Was ist Public-Key-Infrastruktur?
Die Public-Key-Infrastruktur (PKI) ist ein umfassendes Rahmenwerk aus Rollen, Richtlinien, Hardware, Software und Verfahren zur Erstellung, Verwaltung, Verteilung, Speicherung und zum Widerruf digitaler Zertifikate und der zugehörigen öffentlich-privaten Schlüsselpaare.
Auch bekannt als: PKI, public key infrastructure
PKI ist das Vertrauensgerüst des Internets. Jedes Mal, wenn dein Browser ein Schloss-Symbol bei einer HTTPS-Verbindung anzeigt, ist PKI am Werk. Das System basiert auf Zertifizierungsstellen (CAs), die digitale Zertifikate ausstellen, die einen öffentlichen Schlüssel an eine Identität binden – sei es ein Domainname, eine Organisation oder eine Person. Diese Zertifikate ermöglichen es Clients zu verifizieren, dass sie mit dem legitimen Server kommunizieren und nicht mit einem Angreifer.
Das PKI-Vertrauensmodell ist hierarchisch. Root-CAs stehen an der Spitze, ihre Zertifikate sind in Betriebssystemen und Browsern vorinstalliert. Root-CAs signieren Zertifikate von Intermediate-CAs, die ihrerseits Endentitäts-Zertifikate für einzelne Server und Dienste signieren. Diese Vertrauenskette ermöglicht es jedem Client, ein Zertifikat zu verifizieren, indem er die Signaturen bis zu einer vertrauenswürdigen Root zurückverfolgt. Wird ein Glied der Kette kompromittiert oder widerrufen, sind die davon signierten Zertifikate nicht mehr vertrauenswürdig.
PKI geht über Web-TLS hinaus. Sie unterstützt Code-Signing (Verifizierung der Software-Authentizität), E-Mail-Verschlüsselung (S/MIME), VPN-Authentifizierung, gegenseitiges TLS zwischen Microservices und Smartcard-Authentifizierung. PKI in großem Maßstab zu verwalten bedeutet, den Ablauf von Zertifikaten zu verfolgen, die Erneuerung zu automatisieren, Widerrufslisten (CRLs) oder OCSP-Responder zu handhaben und die privaten Schlüssel von CAs zu sichern – ein Kompromiss eines Root-CA-Privatschlüssels würde das Vertrauen in die gesamte Hierarchie untergraben.
Wie Vaulted Public-Key-Infrastruktur verwendet
Vaulted verlässt sich indirekt über HTTPS auf PKI. Das TLS-Zertifikat für vaulted.fyi, ausgestellt von einer vertrauenswürdigen Zertifizierungsstelle, stellt sicher, dass dein Browser mit dem echten Vaulted-Server kommuniziert und nicht mit einem Man-in-the-Middle. Das schützt den Geheimtext und die Metadaten beim Transport. Vaulted ist für sein Kernverschlüsselungsmodell jedoch nicht auf PKI angewiesen – Geheimnisse werden clientseitig mit symmetrischen AES-256-GCM-Schlüsseln verschlüsselt, die das Netzwerk nie durchqueren, sodass selbst ein PKI-Fehler keine Klartext-Geheimnisse offenlegen würde.