Es gibt einen Aspekt der IT-Technologie, mit der wir arbeiten, der immer wieder Neugier weckt, wenn ich darüber mit Freunden und Bekannten aus dem IT-Bereich spreche. Er wird oft als etwas Esoterisches und Geheimnisvolles wahrgenommen. In gewisser Weise gilt diese Wahrnehmung auch für das Fachgebiet selbst. Schon das Akronym — PKI — ruft häufig Bilder von Geheimgesellschaften und Initiationsritualen hervor. Interessanterweise ist diese Analogie nicht völlig unpassend, denn im Fundament jeder Public Key Infrastructure steht ein stark ritualisierter und kritisch wichtiger Prozess: die Key Ceremony.
Was ist eine PKI
Sucht man nach der Definition einer Public Key Infrastructure, findet man in der Regel eine Beschreibung wie diese: „Eine Public Key Infrastructure (PKI) ist eine Gesamtheit aus Rollen, Richtlinien, Hardware, Software und Verfahren, die erforderlich sind, um kryptografische Schlüsselpaare und zugehörige digitale Zertifikate zu erstellen, zu speichern, zu verteilen, zu verwenden und zu verwalten, mit dem Ziel, Daten zu verschlüsseln und zu signieren.“
So korrekt diese Definition auch ist, sie erfasst nicht vollständig, was eine PKI wirklich auszeichnet. Eine PKI ist nicht nur eine IT-Infrastruktur, sondern eine Kombination aus Technologie, Governance und Geschäftsprozessen, die es vertrauenswürdigen Dritten ermöglicht, digitale Identitäten zuverlässig zu überprüfen und dafür zu bürgen.
Warum Prozesse wichtiger sind als Komponenten
In der Praxis werden die organisatorischen und prozeduralen Aspekte einer PKI häufig unterschätzt. Das geschieht meist in den frühen Phasen eines Projekts, wenn Kunden verschiedene Lösungen vergleichen und sich dabei vor allem auf Komponentenspezifikationen, Leistungskennzahlen und Produktdatenblätter konzentrieren.
Dabei sollte der erste Punkt auf der Einkaufsliste für ein erfolgreiches PKI-Projekt weder Hardware noch Software sein, sondern ein Prozess — ein Prozess, über den außerhalb von Expertenkreisen nur selten gesprochen wird: die Key Ceremony.
Was ist eine Key Ceremony
Die Key Ceremony ist das formale Verfahren, bei dem ein eindeutiges kryptografisches Schlüsselpaar aus öffentlichem und privatem Schlüssel erzeugt und der Root Certification Authority (Root CA) zugeordnet wird. Diese Schlüssel werden anschließend verwendet, um Zertifikate für untergeordnete Certification Authorities oder in manchen Architekturen direkt für Endentitäten zu signieren.
Die Schlüssel werden innerhalb eines spezialisierten Geräts erzeugt und geschützt, das als Hardware Security Module (HSM) bezeichnet wird und die innerste Sicherheitsebene darstellt. HSMs sind speziell darauf ausgelegt, physischen Manipulationsversuchen zu widerstehen: Jeder Versuch, das Gerät zu öffnen, zu beschädigen oder zu manipulieren, führt zur sofortigen Zerstörung des darin enthaltenen kryptografischen Materials.
Abhängig vom erforderlichen Sicherheitsniveau kann der Zugriff auf das HSM mehrere Ebenen physischer Schutzmaßnahmen umfassen, wie unterirdische Anlagen, biometrische Kontrollen und getrennte Sicherheitskäfige. Zusätzlich werden zur Gewährleistung der Geschäftskontinuität kryptografische Schlüssel und deren Backups in der Regel in geografisch getrennten, sicheren Einrichtungen aufbewahrt, oft hunderte oder tausende Kilometer voneinander entfernt.
Verschlüsselte Backups der Schlüsselpaare werden von der Organisation in sicheren Tresoren an jedem Standort aufbewahrt. Diese Backups können verwendet werden, um ein neues HSM zu initialisieren und die Root-Schlüssel im Falle eines Hardwareausfalls oder eines katastrophalen Ereignisses wiederherzustellen.
Das Fundament der Root of Trust
Key Ceremonies sind keine standardisierten Ereignisse; sie müssen an die jeweilige Organisation und an den Wert der durch die Verschlüsselungs- und Signaturschlüssel geschützten Assets angepasst werden. In Szenarien mit höchsten Sicherheitsanforderungen finden die Zeremonien in gesicherten Räumen unter kontinuierlicher Videoüberwachung statt, mit anwesenden Zeugen und in einigen Fällen auch mit Notaren.
