PKCS#11 (Public-Key Cryptographic Standard) ist der De-facto-Standard für die Programmierung von kryptografischen Tokens wie Smartcards, Hardware Security Modules (HSM) oder Trusted Platform Modules (TPM). Die ersten Veröffentlichungen dieses Standards durch RSA Security Inc. reichen bis ins Jahr 1994 zurück. Ziel dieser Standardisierung war und ist die Vereinheitlichung einer plattformunabhängigen Schnittstelle für die Programmierung kryptografischer Hardware. Dadurch soll erreicht werden, dass die Hersteller der jeweiligen Security-Hardware ein generisches, kryptografisches API zur Verfügung stellen, das ein produktübergreifendes Programmieren ermöglicht.
Der erste Teil dieses zweiteiligen Artikels gibt zunächst einen einführenden Abriss über aktuelle Standards und Technologien moderner kryptografischer Systeme. Basierend auf den vorgestellten kryptografischen Technologien wird die konkrete Realisierung einer Public Key Infrastructure (PKI) aufgezeigt. Daran anschließend werden die gebräuchlichsten kryptografischen Token und deren Eigenschaften beschrieben. Eine Einführung in die wichtigsten kryptografischen Algorithmen und Verfahren rundet diesen ersten Artikelteil ab.
Schutz digitaler Daten
Sensible Daten in digitaler Form müssen mit geeigneten Technologien vor unberechtigtem Zugriff und vorsätzlicher Manipulation geschützt werden. Aktuelle kryptografische Verfahren sind hier das Mittel der Wahl und gewinnen diesbezüglich immer mehr an Bedeutung. Jedoch reicht es nicht, Algorithmen mit erhöhten Schlüssellängen einzusetzen, um die Verschlüsselung oder das sichere Schlüsselmanagement zu optimieren. Vielmehr bieten die nachstehend detailliert beschriebenen kryptografischen Hardwarekomponenten im Vergleich zu ausschließlichen Softwarelösungen den weitaus höheren Gewinn an Sicherheit. Natürlich sind höhere Sicherheitsstands nicht zum Nulltarif zu bekommen. Es ist daher fallweise abzuwägen, inwieweit beispielsweise ein teures HSM einer preisgünstigen Smartcard vorzuziehen ist.
Teil 1: Kryptografische Grundlagen
Teil 2: Standards und Implementierungen
Primäranforderungen für sicherheitsrelevante Daten
Integrität: Die Korrektheit des Inhalts und der unmanipulierte Zustand einer Nachricht werden als Integrität bezeichnet. Realisieren lässt sich Integrität mithilfe einer digitalen Signatur, da diese direkt mit dem Inhalt der Nachricht verknüpft ist und somit etwaige Manipulationen sicher erkannt werden können.