DigHealthWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: le_id
dighealth:ti:pki

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
dighealth:ti:pki [2025/08/08 11:08] – [Elementarfunktionen der TI-PKI] fjhdighealth:ti:pki [2025/08/12 11:27] (aktuell) – [Funktionseinheiten und Dienste einer PKI] fjh
Zeile 1: Zeile 1:
-====== Public Key Infrastructure (PKI======+====== PKI der TI ======
  
-===== Allgemein =====+===== Was ist eine PKI? =====
  
-Mit Public-Key-Infrastruktur (PKI, englisch public key infrastructure) bezeichnet man in der Kryptologie ein System, das digitale Zertifikate ausstellen, verteilen und prüfen kann. Die innerhalb einer PKI ausgestellten Zertifikate werden zur Absicherung rechnergestützter Kommunikation verwendet.+==== Definitionen ====
  
-Digitale Zertifikate stellen die Authentizität öffentlicher Schlüssel in asymmetrischen Kryptosystemen sicher und bestätigen seinen zulässigen Anwendungsund Geltungsbereich.  Das digitale Zertifikat ist selbst durch eine digitale Signatur geschütztderen Echtheit mit dem öffentlichen Schlüssel des Ausstellers des Zertifikates geprüft werden kann+>Mit Public-Key-Infrastruktur (PKI, englisch public key infrastructure) bezeichnet man in der Kryptologie eine Infrastruktur zur Verwaltung von IdentitätenSchlüsseln, Zertifikaten, Attributen usw.((POHLMANN, Norbert, 2022. //Cyber-Sicherheit//. 2. Auflage. Heidelberg: medhochzwei. ISBN 978-3-658-36242-3.))
  
-Um die Authentizität des Ausstellerschlüssels zu prüfenwird wiederum ein digitales Zertifikat benötigt. Auf diese Weise lässt sich eine Kette von digitalen Zertifikaten aufbauendie jeweils die Authentizität des öffentlichen Schlüssels bestätigen, mit dem das vorhergehende Zertifikat geprüft werden kann. Eine solche Kette von Zertifikaten wird Validierungspfad oder Zertifizierungspfad genannt. Auf die Echtheit des letzten Zertifikates (und des durch dieses zertifizierten Schlüssels) müssen sich die Kommunikationspartner ohne ein weiteres Zertifikat verlassen können.+>Die Infrastruktur für die ErzeugungAuthentisierungVerteilung und Überprüfung von öffentlichen Schlüsseln sowie für die sichere Speicherung der geheimen Schlüssel wird Public-Key-Infrastruktur (PKI) genannt."((ERTEL, Wolfgang2007. //Angewandte Kryptographie//. 3., aktualisierte Auflage. München: Hanser, S. 118.))
  
-Noch allgemeiner definiert: +>Eine PKI ist eine technische und organisatorische Infrastrukturdie es ermöglichtkryptographische Schlüsselpaare (private Schlüssel in Form von PSEs und öffentliche Schlüssel in Form von Zertifikatenauszurollen und zu verwaltenZu den wesentlichen Kernkomponenten einer PKI zählt die Registrierungsinstanzdie Zertifizierungsinstanz und der VerzeichnisdienstUnter Umständen umfasst eine PKI auch einen Zeitstempeldienst und Attributbestätigungsinstanzen.((Definition altes BSI-Glossar: s[[https://web.archive.org/web/20090409144328/http://www.bsi.de/esig/glossar.htm#Glossar_P]].))
-"Die Infrastruktur für die ErzeugungAuthentisierung, Verteilung und Überprüfung von öffentlichen Schlüsseln sowie für die sichere Speicherung der geheimen Schlüssel wird Public-Key-Infrastruktur (PKIgenannt.+
-[ERTELWolfgang2007Angewandte Kryptographie3., aktualisierte AuflageMünchenHanser, S118.]+
  
-Definition BSI-Glosar (alt) +**Zertifikate** sind eine von einer Ausgabestelle signierte Sammlung persönlicher Informationen (Attributeüber Nutzer und deren //öffentliche Schlüssel//. Darüber hinaus enthalten sie Angaben zu den für die Signatur verwendeten kryptographischen Algorithmen und One-Way-Hashfunktionen sowie zu ihrer eigenen Gültigkeit und zum HerausgeberMithilfe des öffentlichen Schlüssels einer Zertifizierungsstelle kann die Echtheit eines Zertifikats und seiner Inhalte verifiziert werdenDurchgesetzt haben sich Zertifikate nach dem //Standard X.509// der International Telecommunication Union (ITU).
-Eine PKI ist eine technische und organisatorische Infrastruktur, die es ermöglicht, kryptographische Schlüsselpaare (private Schlüssel in Form von PSEs und öffentliche Schlüssel in Form von Zertifikaten) auszurollen und zu verwaltenZu den wesentlichen Kernkomponenten einer PKI zählt die Registrierungsinstanz, die Zertifizierungsinstanz und der Verzeichnisdienst. Unter Umständen umfasst eine PKI auch einen Zeitstempeldienst und Attributbestätigungsinstanzen.((s[[https://web.archive.org/web/20090409144328/http://www.bsi.de/esig/glossar.htm#Glossar_P]].))+
  
