Partnerschaften

PKI wird zur Identifizierung von Geräten eingesetzt, die in ein Netzwerk eingebunden werden, und sorgt dafür, dass diese Geräte sicher miteinander kommunizieren können. Die Geräte erhalten einen kryptographischen Berechtigungsnachweis (ein digitales Zertifikat), anhand dessen die Geräte und ihre Hersteller identifiziert werden können.

Benutzernamen und Passwörter waren für menschliche Benutzer gedacht und haben für zahlreiche Sicherheitsprobleme gesorgt, ganz besonders dann, wenn es um das Sicherheitsmanagement in großem oder mittlerem Stil geht. Einen Benutzernamen und ein Passwort für 10 Geräte einzugeben ist machbar, bei 10.000 Geräten ist es das jedoch nicht. Außerdem können Passwörter leichter entschlüsselt werden als digitale Zertifikate.

Ein Testzertifikat kann nur innerhalb der Domain einer Testumgebung eingesetzt werden. Testzertifikate werden in demselben Format und mit denselben Algorithmen wie die Produktions-PKI generiert, verfügen jedoch nicht über die strengen Dokumentations- und Sicherheitsvorgaben, die für eine Produktions-PKI erforderlich sind. Der Sinn und Zweck von Testzertifikaten besteht darin, dass die Funktionalität getestet wird, bevor die Geräte in die Produktion gehen. Es ist bei allen Unternehmen, die PKI nutzen, anerkannte Praxis, vor der Produktion zu testen.

Der PA ist im Allgemeinen verantwortlich für die PKI-Implementierung und definiert die Richtlinien und Anforderungen für Unternehmen und ihre Geräte, die Mitglieder des Ökosystems sein werden. Der PA kann eine Normierungsgruppe oder ein großer Hersteller sein.

Der RA handelt im Auftrag des PA an der Implementierung und Durchsetzung der Richtlinien und Anforderungen der PKI für das betreffende Ökosystem. Der RA überprüft die Unternehmensdaten und die Identität der Benutzer, die sich in dem Ökosystem registrieren; ferner überprüft er (bei Bedarf) auch den Zertifizierungsstatus der Unternehmen und Produkte, die mit dem Ökosystem verbunden werden. Der RA übernimmt das administrative Management der Ökosystem-PKI.

Ein CA handelt in Abstimmung mit dem RA an der Implementierung der PKI und der Sicherheitsinfrastruktur zwecks Erstellung der digitalen Zertifikate, die die Mitglieder des Ökosystems für den Zugang zum Ökosystem nutzen. Der CA übernimmt die operative und technische Funktion in der Ökosystem-PKI.

Sie könnten, aber SSL/TLS-Zertifikate sind für den speziellen Anwendungsfall der Browser-to-Server-Authentifizierung für den Internethandel konzipiert und nicht für die Sicherheit von IoT-Geräten. Diese Zertifikate haben kurze Laufzeiten (1–2 Jahre) und sind in der Regel RSA-verschlüsselt mit Schlüssellängen zwischen 2048 und 4096 Bit. IoT-Geräte haben im Allgemeinen nicht die Speicher- oder Rechenleistung für diese Art von Zertifikaten und nutzen in der Regel Elliptic Curve Cryptography (ECC), die weitaus kürzere Schüssel generiert. ECC mit einer Schlüssellänge von 256 Bit ist in etwa dasselbe wie RSA mit 3072-Bit-Schlüsseln.

Die PKI wurde mit Blick auf die Skalierbarkeit konzipiert. Beispielsweise nutzt die Kabelfernsehbranche die PKI seit nahezu 20 Jahren in Hunderten Millionen von Geräten. Mit diesen PKI-Zertifikaten wird alles von der Einhaltung der DOCSIS-Standards bis hin zur Eignung der Benutzer für bestimmte Dienstleistungen überprüft. Anders als es bei symmetrischen Schlüsseln der Fall ist, die in der Mobilbranche zum Einsatz kommen, erfordert die PKI eine einigermaßen einfache Schlüsselmanagementstruktur, sogar bei großen Multivendor-Ökosystemen mit Millionen von Geräten.

