Certifikační autorita

Z Wikipedie, otevřené encyklopedie

Skočit na: Navigace, Hledání
Faktická přesnost tohoto článku je zpochybněna. Relevantní diskuse je na diskusní stránce.
Informace pro vkladatele šablony: Vložte prosím na diskusní stránku zdůvodnění vložení šablony.


Certifikační autorita (zkratka CA) je v asymetrické kryptografii subjekt, který vydává digitální certifikáty (elektronicky podepsané veřejné šifrovací klíče) a usnadňují tím využívání PKI (Public Key Infrastructure), protože potvrzují pravdivost údajů, které jsou ve volně dostupném veřejném klíči uvedeny. Na základě principu přenosu důvěry (viz níže) tak lze za předpokladu (ověřené) důvěryhodnosti certifikační autority předpokládat i důvěryhodnost jimi vydaného certifikátu (o jehož majiteli jinak nic bližšího nevíme).

Na Internetu působí mnoho komerčních certifikačních autorit, které obvykle mají své veřejné klíče umístěny přímo ve webových prohlížečích a dalších programech, čímž mohou uživateli zjednodušit rozhodování o míře důvěry webových serverů, ke kterým se připojuje (ale též digitálně podepsaných e-mailů i jiných dat). Existují též bezplatné certifikační autority nebo takové, které se řídí zákony daného státu, vnitřními předpisy organizace a podobně.

Obsah

[editovat] Činnost certifikační autority

Certifikační autorita vydává digitální certifikáty, což jsou elektronicky podepsané veřejné šifrovací klíče. Elektronický podpis potvrzuje správnost údajů, které jsou při jeho vytvoření k veřejnému klíči přiloženy.

Podrobnější informace naleznete v článku Digitální certifikát.

Majitel veřejného klíče musí proto při žádosti o vydání digitálního certifikátu důvěryhodným způsobem certifikační autoritu přesvědčit, že jím poskytnuté údaje odpovídají skutečnosti. Může tak například učinit:

Pro certifikační autoritu je nejdůležitější důvěra, kterou vůči svému okolí vzbuzuje. Proto o svoji důvěryhodnost musí adekvátním způsobem pečovat, aby obě komunikující strany mohly využít principu přenosu důvěry (viz níže). Důvěryhodnost certifikační autority je odrazem jejích webových stránek, použitého mechanismu ověření údajů, které žadatel o digitální certifikát předkládá a dalších znaků (články v tisku a a elektronických médiích a podobně). Cena vydaného certifikátu (resp. oblíbenosti certifikační autority) pak obvykle odpovídá této těžko definovatelné míře důvěry.

[editovat] Princip přenosu důvěry

Princip přenosu důvěry je založen na důvěře k certifikační autoritě. Kde na základě důvěry k CA důvěřujeme i jejch certifikátům. Analogie: Na internetu je spousta zpravodajských portálů (certifikačních autorit), které vydávají články (certifikáty). Ale ne všem portálům se dá věřit, tudíž jejich články nejsou důvěryhodné. Musíme tedy číst zprávy z těch portálů, kterým důvěřujeme. Důvěřujeme-li konkrétnímu zpravodajskému portálu (certifikační autoritě), důvěřujeme tedy i jejich zprávám (certifikátům).

Certifikáty jsou podepisovány soukromým klíčem certifikační autority. Tento podpis je přiložen k certifikátu. Abychom mohly ověřit platnost podpisu, musíme nejdřív nainstalovat certifikát certifikační autority, ten je ke stáhnutí na stránkách vydavatele certifikátu. Před instalací certifikátu je dobré si certifikační autoritu prověřit a rozhodnout, zda ji považujeme za důvěryhodnou, protože přidáním certifikační autority mezí důvěryhodné, zajistíme, že všechny certifikáty této certifikační autority budou považovány automaticky za důvěryhodné. Abychom mohli důvěřovat certifikátům certifikační autority (a zároveň tak jejich soukromým klíčům), jsou tyto certifikáty CA podepisovány svým vlastním soukromým klíčem (takzvaným kořenovým, který je také certifikován) nebo jinou zpravidla vyšší certifikační autoritou. Ověření autenticity pomocí vyšší certifikační autority se používá např. při podepisování certifikátu státním úřadem. Často se taky používá kombinovaný způsob. Certifikační autorita podepisuje pro různé druhy certifikátů různými druhy klíčů, který pak podepíše kořenovým certifikátem.

