Das PEM-Format (Privacy-Enhanced Mail) ist ein etabliertes textbasiertes Kodierungsformat für kryptografische Objekte, wie sie in Zertifikaten und Schlüsseln verwendet werden. Es zeichnet sich durch seine plattformübergreifende Lesbarkeit und seine Eignung für die Übertragung in textbasierten Medien – etwa E-Mail – aus.
Das Format folgt einer klaren Struktur mit einer Kopfzeile, der eigentlichen Nutzlast im Base64-Format sowie einer Abschlusszeile.
Die Kopfzeile beginnt stets mit
– – – – – BEGIN LABEL – – – – –
und die Fußzeile endet mit
– – – – – END [LABEL] – – – – –
Die Nutzlast dazwischen besteht aus den Base64-kodierten Binärdaten, in Zeilen fester Länge (üblicherweise 64 Zeichen).
Für die verschiedenen kryptografischen Objekte sind unterschiedliche Labels vorgesehen. Dazu gehören unter anderem:
– CERTIFICATE für X.509-Zertifikate,
– PRIVATE KEY für unverschlüsselte private Schlüssel,
– ENCRYPTED PRIVATE KEY für kennwortgeschützte, verschlüsselte Schlüssel,
– PUBLIC KEY für öffentliche Schlüssel,
– CERTIFICATE REQUEST für Zertifikatsanforderungen (CSRs),
– X509 CRL für Sperrlisten (Certificate Revocation Lists).
Das PEM-Format unterstützt auch die Einbettung mehrerer Objekte innerhalb einer Datei – dies ist besonders bei Zertifikatsketten üblich. Parser sind angehalten, Whitespace und Zeilenenden flexibel zu behandeln, sodass das Format robust gegenüber verschiedenen Textverarbeitungen bleibt.
Technisch ist das Format so gestaltet, dass beliebige kryptografische Binärdaten zunächst nach der Distinguished Encoding Rules (DER) serialisiert, anschließend Base64-kodiert und schließlich in die strukturierte PEM-Hülle integriert werden.
Im Kontext moderner Kryptografie sind besonders PKCS #8 für algorithmusunabhängige private Schlüssel sowie PKCS #1 für RSA-spezifische Schlüssel von Bedeutung. Während bei PKCS #1 explizit RSA-Schlüssel im Fokus stehen, erlaubt PKCS #8 die sichere Speicherung und optionale Verschlüsselung beliebiger privater Schlüssel, sodass diese sicher transportiert oder archiviert werden können.
Das PEM-Format ist heute unverzichtbarer Standard u. a. für SSL/TLS-Zertifikate im Web, für SSH-Schlüssel im Entwicklungsumfeld, bei DevOps- und CI/CD-Prozessen sowie bei der Verschlüsselung sensibler Daten in modernen IT-Infrastrukturen. Seine weite Verbreitung begründet sich in seiner Einfachheit, der guten Lesbarkeit und der robusten Standardisierung.
Download pem-format.pdf.