Public-Key-Infrastruktur

PKI bleibt Motor der IT-Sicherheit

27.11.2018
Von   IDG ExpertenNetzwerk


Anne-Sophie Gógl ist Geschäftsführerin des Vereins Sichere Identität Berlin-Brandenburg e.V. (SIDBB). Hauptberuflich ist sie seit 2014 bei der Bundesdruckerei GmbH tätig. Seitdem beschäftigt sie sich verstärkt mit Themen rund um "Sichere Identitäten" und "IT-Sicherheit".
Vor welchen Herausforderungen stehen Public-Key-Infrastrukturen und welche Zukunftschancen haben sie im Zeitalter von Quanten Computing und Blockchain?

Mit Public-Key-Infrastrukturen (PKI) lassen sich digitale Identitäten sicher ausstellen, verwalten und nachweisen. Zudem können elektronische Daten und Informationen verschlüsselt sowie Dokumente mit digitalen Signaturen vor Manipulation geschützt werden. Trotz großer Nutzenvorteile haben sich PKI-basierte Anwendungen bei zentralen Anwendungen - wie zum Beispiel beim Verschlüsseln von E-Mails oder beim elektronischen Signieren von Dokumenten - in der Breite nicht durchgesetzt.

Mit einigen Anpassungen, um modernen Herausforderungen Rechnung zu tragen, ist auch ein gut 30 Jahre altes Sicherheitskonzept für zukünftige Trends und Entwicklungen geeignet.
Mit einigen Anpassungen, um modernen Herausforderungen Rechnung zu tragen, ist auch ein gut 30 Jahre altes Sicherheitskonzept für zukünftige Trends und Entwicklungen geeignet.
Foto: zffoto - shutterstock.com

Um zukünftig das volle Marktpotenzial auszuschöpfen, müssen sich PKI-Konzepte drei zentralen Herausforderungen stellen:

1. Den Aufbau und Betrieb effizient durchführen.

2. Produkte und Lösungen einsetzen, die einfach und intuitiv zu bedienen sind.

3. Smartphones und Tablets in bereits existierende PKIs integrieren.

1. PKI in der Praxis: In Eigenregie oder mit externer Unterstützung

Die zentrale Aufgabe einer PKI besteht darin, elektronische Zertifikate auszustellen. Damit allein ist es aber noch lange nicht getan. Denn Zertifikate "leben". Es gilt, sie auf Medien wie zum Beispiel Smartcards oder Software-Token zu verteilen, zentral zu verwalten, nach Ablauf der Gültigkeit zu erneuern und bei Bedarf für ungültig zu erklären. All dies erfordert eine Lösung für das Zertifikatsmanagement.

"Der Aufwand und die dafür benötigten Ressourcen sind nicht zu unterschätzen." erklärt Bernd Dieckmann, Director Sales der Nexus Group für die DACH-Region. Deshalb sei es sinnvoll, auf skalierbare und flexible Software-Plattformen zurückzugreifen, die auf gültigen Standards basierten, mit denen sich Zertifikate über den gesamten Lebenszyklus verwalten ließen, so Dieckmann.

Besonders in großen IT-Umgebungen kommen solche Zertifikatsmanagement-Plattformen zum Einsatz. Dabei können Public-Key-Infrastrukturen nicht nur in Eigenregie, sondern auch mit externer Unterstützung betrieben werden. Das Ausstellen, Verteilen, Verwalten und Prüfen digitaler Zertifikate übernimmt dann eine Zertifizierungsstelle, auch als Vertrauensdiensteanbieter (VDA, früher Trustcenter) bezeichnet. Der VDA agiert als dritte, vertrauenswürdige Instanz zwischen verschiedenen Kommunikationspartnern.

2. Einfache Handhabung im Trend

IT-Lösungen setzen sich erst dann in der Breite durch, wenn sie einfach zu handhaben sind. Peter Rost, Director Business Development and Strategy bei der Rohde & Schwarz Cybersecurity GmbH sieht PKI-Konzepte auf einem guten Weg: "Mit dem zunehmend benutzerfreundlichen Angebot ist die Nachfrage nach PKI-basierten Lösungen gestiegen." Entscheidend für den Anwender sei, dass Sicherheit und einfache Bedienung Hand in Hand gingen.

