Vertrauen. Integrität. Skalierbarkeit.

Technology Security

PKI-Sicherheitsdienstleistungen

Kyrio-Sicherheitsdienstleistungen sind die Grundlage der Netzwerksicherheit für einige der größten Netzwerke weltweit. Wir bieten Normierungsgruppen und Originalgeräteherstellern weltweit Managed-PKI und benutzerdefinierte PKI-Dienstleistungen, wie z. B. in den folgenden Bereichen:
  • Energieversorgung
  • Gesundheitswesen
  • Internet der Dinge (Internet of Things, IoT) in Industrie und Handel
Als Managed Service Provider entwickeln, leiten und verwalten wir große PKI-Ökosysteme, um Folgendes Sicherzustellen:
  • die Geräteidentität
  • die Marken- und Herstellerintegrität
  • die Zugangskontrolle für Netzwerke, die Millionen von angeschlossenen Geräten unterstützen

Ökosysteme, die wir betreuen

OpenRoaming™-Servicesicherheit

Wir sind eine Partnerschaft mit der Wireless Broadband Alliance (WBA) eingegangen und stellen auf diese Weise sicher, dass dem neuen WBA OpenRoaming™-Service Sicherheit auf Unternehmensebene eingeräumt wird. Durch den WBA OpenRoaming-Service, der die Konnektivitätsbarrieren überwindet, die in der Regel mit Public Wi-Fi verbunden sind, wie etwa die Notwendigkeit, laufend Anmeldeinformationen neu zu registrieren oder neu einzugeben, erhöhen wir jetzt das Sicherheitslevel ganz beträchtlich.

Kyrio wird wie Google und Cisco Experte für die Ausstellung von Zwischenzertifikaten (ICA) und bietet der weiteren WBA-Familie einschließlich Netzwerken, Betreibern, Hubs und identitätsanbietern innovative Dienstleistungen als Bevollmächtigter und Registrierungsexperte an. Darüber hinaus sorgen wir für die Verwaltung und Zuweisung der eindeutigen WBA-Organisationskennungen, die für die Identifizierung ihrer Partner im OpenRoaming-System von entscheidender Bedeutung sind. Diese Information wird zentral in einer globalen WBA-Datenbank erfasst, damit die Systemharmonie und die erweiterte Sicherheit garantiert sind.

Um Benutzerzertifikate zu erhalten, müssen Sie über eine WBA-Kennung verfügen. Um eine WBA-Kennung zu erhalten, wenden Sie sich bitte unter contactus@wballiance.com an die WBA.

Sie möchten gerne RA-Beauftragter für die Ausstellung von WBA-Endgerätezertifikaten werden? Schließen Sie einen Vertrag mit der WBA ab.

Strategische Allianz

Kyrio ist eine strategische Allianz mit Sectigo eingegangen, einem globalen Branchenführer im Bereich Netzwerk- und Gerätesicherheit, um für bestmögliche PKI-Gerätesicherheit zu sorgen und Unternehmen und Ökosystemen zur Gewährleistung von IoT-Netzwerk- und Gerätesicherheit ein robustes, zertifikatsbasiertes Identifizierungsverfahren an die Hand zu geben.

Durch diese strategische Allianz unterstützen Kyrio und Sectigo Hersteller, Unternehmen und Normierungsorganisationen bei ihren komplexen Entscheidungen, mit welchen Netzwerken Geräte verbunden werden können, welche Datenschutz- und Sicherheitsanforderungen erfüllt werden müssen und wie PKIs auf wirtschaftliche Art und Weise eingesetzt und verwaltet werden können, ohne dass die Produktion beeinträchtigt wird.


null
Häufig gestellte Fragen zur Public Key Infrastructure (PKI)

Was ist Public Key Infrastructure (PKI)?

PKI wird zur Identifizierung von Geräten eingesetzt, die in ein Netzwerk eingebunden werden, und sorgt dafür, dass diese Geräte sicher miteinander kommunizieren können. Die Geräte erhalten einen kryptographischen Berechtigungsnachweis (ein digitales Zertifikat), anhand dessen die Geräte und ihre Hersteller identifiziert werden können.

Reicht ein Passwort nicht aus, um meine Internet of Things-(IoT-)Geräte zu sichern?

