Certifikační autorita
Z MiS
Obsah |
Certifikační autorita
- Organizace (třetí strana), které důvěřují odesilatel i příjemce zprávy.
- Ověřuje pravost veřejného klíče odesilatele (platnost certifikátu elektronického podpisu).
- Vystavuje certifikáty elektronického podpisu.
Úkoly certifikační autority
- Ověřit identitu žadatele o vystavení certifikátu.
- Uložit veřejný klíč žadatele (vlastníka certifikátu) pro budoucí ověření.
- Při dotazu potvrdit správnost veřejného klíče či upozornit na jeho nesprávnost.
- Dotaz může vznést kdokoli.
- Na žádost vlastníka certifikátu provést revokaci certifikátu.
Revokace certifikátu
- Zneplatnění certifikátu.
- Například v okamžiku, kdy se obáváme, že někdo neoprávněně získal náš soukromý klíč.
- Ohlásíme certifikační autoritě požadavek na zneplatnění certifikátu.
- Certifikační autorita bude od tohoto okamžiku při dotazu na platnost certifikátu sdělovat, že byl revokován.
- Platnost podpisu na dokumentech podepsaných tímto certifikátem již nelze ověřit — podpis se stává neplatným.
Jak bezpečně komunikovat s certifikační autoritou
- Certifikační autorita tedy umožní ověření pravosti veřejného klíče osoby, se kterou komunikujeme.
- Jak ale ověřit, že zpráva od certifikační autority je pravá??? (Pokud útočník mohl upravit zprávu od našeho partnera, mohl upravit i odpověď certifikační autority!)
- Odpověď certifikační autority tedy musí být opět elektronicky podepsaná. Jak ale ověřit pravost veřejného klíče certifikační autority???
Kde získáme certifikáty (veřejné klíče) certifikačních autorit?
- Klíče vybraných certifikačních autorit máme již v počítači:
- V úložišti certifikátů Windows jako součást instalačních souborů Windows (aktualizuje se v rámci aktualizací operačního systému).
- V úložišti certifikátů jednotlivých aplikací. Aplikace může mít vlastní úložiště certifikátů (například prohlížeč Chrome či mailový klient Thunderbird), nebo využívat úložiště certifikátů operačního systému
- Další si můžeme sami stáhnout a nainstalovat.
POZOR!!! Jakmile certifikát certifikační autority umístíme do svého úložiště, bude náš počítač důvěřovat všem certifikátům vystaveným touto certifikační autoritou!!!
Co když certifikát v úložišti nemáme?
- Certifikačních autorit je na světě velké množství a nelze mít v počítači certifikáty všech autorit.
- Proto si menší certifikační autority nechávají certifikáty podepsat těmi většími.
- Funguje tedy něco, co se označuje jako „síť důvěry“.
- V angličtině používáme zkratku PKI (Public Key Infrastructure).
Postup při ověřování cerfitikátu
- Váš počítač tedy při ověřování certifikátu odesilatele osloví certifikační autoritu, která certifikát vystavila.
- Poté ale musí ověřit certifikát této certifikační autority (pokud jej nemá v úložišti důvěryhodných certifikačních autorit).
- Takto může při ověřování provést několik kroků tak dlouho, až buď:
- Dojde k certifikační autoritě, kterou považuje za důvěryhodnou → poté podpis prohlásí za platný,
- nebo narazí na certifikát, který důvěryhodný není, nebo je podepsán svým vystavitelem (self-signed) → poté zobrazí upozornění, že certifikát není důvěryhodný.
Z výše uvedeného vyplývá, že různé aplikace mohou vyhodnotit elektronický podpis dokumentu odlišně → některá aplikace může podpis potvrdit, jiná ho může odmítnout.
To se v praxi opravdu stává: například jeden prohlížeč webovou stránku zobrazí korektně jako zabezpečnou, druhý prohlížeč zobrazí varování, že stránka není důvěryhodná.
Vždy je na uživateli, aby posoudil reálná rizika a rozhodl se, zda stránce důvěřovat.