-Ein PSE ist ein Aufbewahrungsmedium für private Schlüssel und vertrauenswürdige Zertifikate. Ein PSE kann entweder als Software-Lösung, z. B. als mittels Passwort geschützte Datei im PKCS #12-Format, oder als Hardware-Lösung, beispielsweise in Form einer Smart Card, realisiert sein. In diesem Fall kann das PSE gleichzeitig als Signaturerstellungseinheit dienen.+<note important>Mithilfe von PKIs lässt sich in modernen IT-Landschaften ein einfaches und organisationsübergreifendes Key Management realisieren.</note>
  
-__Bestandteile einer PKI__ +**Digitale Zertifikate** stellen die Authentizität öffentlicher Schlüssel in asymmetrischen Kryptosystemen sicher und bestätigen seinen zulässigen Anwendungs- und Geltungsbereich.  Das digitale Zertifikat ist selbst durch eine digitale Signatur geschützt, deren Echtheit mit dem öffentlichen Schlüssel des Ausstellers des Zertifikates geprüft werden kann. 
-  +
-  * Digitale Zertifikate +
-  Zertifizierungsstelle +
-  Registrierungsstelle +
-  * Zertifikatssperrliste +
-  * Verzeichnisdienst +
-  * Validierungsdienst +
-  * Dokumentation +
-  * Subscriber +
-  * Participant+
  
-__Vertauensmodelle__+Um die Authentizität des Ausstellerschlüssels zu prüfen, wird wiederum ein digitales Zertifikat benötigt. Auf diese Weise lässt sich eine Kette von digitalen Zertifikaten aufbauen, die jeweils die Authentizität des öffentlichen Schlüssels bestätigen, mit dem das vorhergehende Zertifikat geprüft werden kann. Eine solche Kette von Zertifikaten wird **Validierungspfad** oder Zertifizierungspfad genannt. Auf die Echtheit des letzten Zertifikates (und des durch dieses zertifizierten Schlüssels) müssen sich die Kommunikationspartner ohne ein weiteres Zertifikat verlassen können.
  
-  * streng hierarchisch +==== Funktionseinheiten und Dienste einer PKI ====
-  * Cross-Zertifizierung  +
-  * Web of Trust+
  
-Geht es beim **Vertrauensmodell** darumZertifikate auf einen vertrauenswürdigen Anker oder gemeinsamen Vertrauensraum zurückzuführengeht es beim **Gültigkeitsmodell** um die Feststellung, ob das Zertifikat in seiner Nutzung als gültig angesehen werden kann.+PKI bestehen aus HardwareSoftware und einem abgestimmten Regelwerkder Leitlinie. Diese definiert, nach welchen Sicherheitsregeln die Dienstleistungen um die Zertifikate erbracht werden. Dazu zählen das Betriebskonzept der PKI, die Nutzerrichtlinie, sowie Organisations- und Arbeitsanweisungen.
  
 +Eine PKI stellt zentrale Vertrauensdienste zur Verfügung und schafft so die Voraussetzungen für den vertrauenswürdigen Betrieb von Anwendungen.
 +
 +Folgende Funktionseinheiten und Dienste werden im Allgemeinen unterschieden:
 +
 +  * Registration Authority (RA)
 +  * Certification Authority (CA)
 +  * Directory Service (DIR)
 +  * Certificate Revocation List (CRL)
 +  * Time Stamping Service
 +  * Personal Security Environment (PSE).
 +
 +Eine **Persönliche Sicherheitsumgebung** (**PSU**, englisch Personal Security Environment (PSE)) ist ein Aufbewahrungsmedium für private Schlüssel und vertrauenswürdige Zertifikate. Ein PSE kann entweder als Software-Lösung, z. B. als mittels Passwort geschützte Datei im PKCS #12-Format, oder als Hardware-Lösung, beispielsweise in Form einer Smart Card, realisiert sein. In diesem Fall kann das PSE gleichzeitig als Signaturerstellungseinheit dienen.
  