Benutzernamen und Passwörter waren für menschliche Benutzer gedacht und haben für zahlreiche Sicherheitsprobleme gesorgt, ganz besonders dann, wenn es um das Sicherheitsmanagement in großem oder mittlerem Stil geht. Einen Benutzernamen und ein Passwort für 10 Geräte einzugeben ist machbar, bei 10.000 Geräten ist es das jedoch nicht. Außerdem können Passwörter leichter entschlüsselt werden als digitale Zertifikate.

Worin besteht der Unterschied zwischen einem PKI-Testzertifikat und einem PKI-Produktionszertifikat?

Ein Testzertifikat kann nur innerhalb der Domain einer Testumgebung eingesetzt werden. Testzertifikate werden in demselben Format und mit denselben Algorithmen wie die Produktions-PKI generiert, verfügen jedoch nicht über die strengen Dokumentations- und Sicherheitsvorgaben, die für eine Produktions-PKI erforderlich sind. Der Sinn und Zweck von Testzertifikaten besteht darin, dass die Funktionalität getestet wird, bevor die Geräte in die Produktion gehen. Es ist bei allen Unternehmen, die PKI nutzen, anerkannte Praxis, vor der Produktion zu testen.

Welche Aufgabe hat ein Richtlinienexperte (Policy Authority, PA)?

Der PA ist im Allgemeinen verantwortlich für die PKI-Implementierung und definiert die Richtlinien und Anforderungen für Unternehmen und ihre Geräte, die Mitglieder des Ökosystems sein werden. Der PA kann eine Normierungsgruppe oder ein großer Hersteller sein.

Welche Aufgabe hat ein Registrierungsexperte (Registrierung Authority, RA)?

Der RA handelt im Auftrag des PA an der Implementierung und Durchsetzung der Richtlinien und Anforderungen der PKI für das betreffende Ökosystem. Der RA überprüft die Unternehmensdaten und die Identität der Benutzer, die sich in dem Ökosystem registrieren; ferner überprüft er (bei Bedarf) auch den Zertifizierungsstatus der Unternehmen und Produkte, die mit dem Ökosystem verbunden werden. Der RA übernimmt das administrative Management der Ökosystem-PKI.

Welche Aufgabe hat ein Zertifikatsexperte (Certificate Authority, CA)?

Ein CA handelt in Abstimmung mit dem RA an der Implementierung der PKI und der Sicherheitsinfrastruktur zwecks Erstellung der digitalen Zertifikate, die die Mitglieder des Ökosystems für den Zugang zum Ökosystem nutzen. Der CA übernimmt die operative und technische Funktion in der Ökosystem-PKI.

Kann ich SSL/TLS-Zertifikate für IoT-Geräte verwenden?

Sie könnten, aber SSL/TLS-Zertifikate sind für den speziellen Anwendungsfall der Browser-to-Server-Authentifizierung für den Internethandel konzipiert und nicht für die Sicherheit von IoT-Geräten. Diese Zertifikate haben kurze Laufzeiten (1–2 Jahre) und sind in der Regel RSA-verschlüsselt mit Schlüssellängen zwischen 2048 und 4096 Bit. IoT-Geräte haben im Allgemeinen nicht die Speicher- oder Rechenleistung für diese Art von Zertifikaten und nutzen in der Regel Elliptic Curve Cryptography (ECC), die weitaus kürzere Schüssel generiert. ECC mit einer Schlüssellänge von 256 Bit ist in etwa dasselbe wie RSA mit 3072-Bit-Schlüsseln.

Ich muss Tausende (oder Millionen) von Geräten sichern. Kann ich hierfür die PKI nutzen?

Die PKI wurde mit Blick auf die Skalierbarkeit konzipiert. Beispielsweise nutzt die Kabelfernsehbranche die PKI seit nahezu 20 Jahren in Hunderten Millionen von Geräten. Mit diesen PKI-Zertifikaten wird alles von der Einhaltung der DOCSIS-Standards bis hin zur Eignung der Benutzer für bestimmte Dienstleistungen überprüft. Anders als es bei symmetrischen Schlüsseln der Fall ist, die in der Mobilbranche zum Einsatz kommen, erfordert die PKI eine einigermaßen einfache Schlüsselmanagementstruktur, sogar bei großen Multivendor-Ökosystemen mit Millionen von Geräten.

Was sind öffentliche und private Root-Zertifikate?

