Glossar

Asymmetrische Kryptographie (asymmetric cryptography)

Ein mathematisches Verfahren zur Datenverschlüsselung, in dem zwei verschiedene mathematisch zusammengehörende Schlüssel zum Verschlüsseln und Entschlüsseln der Daten verwendet werden.

Benutzer-Authentisierung (user authentication)

Benutzer authentisiert sich zertifikatsbasiert gegenüber einer Anwendung mit seinem Personal Security Environment (PSE), anstatt mit Kennung und Passwort. PSE ist ein persönlicher, elektronischer Sicherheitsbereich, in dem sicherheitsrelevante Daten, wie beispielsweise ein privater Schlüssel, enthalten sind. Zu finden ist ein PSE in der Regel auf einer Chipkarte, kann aber auch als verschlüsselte Datei vorliegen. Der PSE ist durch ein Passwort, eine PIN oder durch biometrische Verfahren (z. B. Fingerabdruck) gesichert.

Schlüsselbesitzer

Der Besitzer eines Schlüssels ist der End-User, der über den privaten Schlüssel, in der Form des Personal Security Environments (PSE), verfügt und für dessen korrekten Einsatz verantwortlich ist.
Bei einem persönlichen Schlüsselpaar ist der Eigentümer auch immer der Besitzer, weil es verboten ist, den persönlichen Schlüssel weiterzugeben.

Certification Authority (CA)

Certification-Authority-Instanz, die die Bindung eines Public Key's an einen Benutzer in Form eines Zertifikates herstellt und mit der eigenen digitalen Signatur beglaubigt.

Chipkarte (chip card)

Karte im Scheckkartenformat gemäß externem Zugriff über ISO 7816-Norm mit eingebettetem Mikrochip. Besitzt dieser Mikrochip einen programmierbaren Controller (CPU), so spricht man von einer SmartCard.

Certificate Policy (CP)

Die Zertifizierungsrichtlinie (CP) dokumentieren die Arbeitsprinzipien der PKI.

Certificate Practice Statement (CPS)

Im Certificate Practice Statement (CPS) wird die konkrete Umsetzung der CP in der praktischen Anwendung beschrieben.

Verzeichnisdienst (directory)

Das Corporate Directory ist das Verzeichnis, in dem unternehmensweit verfügbare Informationen der Angestellten eingetragen sind. Es dient auch dazu, Zertifikate zu veröffentlichen und unternehmensweit bereitzustellen bzw. durch geeignete Spiegelungsmechanismen ein Teil der Informationen (z. B. Name, Vorname, E-Mail und Zertifikat) auch extern bereit zu stellen.

Digitale Signatur, heute elektronische Signatur (digital signature)

Eine elektronische Signatur stellt eine kryptographische Umformung von Daten dar, um diese vor unbemerkten Verfälschungen zu schützen (Schutz der Integrität).
Mit digitaler Signatur wird meistens der Vorgang des digitalen Signierens assoziiert, der regional geltenden Gesetzen unterliegen kann. Die Bedeutung ist weiter gefasst, d. h. entspricht nicht dem Signaturgesetz.

Schlüsseleigentümer (key owner)

Der Eigentümer eines Schlüsselpaars ist der End-Benutzer, der für die korrekte Nutzung und Unversehrtheit des privaten Schlüssels verantwortlich ist. Der Eigentümer oder der Aussteller (CA) führt auch den Widerruf des Schlüsselpaars durch.

Hash-Algorithmen (hash algorithm)

Beim Hashen eines Dokumentes wird zunächst vom Dokument eine z. B. 160 Bit lange Zahl gebildet (Einwegfunktion). Es ist extrem unwahrscheinlich, dass zu verschiedenen Dokumenten ein gleicher Hashwert existiert (kollisionsresistent). Der Hashwert wird anschließend mit dem privaten Signierschlüssel signiert.
Die Validierung beim Dokumenten-Empfänger erfolgt dadurch, dass zunächst eigenständig der Hashwert über das Dokument gebildet wird. Anschließend wird dieser mit dem am Dokument mit übermittelten, mit Hilfe des öffentlichen Signierschlüssels des Signierers entschlüsselten Hashwerts verglichen. Stimmen beide Werte überein, wurde das Dokument nach der Signatur nicht verändert.