Als Beispiel nennt er eine sichere und transparente Festplattenverschlüsselung mit PKI-Technologie. Schlüssel und Zertifikate werden dabei im Hintergrund erzeugt und zentral gemanagt, ohne dass der Anwender in seiner Arbeit eingeschränkt ist. Auf die verschlüsselten Speichermedien lässt sich nur dann zugreifen, wenn eine starke Multifaktor-Authentifizierung erfolgt ist, beispielsweise mit einer Smartcard und durch die Eingabe einer PIN.

3. Mobile PKI-Lösungen

Smartphones und andere mobile Geräte werden zunehmend im Geschäftsalltag eingesetzt, wodurch sich die Angriffsfläche für Cyberattacken vergrößert. Einen wirkungsvollen Schutz bietet die Einbindung mobiler Endgeräte in bestehende Public-Key-Infrastrukturen. Dabei stellt sich jedoch die Herausforderung, dass Smartphones in der Regel keine eingebauten Slots besitzen, um USB-Token oder Smartcards zu nutzen.

Mobile PKI-Lösungen zeigen hier neue Wege auf. Über eine App können Anwender sicher und bequem auf Internet-Anwendungen, Unternehmensnetzwerke und Cloud-Services zugreifen. Dabei wird die digitale Identität des Anwenders verschlüsselt gespeichert und ist an das Gerät gebunden. Für den Identitätsnachweis lässt sich der Fingerabdrucksensor des Smartphones oder andere biometrische Merkmale wie die Gesichtsgeometrie verwenden.

Drei Thesen zur Zukunft der PKI

Die vorgestellten Ansätze zeigen, dass die aktuellen Herausforderungen im Bereich PKI erfolgreich gemeistert werden können. Doch wie steht es um die Zukunft der Public-Key-Infrastrukturen? Ist ein gut 30 Jahre altes Sicherheitskonzept auch für zukünftige Trends und Entwicklungen geeignet? Es folgen drei zentrale Thesen zur Zukunft der PKI.

These 1: PKIs werden in Zukunft noch stärker an Bedeutung gewinnen.

DSGVO, IoT und die Fernsignatur steigern die PKI-Nachfrage, die DSGVO fordert den starken Identitätsnachweis

Rechtliche Vorgaben zum Informations- und Datenschutz sind ein großer Geschäftstreiber für die PKI. An erster Stelle steht hier die europäische Datenschutzgrundverordnung. "Die DSGVO verpflichtet Unternehmen, personenbezogene Daten mit technisch-organisatorischen Maßnahmen nach dem 'Stand der Technik' zu schützen. Genau diesen 'Stand der Technik' bieten PKI-Lösungen", sagt Dr. Kim Nguyen, Geschäftsführer der D-TRUST GmbH. So werden sich SSL/TLS-Zertifikate, die auf PKI-Technologien basieren, im Internet flächendeckend durchsetzen.

SSL/TLS-Zertifikate ermöglichen einen verschlüsselten Datentransfer zwischen dem Computer des Internet-Nutzers und Webseiten. Zudem erhält das Thema E-Mail-Verschlüsselung neuen Schwung. Ein großer deutscher Automobilhersteller verlangt bereits von all seinen Lieferanten, E-Mails zu verschlüsseln und zu signieren.

PKI schafft mehr Vertrauen in vernetzte Geräte

Einer der großen Zukunftstrends ist IoT, in dem "intelligente" Geräte und Maschinen untereinander vernetzt sind und ständig Daten austauschen. Die zunehmende Vernetzung schafft jedoch neue Einfallstore für Cyberangriffe. So stellen Sicherheitsbedenken die größte technische Herausforderung für IoT-Projekte dar, wie eine aktuelle Studie von IDG herausfand.

"In Public-Key-Infrastrukturen liegt die Zukunft sicherer und gesicherter Geräte," betont Peter Rost von Rohde und Schwarz. Hier kämen die Vorteile von PKI-Lösungen - eine sichere Authentifizierung von Anwendern und Maschinen sowie eine verschlüsselte Datenübertragung - voll zum Tragen. Dadurch könnten Smart Devices sicher elektronisch kommunizieren, schließt Rost.