Wichtig ist, dass sich der Begriff Key Ceremony nicht ausschließlich auf die Erzeugung des Root-Schlüsselpaars bezieht. Er umfasst auch die Initialisierung des HSM und die Erstellung von Wiederherstellungszugangsdaten. Diese Recovery-Schlüssel werden in der Regel aufgeteilt und an benannte Sicherheitsbeauftragte verteilt und können nur verwendet werden, wenn ein vordefiniertes Quorum erreicht ist.
Dies verdeutlicht, dass die eigentliche Root of Trust einer PKI bereits etabliert wird, bevor der erste kryptografische Schlüssel erzeugt wird. Vertrauen gründet sich auf die Strenge, Transparenz und Nachvollziehbarkeit der Key Ceremony selbst.
Eine sorgfältig inszenierte Operation
Eine Key Ceremony ist eine komplexe und äußerst sorgfältig geplante Operation. Nichts wird dem Zufall überlassen; jeder Schritt folgt einem formal dokumentierten Ablaufplan. Ziel ist es nicht nur, kryptografisch starke Schlüssel zu erzeugen, sondern auch sicherzustellen, dass keine unautorisierten Kopien erstellt werden können und dass jede Handlung nachvollziehbar und auditierbar ist.
Eine typische Key Ceremony umfasst die folgenden Elemente:
- Eindeutige Identifikation und Dokumentation aller Personen, die für das Schlüsselmanagement und die Backups verantwortlich sind, einschließlich ihrer Rollen und Zuständigkeiten.
- Überprüfung der Authentizität und Integrität sämtlicher Hardware- und Softwarekomponenten vor ihrem Einsatz.
- Anbringung manipulationssicherer Siegel an Geräten sowie Verwendung manipulationssicherer Behälter für sensibles Backup-Material.
- Vollständige Transparenz der Zeremonie, wobei sichere Systemanzeigen auf großen Bildschirmen gespiegelt und aufgezeichnet werden, um jede Interaktion festzuhalten.
- Sichere Archivierung der Videoaufzeichnungen zu Audit-Zwecken oder für mögliche Untersuchungen.
Vom Mysterium zur praktischen Realität
Sobald das Konzept der Key Ceremony verstanden ist, wird deutlich, dass es sich keineswegs um eine theoretische oder symbolische Übung handelt. Es ist ein realer, operativer Prozess, der einige der kritischsten Vertrauensinfrastrukturen des Internets untermauert.
Im Zusammenhang mit Schlüsseln sind Ihnen vielleicht Artikel im Web mit Titeln wie „Die sieben Menschen, die die Schlüssel zum Internet halten“ oder sogar „Die sieben Templer des Webs“, „Die sieben Wächter des Netzes“ begegnet.
Für diejenigen, die bei den Überschriften stehen geblieben sind, ohne den Inhalt zu lesen, rufen diese Formulierungen mehr oder weniger geheime Rituale und Verfahren hervor.
In Wirklichkeit haben diese Artikel nichts mit Geheimhaltung zu tun, sondern betreffen jeden Einzelnen von uns – weit mehr, als man zunächst annehmen würde.
Die sieben Schlüssel des Webs existieren tatsächlich. Doch wenn Sie an goldene Schlüssel denken, die Schatztruhen oder geheime Gänge öffnen, liegen Sie weit daneben. Wenn wir von den Schlüsseln des Webs sprechen, meinen wir kryptografische Schlüssel, die zur Sicherung des Internetbetriebs eingesetzt werden.
Wer das Thema vertiefen möchte, findet weiterführende Informationen in den folgenden maßgeblichen Quellen:
Von der Key Ceremony zur PKI as a Service
Dieser Ansatz bildet auch das Fundament unseres Angebots PKI as a Service (PKIaaS). Jedes PKIaaS-Projekt beginnt nicht mit der Bereitstellung von Software oder Infrastruktur, sondern mit der Konzeption und Durchführung einer ordnungsgemäß gesteuerten Key Ceremony.
Durch den Start mit einer formalen und auditierbaren Key Ceremony stellen wir bei Namirial sicher, dass die Root of Trust der PKI jedes Kunden gemäß Best Practices etabliert wird und mit den spezifischen Sicherheits-, Compliance- und Geschäftsanforderungen der Organisation übereinstimmt. Dazu gehören die Definition von Rollen und Verantwortlichkeiten, die Auswahl geeigneter Sicherheitskontrollen sowie die Implementierung von Schlüsselmanagementverfahren, die über den gesamten Lebenszyklus des Services hinweg durchsetzbar bleiben.
In diesem Modell ist PKIaaS nicht einfach eine ausgelagerte technische Plattform, sondern ein gemanagter Vertrauensdienst. Die Robustheit der Kryptografie, die Sicherheit der HSMs und die Verfügbarkeit der Infrastruktur beruhen auf einem grundlegenden Prozess, der von Beginn an sorgfältig konzipiert, dokumentiert und umgesetzt wird: der Key Ceremony.