Öffentliche Root-Zertifikate werden in einem öffentlichen/offenen Ökosystem wie dem Internet für SSL/TLS-Zertifikate für Web-Browser und Web-Hosts verwendet. Private Root-Zertifikate werden von Normierungsgruppen oder Privatunternehmen erstellt, wenn der Zugang zum Ökosystem aufgrund bestimmter Anforderungen geschlossen oder eingeschränkt ist. Je nach Ökosystem können Compliance-Zertifizierungstests erforderlich sein, bevor die Zertifikate ausgestellt werden, mit denen Zugang zu privaten PKI-Ökosystemen gewährt wird.

Die Antwort auf diese Frage hängt von Ihren internen Ressourcen und den Anforderungen in Bezug auf die Sicherheitsrichtlinie des PA ab. In den meisten Fällen ist es wirtschaftlicher und sicherer, den PKI-Betrieb an ein Unternehmen auszulagern, das sich auf diese Aufgabe spezialisiert hat. Für den ordnungsgemäßen Einsatz und Betrieb einer PKI sind Dokumentations- und Prozessmanagementtätigkeiten in erheblichem Ausmaß erforderlich, um zu gewährleisten, dass der Zugang zu den Signierschlüsseln und Systemen zur Zertifikatserstellung streng kontrolliert wird. In einigen Ökosystemen sind Audits durch Dritte vorgeschrieben, damit die Einhaltung der Sicherheitsrichtlinie hinreichend nachgewiesen ist. In den meisten Unternehmen würde diese Aufgabe erhebliche Gemeinkosten verursachen, die über einen langen Zeitraum aufgebracht werden müssten. Daher lagern so viele Unternehmen die PKI aus.

Netzwerkverbindungen zwischen zwei Unternehmen sind nur selten direkt. Meistens werden die Verbindungen zwischen den beiden Parteien über mehrere „Hops“ zwischen Servern und Switches hergestellt. Oftmals wird die Verbindung zwischen den „Hops“ verschlüsselt und gesichert, aber an jedem „Hop“ werden die Daten entschlüsselt, erneut verschlüsselt und an den nächsten „Hop“ gesendet. Für die Ende-zu-Ende-Verschlüsselung und die entsprechende Sicherheit wird ein Layer über dem Netzwerk/TLS-Layer benötigt, wo eine zusätzliche Authentifizierung erfolgt, sodass der Verschlüsselungs-Layer zwischen den beiden Endpunkten eingerichtet wird. Während der Übertragung sind die Daten doppelt verschlüsselt, sodass es, auch wenn sie an jedem „Hop“ entschlüsselt werden, immer noch einen anderen Verschlüsselungs-Layer gibt.

Die Begriffe „Verschlüsselung“ und „Sicherheit“ werden oftmals untereinander austauschbar verwendet, obwohl sie tatsächlich unterschiedliche Bedeutungen haben. Die Verschlüsselung hat eine sehr spezifische kryptographische Funktion, die darin besteht zu verhindern, dass die Daten während der Übertragung zwischen den Parteien abgefangen werden. Allerdings kann mit der Verschlüsselung nicht gut festgestellt werden, mit wem Sie kommunizieren. Die Authentifizierung erfüllt eine separate kryptographische Funktion, nämlich die Überprüfung der Identität. Durch den Einsatz der PKI (oben) kann eine zuverlässige Kette digitaler Signaturen errichtet werden, sodass Sie, wenn ein Gerät sein Zertifikat präsentiert, auf kryptographischem Wege sicher feststellen können, mit wem Ihr Gerät kommuniziert.

Einer der wichtigsten Vorteile einer Managed-PKI besteht darin, dass jedes Zertifikat eindeutig identifzierbar ist und dass die Zugangskontrolle bis hinunter zum einzelnen Gerät erfolgen kann. Widerrufe und individuelles Gerätemanagement zählen zu den wichtigsten Vorteilen, den ein Managed-PKI bietet.