[editovat] Kvalifikovaná certifikační autorita

Kvalifikovaná certifikační autorita[1] je rámci České republiky definována Zákonem o elektronickém podpisu (zákon č. 227/2000 Sb.), jehož ustanovení musí splňovat. Vydává kvalifikované certifikáty, což jsou standardní digitální certifikáty, které však jsou uznávány v rámci komunikace se státními institucemi České republiky. Kvalifikovaný certifikát je ze zákona akceptován stejně jako občanský průkaz, avšak možnost využití kvalifikovaného certifikátu je omezena na vyjmenované případy (státní instituce musí být připraveny a jejich zaměstnanci příslušně proškoleni).

TODO: seznam případů (s referencí), kde je možné kvalifikovaný certifikát využít

Tato část článku je příliš stručná nebo neobsahuje všechny důležité informace. Pomozte Wikipedii tím, že ji vhodně rozšíříte.

Kvalifikované certifikační autority stojí v současné době mimo klasické celosvětově působící certifikační autority a zákon ani jiný stav nepředpokládá. Před ověřením kvalifikovaného certifikátu si proto uživatel musí do příslušného programu sám nainstalovat certifikát příslušné kvalifikované certifikační autority (a sám ověřit jeho důvěryhodnost), což je v současné době pravděpodobně nejslabší místo kvalifikovaného certifikátu, protože jeho důležitost kvalifikované certifikační autority nezdůrazňují a své certifikáty mají jednoduše vystaveny na svých webových stránkách.[zdroj?]

[editovat] Self-signed certifikát

Self-signed certifikát je digitální certifikát, který podepsal sám majitel veřejného klíče (obvykle ihned po jeho vygenerování). Majitel veřejného klíče se tak stává certifikační autoritou, jejíž působnost je omezena jen a právě na daný veřejný klíč. Self-signed certifikát slouží obvykle pro omezenou působnost (v rámci určitého okruhu lidí, organizace a podobně), protože není možné využít princip přenosu důvěry. Důvěryhodnost self-signed certifikátu proto musí být ověřena jiným způsobem, avšak taková jednou ověřená certifikační autorita může být uživatelem využita pro přenos důvěry na další certifikáty (které podepsala). Self-signed certifikát slouží k bezpečné komunikaci webového prohlížeče se serverem, aniž by bylo nutné do systému ověření veřejného klíče protistrany zavést výjimku v případě, že se skutečnou certifikační autoritou pracovat nechceme (například při testování, omezeném využití a podobně).

Podrobnější informace naleznete v článcích Digitální certifikát a Self-signed certifikát.

[editovat] Zneplatněné certifikáty

Certifikát je má určitou dobu platnosti, a proto je mezi držitelem certifikátu a certifikační autoritou uzavřena smlouva, ve které se držitel zavazuje, že poskytuje pravdivé informace. O případných změnách je nutno certifikační autoritu informovat.

Majitel certifikátu musí chránit privátní šifrovací klíč, který odpovídá vydanému certifikátu (resp. v něm obsaženém veřejném šifrovacím klíči). V případě ohrožení privátního klíče musí majitel certifikátu požádat certifikační autoritu o zneplatnění certifikátu, čímž je omezena možnost jeho zneužití. K zneplatnění certifikátů tak dochází především ze dvou důvodů:

  1. při změně uvedených údajů
  2. při ohrožení soukromého klíče (zcizení klíče, prozrazení heslové fráze)

Seznamu zneplatněných certifikátů (CRL), u kterých byla předčasně ukončená platnost, je obvykle zpřístupněn na stránkách příslušné certifikační autority.

[editovat] Reference

  1. http://www.mvcr.cz/clanek/prehled-kvalifikovanych-poskytovatelu-certifikacnich-sluzeb-a-jejich-kvalifikovanych-sluzeb.aspx Přehled kvalifikovaných poskytovatelů certifikačních služeb a jejich kvalifikovaných služeb - Ministerstvo vnitra České republiky

[editovat] Související články

[editovat] Externí odkazy

Citováno z „http://cs.wikipedia.org/wiki/Certifika%C4%8Dn%C3%AD_autorita