Kryptoalgorithmus (cryptographic algorithm)
Mathematisches Regelwerk, um kryptografische Operationen (z. B. Verschlüsseln, Hashen), ausgehend von elementaren mathematischen Funktionen (z. B. Verschieben, Multiplizieren, Restwert bilden) mit Hilfe von Schlüsseln und Parametern rekursiv zu vollziehen.

Lightweight Directory Access Protocol (LDAP)

LDAP ist ein TCP/IP-basiertes Directory-Zugangsprotokoll, das sich im Internet und in Intranets als Standardlösung für sichere Verzeichnisdienste etabliert hat.

Local Registration Authorities (LRA)

Autorisierte, anwendernahe Stelle, welche die Identifizierung und Authentifizierung der User sicherstellt, sowie das Schlüsselmaterial an die User übergeben und verwalten soll.

Nutzer, kryptographischer Verfahren in der PKI

  • Person (auch: End-Benutzer): Angestellte/-er, Werkstudent/-in, Auszubidende/-er, Consultant (jeweils beim Unternehmen oder einem Geschäftspartner).
  • Organisation: Projektgruppe (innerhalb oder außerhalb des Unternehmens), Dienststelle, Geschäftspartner-Firma usw.
  • Verfahren: Dienst, Client, Server, Zertifizierungsstelle, LRA usw.,
  • Einrichtung: Rechner, Router, Firewall usw.

Ein solcher Nutzer ist entweder Anwender eines Personal Security Environments (PSE) oder eines Zertifikats oder selbst Ziel einer Anwendung von Zertifikaten.

Öffentlicher Schlüssel (public key)

Der öffentliche Schlüssel ist der für jedermann zugängliche Teil eines Schlüsselpaars, das in der asymmetrischen Kryptographie verwendet wird.

Personal Security Environment (PSE)

Summe des Schlüsselmaterials - insbesondere der Privaten Schlüssel-, Zertifikate und weiterer Kontrollinformationen eines Users. Die PSE besteht hauptsächlich aus dem privaten Schlüssel und anderen Informationen, die dem Nutzer gehören, der allein Zugang zum privaten Schlüssel hat. Das PSE muss deshalb vor dem Zugriff durch Andere geschützt sein. SmartCards, Chipkarten und Disketten sind Datenträger, auf denen das PSE gespeichert wird.

Policy Disclosure Statement (PDS)

Gelegentlich wird aus dem CPS das so genannte Policy Disclosure Statement (PDS) abgeleitet, wenn das CPS nicht veröffentlicht wird.

Personalisierung (personalisation)

Zusammenführung von Personendaten zu Kartendaten

Persönlicher Schlüssel (personal key)

Ein asymmetrisches Schlüsselpaar ist ein persönliches Schlüsselpaar, wenn Besitzer und Eigentümer des dazugehörenden Personal Security Environments nur ein und dieselbe Person sein dürfen und der Name dieser Person im Zertifikat beglaubigt ist.

Privater/geheimer Schlüssel (private key)

Der private Schlüssel ist der geheime Teil des Schlüsselpaars (eines persönlichen Schlüssels, eines Funktionsschlüssels), der in der asymmetrischen Kryptographie verwendet wird.

PIN, Personal Identity Number

Die PIN ist hier ein Passwort, mit dem ein End-Benutzer sich beim Zugriff auf das Personal Security Environment authentifiziert. Die PIN dient zum Vertraulichkeitsschutz des PSE, insbesondere des darin enthaltenen privaten Schlüssels.

Public Key Infrastructure (PKI)-Policy

Ein Sicherheitskonzept besteht aus organisatorischen und technischen Maßnahmen und ist im Allgemeinen in einer Security-Policy niedergelegt.
Die Public Key Infrastruktur wird in einer PKI-Policy niedergelegt und beschreibt das organisatorische Regelwerk, die technischen Komponenten sowie ihr Zusammenspiel. Die PKI-Policy ist das zentrale Dokument einer PKI schlechthin und definiert das Sicherheitslevel der PKI.
Dieses Dokument beschreibt den Umgang mit Schlüsselmaterial unabhängig, wie es generiert oder zertifiziert/beglaubigt wurde und gilt für alle Teilnehmer am Verfahren.

