Mail für unbefugte Dritte unleserlich gemacht. Nur der richtige Empfänger kann die Daten mit Hilfe eines passenden (Entschlüsselungs-) Schlüssel wieder lesen. Es gibt unterschiedliche Verschlüsselungsverfahren wie symmetrische, asymmetrische und hybride Verschlüsselung.

VPN
Virtual Private Network (Virtuellen Privates Netz): Der Grundgedanke eines VPN ist die Herstellung eines vertraulichen und sicheren Netzwerks über öffentliche, potenziell unsichere Netzwerke, wie z.B. das Internet. Hierfür werden sichere Authentisierungs- und Verschlüsselungsverfahren verwendet, um die Übertragungsstrecken zwischen den einzelnen Knoten des VPN abzusichern. In der Regel kommen hierbei Tunneling-Verfahren wie z.B. L2TP, PPTP o.Ä. zum Einsatz. Auch IPsec kann zur Absicherung der Verbindungen und zur Authentisierung der beteiligten Systeme bzw. Endbenutzer Verwendung finden. Die höchstmögliche Sicherheit erreicht man durch den Einsatz zertifikatsbasierter Authentisierungs- und Verschlüsselungsverfahren mit X.509-Zertifikaten. Die VPN-Technik eignet sich sehr gut zur Absicherung drahtloser Funknetzwerke (WLAN).

X.509
X.509 ist ein Standard für digitale Zertifikate, der von der ITU-T (International Telecommunications Union – Telecommunication) herausgegeben wird. Hier sind Informationen und Attribute spezifiziert, die zur Identifikation einer (natürlichen) Person bzw. eines Rechners (Web-Client oder -Server) erforderlich sind. In der Version 3 dieses Standards (X.509v3) ist das Format für Zertifikats-Erweiterungen definiert, die dazu verwendet werden können, weitere Informationen über den Zertifikats-Inhaber (z.B. akad. Titel, Position im Unternehmen, Unterschriftsberechtigungen) einzutragen oder den Einsatzbereich des jeweiligen Zertifikats (z.B. privat, geschäftlich, für Signatur, Verschlüsselung) festzulegen oder einzuschränken.

Zertifikat
Ein „elektronischer Ausweis“ für eine Person / ein IT-System, der von einer CA ausgestellt und durch deren digitale Signatur beglaubigt ist und insbesondere die Zuordnung eines öffentlichen Schlüssels (Public Key) zu einer Person bzw. einem System garantiert.

Zertifizierungsstelle
siehe CA.