 ===== PKI der TI ===== ===== PKI der TI =====
Zeile 48: Zeile 45:
 ==== Elementarfunktionen der TI-PKI ==== ==== Elementarfunktionen der TI-PKI ====
  
-  * **Authentisierung** von Akteuren (mit elektronischen Identitäten) gegenüber Systemen, Komponenten und Diensten über eine verbindlich registrierte Zuordnung von Schlüsseln zu dem Akteur (**Authentizität**)+  * **Authentisierung** von Akteuren (mit elektronischen Identitäten) gegenüber Systemen, Komponenten und Diensten über eine verbindlich registrierte Zuordnung von kryptographischen Schlüsseln zu dem Akteur (**Authentizität**)
   * **Erstellung und Prüfung von digitalen Signaturen**,   * **Erstellung und Prüfung von digitalen Signaturen**,
     * die den bewußten **Willensakt** eines Akteurs dokumentieren (**Nichtabstreitbarkeit** signierter Transaktionen)     * die den bewußten **Willensakt** eines Akteurs dokumentieren (**Nichtabstreitbarkeit** signierter Transaktionen)
Zeile 54: Zeile 51:
   * **Ver- und Entschlüsselung** von Daten bei Speicherung und Transport (**Vertraulichkeit**)   * **Ver- und Entschlüsselung** von Daten bei Speicherung und Transport (**Vertraulichkeit**)
  
-==== Vertrauensraum QES ====+Die Funktionen werden mittels asymmetrischer kryptographischer Verfahren bereitgestellt, sind in ein technisches und organisatorisches Regelwerk eingebunden und bilden in Summe die Public Key Infrastructure (PKI) der TI. 
 + 
 +==== Basisfunktionen der TI-PKI aus Anwendersicht ==== 
 + 
 +  * Bereitstellung und Lifecycle-Management des TI-Vertrauensraums 
 +  * Identifikation von Personen, Institutionen und technischen Komponenten 
 +  * Registrierung von Zertifikatsantragstellern 
 +  * Erzeugung und Bereitstellung von  
 +    * nonQES-Endnutzerertifikaten 
 +    * QES-Endnutzerzertifikate nach eIDAS 
 +  * Zertifikatssperrung durch Zertifikatsnehmer und attributbestätigende Stellen 
 +  * Zertifikatssperrung durch Herausgeber und gematik als Policy Authority" 
 +  * Suchen und Abrufen von Zertifikaten aus Verzeichnissen 
 +  * Abruf von Zertifikatsstatusinformationen (Sperrinformationen) 
 +  * Beantragung, Produktion und Auslieferung von Zertifikaten. 
 + 
 +==== Vertrauensmodelle ==== 
 + 
 +<note tip>Bei Vertrauensmodellen geht es darum, Zertifikate auf einen vertrauenswürdigen Anker oder gemeinsamen Vertrauensraum zurückzuführen.</note> 
 + 
 +Die TI implementiert gem. der regulatorischen Hoheit der unterschiedlichen Anwendungsfelder folgende Vertrauensmodelle. 
 + 
 +  * Vertrauensmodell für QES 
 +  * Vertrauensraum mittels **T**rust-service **S**tatus **L**ist (TSL) 
 +  * Vertrauensmodell der nonQES-TI-Zertifikate im Internet 
 +  * Vertrauensmodell von Zertifikaten der HBA-Vorläuferkarten 
 + 
 +==== Gültigkeitsmodelle ==== 
 + 
 +<note tip>Beim Gültigkeitsmodell geht es um die Feststellung, ob ein Zertifikat zu einem gewissen Prüfzeitpunkt als gültig angesehen werden kann. Der Prüfzeitpunkt hängt vom verwendeten Gültigkeitsmodell ab. Üblicherweise wird die Gültigkeit von Signaturen zum Zweck der Authentisierung zur aktuellen Zeit geprüft, während Signaturen für Dokumente auf den Zeitpunkt der Signaturerstellung geprüft werden.</note> 
 + 
 +Die TI nutzt folgende Gültigkeitsmodelle. 
 + 
 +  * PKIX-Schalenmodell 
 +  * Kompromissmodell 
 +  * QES-Kettenmodell 
 + 
 +==== Zertifikatstypen ==== 
 + 
 +  * X.509-Zertifikate für Identitäten der TI 
 +  * CV-Zertifikate für Karten in der TI 
 + 
 +Für die Zertifikate zeichnen unterschiedliche Organisationen verantwortlich. 
 + 
 +[TODO: Bild] 
 + 
 + 
 + 
 + 
 + 
 + 
 +  
 + 
 + 
 + 
  
-  * BNetzA-Vertrauensliste (BNetzA-VL) nach eIDAS 
-  * Bereitstellung durch TSL-Dienst 
  
-Die Zertifikate zur Signierung der BNetzA-VL werden in die „List of Trusted Lists“ der Europäischen Kommission (EU-LOTL) eingetragen, und die BNetzA-VL darf nur unter Verwendung eines dieser offiziell publizierten Zertifikate signiert werden. Der TSL-Dienst nimmt diese Zertifikate deshalb mit einer speziellen Markierung versehen in die TSL auf, und die QES-validierenden Komponenten entnehmen die BNetzA-Signer-Zertifikate der aktuellen TSL, um die Signatur der BNetzA-VL zu prüfen. 
  
-Außerdem werden die TSP-X.509 QES mit ihren zugelassenen Diensten in den Vertrauensraum der TI aufgenommen. 
    
  
dighealth/ti/pki.1754651337.txt.gz · Zuletzt geändert: von fjh
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki