PKI macht die Tür auf

Das Verschlüsselungsverfahren PKI („Public Key Infrastructure“) kam bislang eher bei der elektronischen Verschlüsselung und digitalen Unterschriften zum Einsatz. Jetzt wird die Technologie auch zunehmend für physische Zugangslösungen verwendet.

Mit FIPS 201 hat die US-Regierung einen Standard verabschiedet, der PKI ausdrücklich für physische Zutrittssteuerungen empfiehlt. Diese Empfehlung stammt bereits aus dem Jahr 2005. Sie soll noch in diesem Jahr mit dem Standard FIPS 201-2 verpflichtend werden.

FIPS regelt nicht nur, welche Daten auf Smartcards gespeichert werden sollen. Der Standard empfiehlt auch Verfahren zur Identifizierung und Authentifizierung, erklärt Kevin Graebel, Produktmanager für HID Credentials bei HID Global, einem führenden Anbieter von physischen und logischen Zugangskontrollen: „Dabei wird ein digitales Zertifikat mit den Schlüsseln und den Berechtigungsstufen des Benutzers auf der Karte hinterlegt. Die Daten werden mittels PKI elektronisch an eine staatliche Zertifizierungsstelle gesendet. Diese kontrolliert, dass die Zugangsrechte noch gültig sind und dass die Daten nicht manipuliert wurden.“

Eine PKI-Infrastruktur besteht aus einem öffentlichen und einem privaten Schlüsselcode. Beide Schlüssel sind mathematisch miteinander verknüpft. Durch diese Verknüpfung können verschlüsselte Daten nur mit dem jeweils anderen Schlüssel wieder entschlüsselt werden.

„Der wichtigste Vorteil einer PKI-Infrastruktur besteht darin, dass Sender und Empfänger keinen gemeinsamen, geheimen Schlüssel brauchen, denn PKI ist ein asymmetrisches Verfahren“, erläutert Graebel. „Herkömmliche Zugangskontrollen basieren auf einem symmetrischen Verfahren. Nur wenn Lesegerät und Karte den gleichen Schlüssel haben, können sie sich gegenseitig authentifizieren. Der Koordinierungsaufwand für die Karten und Lesegeräte ist entsprechend hoch, insbesondere wenn die Karten an mehreren Orten eingesetzt werden sollen. Bei PKI müssen Sender und Empfänger lediglich den gleichen öffentlichen Schlüssel verwenden. Versucht ein Dritter, die Zugangsdaten zu manipulieren, kann der Schlüssel einfach widerrufen oder geändert werden. Der private Schlüssel ist sicher auf der Karte gespeichert.“

Durch Fortschritte bei der praktischen Anwendung ist PKI heute ein effizientes und zuverlässiges Verfahren. Das macht PKI zu einem optimalen Kandidaten für logische und physische Zugangssteuerungen. „Unternehmen können an ihre Mitarbeiter eine PKI-Smartcard ausgeben – etwa eine PIV-Karte – die den Zugang zum Betriebsgelände, zu den Büros, aber auch zu den PCs, Servern und VPNs regelt“, erklärt Dave Coombs, Director of PKI Standards and Policy bei Carillon Carillon Information Security, einer kanadischen Consultingfirma für das Flugsicherheits-Identitätsmanagement. „Das vereinfacht die Verwaltung von Zugangssteuerungen: Die Zugangsrechte, die ein Mitarbeiter für die einzelnen Sicherheitssysteme des Unternehmens hat, werden nicht mehr manuell vergeben oder widerrufen, sondern einfach durch Ausstellen oder Zurückrufen eines einzigen Schlüssels verwaltet.“

Aktuelle Fortschritte gibt es insbesondere bei der Interoperabilität. Ein Unternehmen, das PIV-Karten einsetzt, kann auch Personen identifizieren, die PIV-Karten anderer Unternehmen nutzen.

PKI ist vielversprechend, bringt aber auch einige Nachteile mit sich, vor allem, wenn es um Kosten und Geschwindigkeit geht. „Um Zertifikate zu erstellen oder zu validieren, müssen die Unternehmen entweder selbst eine Zertifizierungsstelle gründen oder Zugang zu einer solchen Stelle haben“, erklärt Graebel. „Je nach Art der Umsetzung kann dafür eine teure Verdrahtung und Aufrüstung aller Kartenlesegeräte nötig sein.“

Die Geschwindigkeit ist ein weiterer Schwachpunkt bei physischen Zugangssteuerungen auf PKI-Basis. Smartcards mit kontaktloser Datenübertragung sind haltbarer und besser gegen Vandalismus geschützt als Kontaktkarten, aber die Kommunikation zwischen Karte und Lesegerät kann bis zu zwei Sekunden dauern. Das ist nicht sonderlich viel, aber Anwender sind von Kontakttechnologien wie Prox und iCLASS verwöhnt, die diese Aufgabe in Sekundenbruchteilen erledigen.

„Gelegentlich beschweren sich Benutzer, dass PKI-Türzugangskontrollen zu langsam reagieren“, sagt Coombs. „Dagegen gibt es mehrere Mittel: Die Widerrufs- bzw. OCSP-Statusreaktionen können lokal gespeichert werden und es ist auch möglich, jeden Morgen die am Vortag verwendeten Zugangsberechtigungen sozusagen im voraus neu zu validieren.“ Er glaubt, dass in den nächsten Jahren „immer mehr Unternehmen diesen Weg gehen werden, vor allem in den USA, wo viel in dieser Richtung passiert.“

Viele Länder entwickeln ihre eigenen PKI-Verfahren.

In Frankreich bekommen die Bürger jedes Jahr PKI-Zugangsberechtigungen für die Einkommenssteuererklärung und das französische RGS-Sicherheitsframework enthält Empfehlungen zum aktiven Schutz großer IT-Systeme mittels PKI. „Die Belgier machen mit ihrer eID-Karte ähnliches“, sagt Coombs. „eID ist eine PKI-Smartcard, mit der sich die Bürger online bei den Behörden authentifizieren.“

Die deutsche Regierung ist führend bei der Umsetzung der EU-Direktive für „qualifizierte Signaturzertifikate“, der einzigen digitalen Unterschrift, die in Europa rechtsverbindlich ist.

Die europäischen Vorhaben beschränken sich jedoch auf den Zugang zu IT-Systemen. Bei physischen Zugangssteuerungen steht PKI erst am Anfang. „Bislang haben sich nur wenige Unternehmen für PKI als Basis für physische Zugangssteuerungen entschieden, da die Verfahren noch neu und relativ komplex sind“, erklärt Graebel. „Aber sobald FIPS 201-2 umgesetzt wird und mehr Produkte am Markt verfügbar sind, dürfte sich das ändern.“

Comment

You must be logged in to post a comment.