Ein gutes Beispiel ist die Verkehrsvernetzung, auch als V2X (Vehicle-to-everything) bezeichnet. Im Mittelpunkt steht die elektronische Kommunikation zwischen den Akteuren und Komponenten des Straßenverkehrs: Fahrzeug, Straße, Infrastruktur, Netzwerk und Personen. Mit V2X-Kommunikation wird die Verkehrssicherheit erhöht, der Verkehrsfluss verbessert und damit zusammenhängend der Energieverbrauch reduziert. Funktionierende Vernetzung dieser Art macht moderne Verkehrskonzepte wie autonomes Fahren und Car-Sharing erst möglich.

"Bei der Verkehrsvernetzung weist eine Public-Key-Infrastruktur vertrauenswürdige digitale Identitäten nach und sorgt damit für eine sichere Fahrzeugkommunikation", erläutert Bernd Dieckmann von der Nexus Group. Aktuelle PKI-Plattformen statten die Fahrzeuge bereits ab Werk mit unterschiedlichen Zertifikaten aus. Laut Dieckmann sei es möglich, die Zertifikate aus der Ferne zu signieren und zu aktualisieren. Jedes von einem Datensicherheitsproblem betroffene Fahrzeug könne aus dem System ausgeschlossen werden, bis das Problem gelöst und die Vertrauenswürdigkeit wiederhergestellt sei.

Elektronisch signieren wird einfacher

Neue Impulse für die elektronische Signatur gibt die EU-Verordnung über elektronische Identifizierung und Vertrauensdienste (eIDAS), die seit dem 1. Juli 2016 im gesamten EU-Raum in die Praxis umgesetzt wird. Eine der wichtigsten Neuerungen ist ein vereinfachtes Verfahren für die Signaturerstellung: die sogenannte Fernsignatur. Dabei sind die Mittel zur Signaturerstellung (Zertifikat und Schlüsselkomponenten) nicht auf einer Karte, sondern auf den hochsicheren Servern eines so genannten qualifizierten VDA aufbewahrt. Der Anwender kann somit die elektronische Unterschrift aus der Ferne auslösen.

These 2: Neue PKI-Standards sind notwendig.

PKI-Technologien werden "schlanker"

Public-Key-Infrastrukturen können zu einer der zentralen Sicherheitstechnologien im Internet-der-Dinge werden. Doch noch gilt es Hürden zu überwinden.

"Viele vernetzte Geräte besitzen nur eingeschränkte Ressourcen, wie eine geringe Rechenleistung, wenig Speicherplatz und wenig Energie," beschreibt Bernd Dieckmann die Herausforderung. Aktuelle Protokolle, mit denen PKI-Komponenten auf die Geräte verteilt werden, seien demgegenüber zu ressourcenintensiv. Um PKI-Technologie auch für Geräte mit begrenzten Ressourcen nutzen zu können, müsse diese "schlanker" werden.

An der neuen Generation ressourcenschonender Protokolle für PKI-Anwendungen wird aktuell intensiv gearbeitet. Ein Beispiel dafür ist das CEBOT-Projekt (Certificate Enrollment for Billion of Things). Dazu Dieckmann: "Mit CEBOT können Geräte mit eingeschränkten Ressourcen eine vertrauenswürdige Identität in Form eines signierten digitalen Zertifikats erhalten".

Verschlüsselungsverfahren müssen sich ständig anpassen

In naher Zukunft wird es Quantencomputer geben, die schneller, effizienter und leistungsstärker als normale Computer sind. Mit ihrer Rechenleistung bedrohen sie die gegenwärtig als sicher geltenden Verfahren zur Datenverschlüsselung.

Das betrifft auch Public-Key-Infrastrukturen, die ein sogenanntes asymmetrisches Verschlüsselungsverfahren nutzen. Dabei werden ein öffentlicher Schlüssel für das Kodieren der Nachricht und ein privater Schlüssel für das Decodieren eingesetzt. Bisher ist es kaum möglich, aus der Kenntnis des öffentlichen Schlüssels den privaten Schlüssel zu berechnen. Genau dies können die neuen Quantencomputer, denn sie sind um ein Vielfaches schneller als herkömmliche Rechner.