Privater Schlüssel (private key)

Beim symmetrischen Verfahren spricht man von einem geheimen Schlüssel, den beide Kommunikationspartner besitzen.
Beim asymmetrischen Verfahren hat jeder Teilnehmer einen öffentlichen Schlüssel (Public Key) und einen privaten Schlüssel.
Mit dem privaten Schlüssel wird signiert und mit dem öffentlichen Schlüssel die Unterschrift geprüft (validiert).
Mit dem privaten Schlüssel kann der Empfänger die mit dem öffentlichen Schlüssel des Empfängers verschlüsselte Nachricht wieder entschlüsseln siehe auch Public-Key-Kryptographie

Public Key Infrastructure (PKI)

PKI ist die Summe aller Instanzen und Verfahren, die zum Einsatz der Public-Key-Kryptographie notwendig sind.
Sie werden im Allgemeinen in einer Certificate Policy beschrieben.

Public-Key-Kryptographie (PKK)

Verschlüsselungsverfahren, bei dem 2 verschiedene Schlüssel zum Ver- und zum Entschlüsseln einer Nachricht verwendet werden (daher auch die Bezeichnung asymmetrische Kryptographie).
In der praktischen Anwendung wird einer dieser Schlüssel mit den Identifikationsdaten des Inhabers veröffentlicht (= public key) und der andere dem Inhaber auf einem sicheren Weg (häufig auf einer SmartCard) übergeben oder gleich in der SmartCard generiert.
Eine wichtige Anwendung der Public-Key-Kryptographie ist die elektronische Signatur, bei der ein Dokument mit dem private key signiert wird und bei der dann der Empfänger mit Hilfe des public key die Signatur überprüft.

Registration Authority Registration Authority, auch Local Registration Authority (LRA)

Stelle, an der die zweifelsfreie Identitätsfeststellung des Endanwenders und die Ausgabe von Schlüsselmaterial stattfindet.

Registrierung (registration)

Feststellung der Identität im Personalisierungsprozess in einer (L)RA und signierte Weitergabe der Daten über einen sicheren Kanal an das Trustcenter. Voraussetzung ist die Antragstellung.
Dem Teilnehmer im Verfahren für digitale Signaturen wird dabei ein geeigneter, möglichst eindeutiger Name zugewiesen.

Secure Multipurpose Internet Mail Extensions (S/MIME)

Ermöglicht das sichere Versenden und den sicheren Empfang von E-Mails.

Schlüsselpaar (key pair)

Ein zusammengehörendes Paar, bestehend aus einem privaten und einem öffentlichen Schlüssel, das zur Durchführung der asymmetrischen Kryptographie benötigt wird, wird hier als "Schlüsselpaar".

Schlüsselmaterial

Die Zusammenfassung von persönlichem Schlüsselmaterial (Personal Security Environment) und dazugehörendem (öffentlichem) Schlüsselzertifikat.

Schlüsselsicherung (Key Backup)

"Schlüsselsicherung" ist als Instanz in der Unternehmens-PKI-Organisation zuständig für die Sicherung privater Schlüssel, mit denen Entschlüsselungen vorgenommen werden sollen von Daten, deren unverschlüsseltes Original nicht verfügbar ist. Diese Komponente der PKI übernimmt, speichert und gibt Zugriff auf private Schlüssel bzw. ermöglicht die Anforderung auf die Wiederbeschaffung von Originaldaten (Data Recovery). Sie liegt nur im Einflussbereich des Unternehmens.

Schlüsselzertifikat (encryption certificate)

Ein Zertifikat ist eine Beglaubigung, die bestätigt, dass ein öffentlicher Schlüssel an Informationen, die Person, Organisation, Verfahren oder Einrichtung als Nutzer des zugehörigen privaten Schlüssels identifizieren, gebunden ist. Bei einem Zertifikat für einen persönlichen Schlüssel bestehen diese Informationen im wesentlichen aus den Identitätsdaten des Schlüsseleigentümers. Bei einem Zertifikat für einen Schlüssel ohne Personenbindung identifizieren die Informationen z. B. eine Dienststelle, eine Funktion, einen Server, ein IT-System, ein Verfahren, die berechtigt sind, den dazugehörigen Schlüssel einzusetzen. Kein Gegenstand der Ausarbeitung.

