Was ist eine PKI-Verschlüsselung/Verfahren?

Ein PKI-Verfahren (Public-Key-Infrastuktur) nutzt eine PKI-Verschlüsselung, um digitale Zertifikate für einen rechnergestützten Austausch bereitzustellen.
Nachrichten innerhalb eines Netzwerkes werden digital signiert und verschlüsselt. Möchte ein Sender eine verschlüsselte Nachricht versenden, benötigt er den Public Key. Das digitale Zertifikat bestätigt die Echtheit des Public Key. Auch der Empfänger benötigt zum Lesen der verschlüsselten Nachricht ein digitales Zertifikat. So entsteht eine Kette von Zertifikaten in einem Netzwerk, die auf den vorherigen Zertifikaten aufbauen.

Im Vergaberecht hat sich der Gesetzgeber mit der Zulassung der einfachen Signatur (Textform) für ein niedrigeres Sicherheitsniveau entschieden. Gleichwohl ist durch verschlüsselte und zeitschlossgesteuerte Aufbewahrung sichergestellt, dass die eingereichten Angebote und Teilnahmeanträge nicht vor Ablauf der jeweiligen Frist vom Auftraggeber oder Dritten eingesehen werden können.

In einer PKI (Public Key Infrastructure) können Instanzen wie Personen, Organisationen oder Computer Zertifikate bei einer Registrierungsstelle (Registration Authority, RA) beantragen. Diese überprüft die angegebenen Daten und genehmigt den Antrag, sofern die Informationen korrekt sind. Anschließend stellt die Zertifizierungsstelle (Certificate Authority, CA) das Zertifikat aus und signiert es.

Abhängig von der Sicherheitsstufe kann dieser Prozess automatisiert ablaufen oder eine manuelle Prüfung erfordern. Innerhalb einer CA-Domäne muss jede Instanz eindeutig identifizierbar sein. Eine Drittanbieter-Validierungsstelle (Validation Authority, VA) kann im Auftrag der Zertifizierungsstelle die erforderlichen Informationen zur Identitätsprüfung bereitstellen.

Die PKI-Verschlüsselung ist eine anerkannte Technik zur Sicherstellung der Integrität, Authentizität und Vertraulichkeit digitaler Dokumente. Im Vergaberecht wird sie insbesondere bei der elektronischen Angebotsabgabe eingesetzt, um Manipulationen zu verhindern und den rechtlich vorgeschriebenen Schutz vor unbefugtem Zugriff zu gewährleisten. Durch die Nutzung von digitalen Zertifikaten kann sowohl der Auftraggeber als auch der Bieter eindeutig identifiziert werden, was die Rechtsverbindlichkeit elektronischer Dokumente unterstützt.

Im Gegensatz zur einfachen oder fortgeschrittenen elektronischen Signatur bietet die PKI-Verschlüsselung ein höheres Sicherheitsniveau, da sie sowohl die Signatur als auch die Verschlüsselung der Inhalte ermöglicht. Während die fortgeschrittene Signatur lediglich die Echtheit der unterzeichnenden Person bestätigt, sorgt die PKI gleichzeitig dafür, dass der Inhalt nur vom vorgesehenen Empfänger gelesen werden kann. Damit grenzt sich die PKI klar von weniger sicheren Verfahren wie der Textform ab.

Für Auftraggeber erleichtert die PKI die sichere elektronische Kommunikation, da sie digitale Angebote in einer manipulationssicheren Umgebung empfangen können. Unternehmen profitieren durch die eindeutige Identifizierung und die Möglichkeit, ihre Angebote rechtsverbindlich und vertraulich zu übermitteln. In Kombination mit digitalen Vergabemanagement-Lösungen lassen sich Prozesse automatisieren: Angebote können verschlüsselt eingereicht, automatisch auf Vollständigkeit geprüft und erst zum vorgegebenen Fristende zugänglich gemacht werden. Dies erhöht sowohl die Effizienz als auch die Rechtssicherheit im Vergabeverfahren.

Eine PKI basiert auf einem asymmetrischen Verschlüsselungsverfahren: Jeder Teilnehmer besitzt ein Schlüsselpaar aus einem öffentlichen (Public Key) und einem privaten Schlüssel (Private Key). Der Public Key wird in einem digitalen Zertifikat veröffentlicht, während der Private Key geheim bleibt. Nachrichten oder Dokumente, die mit dem Public Key verschlüsselt wurden, können nur mit dem entsprechenden Private Key entschlüsselt werden. Dies ermöglicht nicht nur die sichere Übertragung von Daten, sondern auch die digitale Signatur von Dokumenten, wodurch Echtheit und Unverfälschtheit nachweisbar sind.