8.6. Infrastruktur für öffentliche Schlüssel (Public Key Infrastructure, PKI)
Mit der Infrastruktur für öffentliche Schlüssel (PKI) wurde eine Sicherheitsarchitektur eingeführt, um den Grad der Vertrauenswürdigkeit von Informationen, die über unsichere Netzwerke ausgetauscht werden, zu erhöhen. Sie beruht auf dem Konzept von öffentlichen und privaten kryptographischen Schlüsseln, um die Identität des Absenders (Signierung) zu überprüfen und die Geheimhaltung zu sichern (Verschlüsselung).
Wenn Sie über die Einrichtung einer PKI nachdenken, sehen Sie sich mit einer breiten Palette von Problemen konfrontiert:
eine Zertifizierungsstelle (Certification Authority, CA), die Zertifikate ausgeben und bestätigen und unter einer bestimmten Hierarchie arbeiten kann
ein Verzeichnis, das die öffentlichen Zertifikate der Benutzer enthält
eine Datenbank (?), um eine List von Widerrufen von Zertifikaten (Certificate Revocation Lists, CRL) zu verwalten
Geräte, die mit der CA zusammenarbeiten, um Smartcards/USB-Token oder ähnliches zu erzeugen und die Zertifikate sicher zu speichern
Anwendungen, die die von einer CA ausgestellten Zertifikate benutzen können, um verschlüsselte Kommunikation zu aufzubauen und bestimmte Zertifikate gegen die CRL zu prüfen (zur Authentifizierung und so genannte »full Single Sign On solutions«)
eine Zeitstempel-Autorität, um Dokumente digital zu signieren
eine Verwaltungskonsole, von der aus dies alles vernünftig benutzt werden kann (Erstellung von Zertifikaten, Kontrolle der Widerruflisten, usw., ...)
Debian GNU/Linux beinhaltet Softwarepaket, die Ihnen bei einigen dieser PKI-Probleme helfen können. Dazu gehört
OpenSSL
(zur Erstellung von Zertifikaten),
OpenLDAP
(für ein Verzeichnis, um die Zertifikate zu speichern)
gnupg
und
openswan
(mit X.509 Unterstützung). Jedoch stellt Debian zum Zeitpunkt der Veröffentlichung von Woody (Debian 3.0) keine der frei verfügbaren Certificate Authorities wie zum Beispiel pyCA,
http://www.openca.org oder die CA-Muster von OpenSSL zur Verfügung. Für weitere Informationen lesen Sie bitte das
http://ospkibook.sourceforge.net/.