Eine CP ist ein Dokument, in dem die Sicherheits- und Prozessanforderungen rund um das Management einer Ökosystem-PKI beschrieben sind. In der CP wird alles, vom Format der Zertifikate (Zertifikatsprofil) bis hin zur physischen Sicherheit beim Schutz der Root- und privaten Sub-CA-Schlüssel, angegeben. Darüber hinaus werden in der CP der Prozess und die Anforderungen rund um den Widerruf von Zertifikaten sowie die Gültigkeitsdauer und die Lebensdauer des Zertifikats definiert. Der Sinn und Zweck einer CP besteht darin, dass ein einheitlicher Satz Richtlinien und Verfahren auf alle Mitglieder eines Ökosystems angewendet werden kann und dass die Einhaltung dieser Prozesse unabhängig geprüft und verifiziert werden kann.

Kryptoagilität ist die Fähigkeit, bewährte Sicherheitspraktiken auf eine große Bandbreite an Anwendungen und Branchen anzuwenden. Jeder Anwendungsfall und jede Branchenvertikale hat ihre eigenen Herstellungsanforderungen und ihre eigenen Lieferketten- und Marktbedürfnisse.

Wie bei einem Reisepass oder einem Führerschein ist ein digitales Zertifikat ein Identitätsnachweis und Mittel zur Zugangskontrolle. Ebenso haben diese Berechtigungsnachweise eine begrenzte Lebensdauer und laufen nach einem bestimmten Zeitraum ab, sodass der Inhaber seine Identität und die Einhaltung der Spezifikationen erneut bestätigen muss, bevor ihm ein neuer Berechtigungsnachweis ausgestellt wird, ganz so, wie es in den USA auch die Führerscheinbehörde handhabt. Das Management der Ausstellung und Verlängerung digitaler Zertifikate ist von entscheidender Bedeutung für die Integrität des Ökosystems.

Mithilfe der PKI lassen sich die Anforderungen des Ökosystems einhalten. In vielen Ökosystemen können Sie nicht auf die Produktions-PKI zugreifen und Zertifikate erhalten, solange Ihr Unternehmen und das Produkt die Zertifizierung noch nicht bestanden haben. Folglich dient das digitale Zertifikat nicht nur als Nachweis für die Identität eines Geräts, sondern gleichzeitig als Nachweis für die Einhaltung der Spezifikationen. Darüber hinaus ist es sehr gut möglich, dass ein einzelnes Gerät mehrere Zertifikate hat, die dazu dienen, die Identität bzw. die Eignung für unterschiedliche Dienstleistungen zu überprüfen.

Kyrio und Sectigo sind eine strategische Allianz eingegangen, um die Stärken, die Kyrio mit seiner Erfahrung im Ökosystem-Management und in der Hardwareherstellung hat, mit der Zertifikats- und Sicherheitsinfrastruktur von Sectigo zu kombinieren.

Die Allianz zwischen Kyrio und Sectigo ermöglicht es Geräteherstellern, strikte Sicherheitsmaßnahmen in ihr Netzwerk-Ökosystem zu implementieren, und zwar im Einklang mit ihren bestehenden Produktionsabläufen. Indem Hersteller die bestehende PKI von Kyrio nutzen, können sie Zertifikate in ihren Geräten einsetzen und für hohe authentifizierungsbasierte Sicherheit sorgen, während ihnen keine Kosten für die Erstellung und das Hosting ihrer eigenen PKI entstehen.

Ja, der Hauptansprechpartner ist Kyrio.

Ja, der Hauptansprechpartner ist Kyrio.

Ja, der Hauptansprechpartner ist Kyrio unter pkiops@kyrio.com. Was den technischen Support für das Produktionsportal anbelangt, so steht Sectigo Ihnen außerhalb der Geschäftszeiten zur Verfügung, damit die Kontinuität bei der Generierung der Zertifikate für die Produktion sichergestellt ist.