Security Policy

Verbindliches Dokument zur Beschreibung der Sicherheitspolitik eines Unternehmens. Mögliche Geschäftsrisiken werden bewertet und ggf. Maßnahmen festgelegt. Risiken sind sowohl unerwartete negative Ereignisse als auch unrealisierte geschäftliche Chancen. IT-Security ist Teil der Sicherheitspolitik; PKI-Policy ist Teil der Security Policy. Somit ergänzt dieses Dokument die Security Policy des Einzelunternehmens.

SmartCard

Kleinrechner im Scheckkartenformat. Sie besitzt einen Chip (auf einem Modul aufgebracht), der einen Prozessor, Datenspeicher (File System) und ein Betriebssystem enthält. Ein wesentlicher Aspekt des Betriebssystems ist der integrierte Zugriffsschutz auf Daten im File System. Erst nach Eingabe einer korrekten PIN oder durch eine Authentisierung kann z. B. der entsprechende Zugriffsstatus erreicht werden, so dass die in der jeweiligen Datei enthaltenen Daten an die Außenwelt abgegeben werden. Der Prozessor führt auch selbstständig kryptographische Rechenoperationen durch.

Trustcenter

Instanz mit den möglichen Aufgaben Erzeugung von Schlüsselpaaren, sichere Aufbewahrung von Schlüsselmaterial, Ausstellen, Veröffentlichung und Rücknahme von Public-Key-Zertifikaten, siehe auch Certification Authority, CA

Verifizieren, Verifikation, Validierung

Beim Verifizieren einer digitalen Signatur wird festgestellt, ob die signierten Daten unverfälscht sind und von der Person, Organisation, dem Verfahren oder der Einrichtung stammen, welche die digitale Signatur erstellt hat, siehe auch Hashwert.

Verschlüsselung (encryption)

Die Verschlüsselung verhindert, dass unberechtigte Personen oder Dritte die elektronische Kommunikation verwerten können. Dabei werden mathematische Verfahren verwandt, welche die Daten in eine zwar lesbare, aber unverwertbare Form umwandeln (verschlüsseln). Die Rückumwandlung in die ursprüngliche Form (Entschlüsselung) ist nur autorisierten Personen, Organisationen, Verfahren oder Einrichtungen vorbehalten.

Widerruf (revocation)

Zertifikate können oder müssen in bestimmten Fällen durch die Eigentümer oder Besitzer oder Dritte, die nicht dem Unternehmen angehören, widerrufen werden, bevor ihre Gültigkeit abläuft. Mögliche Gründe, die einen Widerruf erzwingen, sind Offenlegung des Personal Security Environments (PSE), Diebstahl oder Verlust des PSE bzw. alle Fälle, in denen der Missbrauch eines PSE vermutet werden muss. Durch einen Widerruf wird der Gebrauch dieses Zertifikats und des zugehörigen PSE dauerhaft unterbunden; denn eine nachfolgende Aufhebung des Widerrufs ist nicht möglich.

Zertifikatsnutzer (relying party)

Dies sind Personen, Organisationen, Verfahren oder Einrichtungen, die das Zertifikat bzw. den darin enthaltenen öffentlichen Schlüssel benutzen zum Verschlüsseln (vor dem Senden von Daten) oder Verifizieren (nach Empfang von signierten Daten).

Zertifikatssperrung (certificate revocation)

Vorgang, der dazu dient, bei der Überprüfung/Validierung der Signatur bei der CA oder replizierten Auskunftsdiensten das Zertifikat als ungültig zu erkennen (online).
Die Sperrung kann der Teilnehmer oder sein Vertreter vornehmen lassen. Die kartenausgebende Instanz bzw. die CA als zertifikatsausstellende Instanz muss hier eine Vertreterfunktion haben. Die Sperrung muss den Zeitpunkt enthalten und darf nicht rückwirkend erfolgen. Es besteht Unterrichtungs­pflicht.
SigG macht weitere Anforderungen an das Sperrmanagement.