"Die gegenwärtig gängige Public-Key-Kryptografie muss durch Verfahren ersetzt oder ergänzt werden, die auch gegen Angriffe mit Quantencomputern abwehren," sagt Kim Nguyen von D-TRUST. Deshalb sei die Entwicklung neuer Standards für PKI-Algorithmen dringend geboten. Die gute Nachricht ist, dass an der Entwicklung quantensicherer kryptografischer Algorithmen bereits intensiv gearbeitet wird und erste Ergebnisse bereits veröffentlicht sind.

Zusätzlich ist es nach Ansicht von Nguyen wichtig, PKI-Lösungen so zu gestalten, dass Krypto-Agilität erreicht wird. Krypto-Agilität bedeutet, dass veraltete Verfahren oder Parameter leicht durch neue ersetzt werden können. Dazu Nguyen: "Eine Verschlüsselung ist immer nur ein Zeitschloss, irgendwann kann sie gebrochen werden. Deshalb ist es wichtig, die genutzten Krypto-Verfahren regelmäßig zu prüfen und auch außerplanmäßig auf aktuelle Entwicklungen zu reagieren."

These 3: Die Blockchain bietet neue Möglichkeiten für das Identitätsmanagement, wird PKI-Konzepte aber nicht ablösen.

Nach dem Hype um die Kryptowährungen wird die Blockchain jetzt auch als Lösung für das Identitätsmanagement stark diskutiert. Das Prinzip ist ähnlich wie bei Bitcoin und Co. Alle Einträge, die vorher geprüft und verifiziert wurden, werden an alle aktiven Teilnehmer einer Blockchain verteilt und in deren Registern gespeichert. Kryptografische Verfahren sorgen dafür, dass Änderungen an den Inhalten sofort erkannt werden. Am Ende entsteht eine Art Blockchain-ID.

Arno Fiedler von der Technologieberatung Nimbus ist skeptisch, was den Einsatz der Blockchain für das Identitätsmanagement betrifft: "Die Blockchain-ID ist keine Alternative zu Public-Key-Infrastrukturen. PKI's setzen auf eine ganzheitliche Sicherheitsinfrastruktur, die mit Blockchain-Technologie nicht abgedeckt werden kann." So ist zum einen die Dateigröße in einer Blockchain-ID stark begrenzt. Zum anderen lässt sich mit einer Blockchain-ID keine echte Willenserklärung abgeben, da für qualifizierte Signaturen überprüfte Vertrauensdienste und starke Authentisierung erforderlich sind.

Fiedler weist zudem auf ein weiteres Problem hin: "Wichtige Datenschutzanforderungen - wie das Recht auf Vergessenwerden - können mit Blockchain-Technologie nicht erfüllt werden." So ließen sich Identitätseinträge, die personenbezogene Daten enthalten, in einer Blockchain nicht mehr löschen. Das sei im Zeitalter der Datenschutzgrundverordnung (DSGVO) nicht akzeptierbar.

Weiterhin führen Blockchains in der Regel zu einem sehr starken Datenwachstum. Denn für jede zusätzliche Information muss ein neuer Block erzeugt und an die Kette angehängt werden. Dies schränkt die Durchsatzraten und die Performanz erheblich ein. Gerade für Systeme und Geräte mit begrenzter Speicherfähigkeit ist die Blockchain-Technologie nicht geeignet. Die Blockchain-ID kommt darum für Anwendungen mit Millionen von digitalen Identitäten - wie im Internet-der-Dinge der Normalfall - kaum in Frage. Daher schließt Fiedler: "Klassische PKI-Verfahren sind und bleiben der zuverlässige Motor der IT-Sicherheit".

Die PKI hat in den letzten drei Jahrzehnten bewiesen, dass sie ein ausgereiftes und bewährtes Sicherheitskonzept ist und sich auch neuen Herausforderungen und Entwicklungen erfolgreich anpassen kann. Mit diesen Eigenschaften wird sie auch in Zukunft eine wichtige Rolle beim Schutz digitaler Geschäftsprozesse spielen.