Öffentliche Root-Zertifikate werden in einem öffentlichen/offenen Ökosystem wie dem Internet für SSL/TLS-Zertifikate für Web-Browser und Web-Hosts verwendet. Private Root-Zertifikate werden von Normierungsgruppen oder Privatunternehmen erstellt, wenn der Zugang zum Ökosystem aufgrund bestimmter Anforderungen geschlossen oder eingeschränkt ist. Je nach Ökosystem können Compliance-Zertifizierungstests erforderlich sein, bevor die Zertifikate ausgestellt werden, mit denen Zugang zu privaten PKI-Ökosystemen gewährt wird.

Sollte ich meine eigene PKI hosten?

Die Antwort auf diese Frage hängt von Ihren internen Ressourcen und den Anforderungen in Bezug auf die Sicherheitsrichtlinie des PA ab. In den meisten Fällen ist es wirtschaftlicher und sicherer, den PKI-Betrieb an ein Unternehmen auszulagern, das sich auf diese Aufgabe spezialisiert hat. Für den ordnungsgemäßen Einsatz und Betrieb einer PKI sind Dokumentations- und Prozessmanagementtätigkeiten in erheblichem Ausmaß erforderlich, um zu gewährleisten, dass der Zugang zu den Signierschlüsseln und Systemen zur Zertifikatserstellung streng kontrolliert wird. In einigen Ökosystemen sind Audits durch Dritte vorgeschrieben, damit die Einhaltung der Sicherheitsrichtlinie hinreichend nachgewiesen ist. In den meisten Unternehmen würde diese Aufgabe erhebliche Gemeinkosten verursachen, die über einen langen Zeitraum aufgebracht werden müssten. Daher lagern so viele Unternehmen die PKI aus.

Was bedeutet Ende-zu-Ende-Verschlüsselung?

Netzwerkverbindungen zwischen zwei Unternehmen sind nur selten direkt. Meistens werden die Verbindungen zwischen den beiden Parteien über mehrere „Hops“ zwischen Servern und Switches hergestellt. Oftmals wird die Verbindung zwischen den „Hops“ verschlüsselt und gesichert, aber an jedem „Hop“ werden die Daten entschlüsselt, erneut verschlüsselt und an den nächsten „Hop“ gesendet. Für die Ende-zu-Ende-Verschlüsselung und die entsprechende Sicherheit wird ein Layer über dem Netzwerk/TLS-Layer benötigt, wo eine zusätzliche Authentifizierung erfolgt, sodass der Verschlüsselungs-Layer zwischen den beiden Endpunkten eingerichtet wird. Während der Übertragung sind die Daten doppelt verschlüsselt, sodass es, auch wenn sie an jedem „Hop“ entschlüsselt werden, immer noch einen anderen Verschlüsselungs-Layer gibt.

Worin besteht der Unterschied zwischen Authentifizierung und Verschlüsselung, und welche Aufgaben erfüllen sie?

Die Begriffe „Verschlüsselung“ und „Sicherheit“ werden oftmals untereinander austauschbar verwendet, obwohl sie tatsächlich unterschiedliche Bedeutungen haben. Die Verschlüsselung hat eine sehr spezifische kryptographische Funktion, die darin besteht zu verhindern, dass die Daten während der Übertragung zwischen den Parteien abgefangen werden. Allerdings kann mit der Verschlüsselung nicht gut festgestellt werden, mit wem Sie kommunizieren. Die Authentifizierung erfüllt eine separate kryptographische Funktion, nämlich die Überprüfung der Identität. Durch den Einsatz der PKI (oben) kann eine zuverlässige Kette digitaler Signaturen errichtet werden, sodass Sie, wenn ein Gerät sein Zertifikat präsentiert, auf kryptographischem Wege sicher feststellen können, mit wem Ihr Gerät kommuniziert.

Ist der Widerruf bezüglich einzelner Geräte mit PKI möglich?

Einer der wichtigsten Vorteile einer Managed-PKI besteht darin, dass jedes Zertifikat eindeutig identifzierbar ist und dass die Zugangskontrolle bis hinunter zum einzelnen Gerät erfolgen kann. Widerrufe und individuelles Gerätemanagement zählen zu den wichtigsten Vorteilen, den ein Managed-PKI bietet.

Was ist eine Zertifikatsrichtlinie (CP)?

