Certifikační autorita
Z MiS
(Rozdíly mezi verzemi)
(Doplnění postupu při ověřování a ověřování komunikace s certifikační autoritou.) |
(Dodána zkratka PKI.) |
||
Řádka 28: | Řádka 28: | ||
* Odpověď certifikační autority tedy musí být opět elektronicky podepsaná. Jak ale ověřit pravost veřejného klíče certifikační autority??? | * Odpověď certifikační autority tedy musí být opět elektronicky podepsaná. Jak ale ověřit pravost veřejného klíče certifikační autority??? | ||
− | + | == Kde získáme certifikáty (veřejné klíče) certifikačních autorit? == | |
− | * Klíče vybraných certifikačních autorit máme již v počítači | + | * Klíče vybraných certifikačních autorit máme již v počítači: |
− | * V úložišti certifikátů Windows jako součást instalačních souborů Windows (aktualizuje se v rámci aktualizací operačního systému). | + | ** V úložišti certifikátů Windows jako součást instalačních souborů Windows (aktualizuje se v rámci aktualizací operačního systému). |
− | * V úložišti certifikátů jednotlivých aplikací. Aplikace může mít vlastní úložiště certifikátů (například prohlížeč Chrome či mailový klient Thunderbird), nebo využívat úložiště certifikátů operačního systému | + | ** V úložišti certifikátů jednotlivých aplikací. Aplikace může mít vlastní úložiště certifikátů (například prohlížeč Chrome či mailový klient Thunderbird), nebo využívat úložiště certifikátů operačního systému |
* Další si můžeme sami stáhnout a nainstalovat. | * Další si můžeme sami stáhnout a nainstalovat. | ||
<div class="Varovani"> | <div class="Varovani"> | ||
Řádka 37: | Řádka 37: | ||
</div> | </div> | ||
− | + | == Co když certifikát v úložišti nemáme? == | |
* Certifikačních autorit je na světě velké množství a nelze mít v počítači certifikáty všech autorit. | * Certifikačních autorit je na světě velké množství a nelze mít v počítači certifikáty všech autorit. | ||
* Proto si menší certifikační autority nechávají certifikáty podepsat těmi většími. | * Proto si menší certifikační autority nechávají certifikáty podepsat těmi většími. | ||
* Funguje tedy něco, co se označuje jako „síť důvěry“. | * Funguje tedy něco, co se označuje jako „síť důvěry“. | ||
+ | * V angličtině používáme zkratku PKI (Public Key Infrastructure). | ||
− | + | == Postup při ověřování cerfitikátu == | |
* Váš počítač tedy při ověřování certifikátu odesilatele osloví certifikační autoritu, která certifikát vystavila. | * Váš počítač tedy při ověřování certifikátu odesilatele osloví certifikační autoritu, která certifikát vystavila. | ||
* Poté ale musí ověřit certifikát této certifikační autority (pokud jej nemá v úložišti důvěryhodných certifikačních autorit). | * Poté ale musí ověřit certifikát této certifikační autority (pokud jej nemá v úložišti důvěryhodných certifikačních autorit). |
Aktuální verze z 25. 3. 2021, 09:07
Obsah |
Certifikační autorita
- Organizace (třetí strana), které důvěřují odesilatel i příjemce zprávy.
- Ověřuje pravost veřejného klíče odesilatele (platnost certifikátu elektronického podpisu).
- Vystavuje certifikáty elektronického podpisu.
Úkoly certifikační autority
- Ověřit identitu žadatele o vystavení certifikátu.
- Uložit veřejný klíč žadatele (vlastníka certifikátu) pro budoucí ověření.
- Při dotazu potvrdit správnost veřejného klíče či upozornit na jeho nesprávnost.
- Dotaz může vznést kdokoli.
- Na žádost vlastníka certifikátu provést revokaci certifikátu.
Revokace certifikátu
- Zneplatnění certifikátu.
- Například v okamžiku, kdy se obáváme, že někdo neoprávněně získal náš soukromý klíč.
- Ohlásíme certifikační autoritě požadavek na zneplatnění certifikátu.
- Certifikační autorita bude od tohoto okamžiku při dotazu na platnost certifikátu sdělovat, že byl revokován.
- Platnost podpisu na dokumentech podepsaných tímto certifikátem již nelze ověřit — podpis se stává neplatným.
Jak bezpečně komunikovat s certifikační autoritou
- Certifikační autorita tedy umožní ověření pravosti veřejného klíče osoby, se kterou komunikujeme.
- Jak ale ověřit, že zpráva od certifikační autority je pravá??? (Pokud útočník mohl upravit zprávu od našeho partnera, mohl upravit i odpověď certifikační autority!)
- Odpověď certifikační autority tedy musí být opět elektronicky podepsaná. Jak ale ověřit pravost veřejného klíče certifikační autority???
Kde získáme certifikáty (veřejné klíče) certifikačních autorit?
- Klíče vybraných certifikačních autorit máme již v počítači:
- V úložišti certifikátů Windows jako součást instalačních souborů Windows (aktualizuje se v rámci aktualizací operačního systému).
- V úložišti certifikátů jednotlivých aplikací. Aplikace může mít vlastní úložiště certifikátů (například prohlížeč Chrome či mailový klient Thunderbird), nebo využívat úložiště certifikátů operačního systému
- Další si můžeme sami stáhnout a nainstalovat.
POZOR!!! Jakmile certifikát certifikační autority umístíme do svého úložiště, bude náš počítač důvěřovat všem certifikátům vystaveným touto certifikační autoritou!!!
Co když certifikát v úložišti nemáme?
- Certifikačních autorit je na světě velké množství a nelze mít v počítači certifikáty všech autorit.
- Proto si menší certifikační autority nechávají certifikáty podepsat těmi většími.
- Funguje tedy něco, co se označuje jako „síť důvěry“.
- V angličtině používáme zkratku PKI (Public Key Infrastructure).
Postup při ověřování cerfitikátu
- Váš počítač tedy při ověřování certifikátu odesilatele osloví certifikační autoritu, která certifikát vystavila.
- Poté ale musí ověřit certifikát této certifikační autority (pokud jej nemá v úložišti důvěryhodných certifikačních autorit).
- Takto může při ověřování provést několik kroků tak dlouho, až buď:
- Dojde k certifikační autoritě, kterou považuje za důvěryhodnou → poté podpis prohlásí za platný,
- nebo narazí na certifikát, který důvěryhodný není, nebo je podepsán svým vystavitelem (self-signed) → poté zobrazí upozornění, že certifikát není důvěryhodný.
Z výše uvedeného vyplývá, že různé aplikace mohou vyhodnotit elektronický podpis dokumentu odlišně → některá aplikace může podpis potvrdit, jiná ho může odmítnout.
To se v praxi opravdu stává: například jeden prohlížeč webovou stránku zobrazí korektně jako zabezpečnou, druhý prohlížeč zobrazí varování, že stránka není důvěryhodná.
Vždy je na uživateli, aby posoudil reálná rizika a rozhodl se, zda stránce důvěřovat.