Eine CP ist ein Dokument, in dem die Sicherheits- und Prozessanforderungen rund um das Management einer Ökosystem-PKI beschrieben sind. In der CP wird alles, vom Format der Zertifikate (Zertifikatsprofil) bis hin zur physischen Sicherheit beim Schutz der Root- und privaten Sub-CA-Schlüssel, angegeben. Darüber hinaus werden in der CP der Prozess und die Anforderungen rund um den Widerruf von Zertifikaten sowie die Gültigkeitsdauer und die Lebensdauer des Zertifikats definiert. Der Sinn und Zweck einer CP besteht darin, dass ein einheitlicher Satz Richtlinien und Verfahren auf alle Mitglieder eines Ökosystems angewendet werden kann und dass die Einhaltung dieser Prozesse unabhängig geprüft und verifiziert werden kann.

Was ist Kryptoagilität?

Kryptoagilität ist die Fähigkeit, bewährte Sicherheitspraktiken auf eine große Bandbreite an Anwendungen und Branchen anzuwenden. Jeder Anwendungsfall und jede Branchenvertikale hat ihre eigenen Herstellungsanforderungen und ihre eigenen Lieferketten- und Marktbedürfnisse.

Worin besteht der Vorteil des PKI-Lifecycle-Managements?

Wie bei einem Reisepass oder einem Führerschein ist ein digitales Zertifikat ein Identitätsnachweis und Mittel zur Zugangskontrolle. Ebenso haben diese Berechtigungsnachweise eine begrenzte Lebensdauer und laufen nach einem bestimmten Zeitraum ab, sodass der Inhaber seine Identität und die Einhaltung der Spezifikationen erneut bestätigen muss, bevor ihm ein neuer Berechtigungsnachweis ausgestellt wird, ganz so, wie es in den USA auch die Führerscheinbehörde handhabt. Das Management der Ausstellung und Verlängerung digitaler Zertifikate ist von entscheidender Bedeutung für die Integrität des Ökosystems.

Inwiefern wird die PKI in den Compliance-Anforderungen berücksichtigt?

Mithilfe der PKI lassen sich die Anforderungen des Ökosystems einhalten. In vielen Ökosystemen können Sie nicht auf die Produktions-PKI zugreifen und Zertifikate erhalten, solange Ihr Unternehmen und das Produkt die Zertifizierung noch nicht bestanden haben. Folglich dient das digitale Zertifikat nicht nur als Nachweis für die Identität eines Geräts, sondern gleichzeitig als Nachweis für die Einhaltung der Spezifikationen. Darüber hinaus ist es sehr gut möglich, dass ein einzelnes Gerät mehrere Zertifikate hat, die dazu dienen, die Identität bzw. die Eignung für unterschiedliche Dienstleistungen zu überprüfen.

Worin besteht die strategische Allianz von Kyrio und Sectigo (in Bezug auf die PKI)?

Kyrio und Sectigo sind eine strategische Allianz eingegangen, um die Stärken, die Kyrio mit seiner Erfahrung im Ökosystem-Management und in der Hardwareherstellung hat, mit der Zertifikats- und Sicherheitsinfrastruktur von Sectigo zu kombinieren.

Inwiefern nützt mir die strategische Allianz von Kyrio und Sectigo?

Die Allianz zwischen Kyrio und Sectigo ermöglicht es Geräteherstellern, strikte Sicherheitsmaßnahmen in ihr Netzwerk-Ökosystem zu implementieren, und zwar im Einklang mit ihren bestehenden Produktionsabläufen. Indem Hersteller die bestehende PKI von Kyrio nutzen, können sie Zertifikate in ihren Geräten einsetzen und für hohe authentifizierungsbasierte Sicherheit sorgen, während ihnen keine Kosten für die Erstellung und das Hosting ihrer eigenen PKI entstehen.

Kann ich die Geschäftsbeziehung zu Kyrio und Sectigo über einen einzigen Ansprechpartner pflegen?

Ja, der Hauptansprechpartner ist Kyrio.

Kann ich den Evaluierungs- und Verkaufsprozess bei dieser Allianz mit einem einzigen Ansprechpartner regeln?

Ja, der Hauptansprechpartner ist Kyrio.

An wen wende ich mich, wenn ich Kundensupport benötige?

Ja, der Hauptansprechpartner ist Kyrio unter pkiops@kyrio.com. Was den technischen Support für das Produktionsportal anbelangt, so steht Sectigo Ihnen außerhalb der Geschäftszeiten zur Verfügung, damit die Kontinuität bei der Generierung der Zertifikate für die Produktion sichergestellt ist.

Sie müssen ganz genau wissen, was Ihr Ökosystem beinhaltet. Kyrio-Sicherheitsdienstleistungen zeigen Ihnen, wie das geht.