Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

1.10    Certifikáty

Vraťme se ale zpět k „asymetrickým“ klíčům: když někdo získá náš veřejný klíč, a s jeho pomocí si ověří platnost nějakého našeho elektronického podpisu, jak si může být jist, že jde skutečně o náš podpis? Přesněji: jak si může být jist, že onen veřejný klíč, použitý k ověření podpisu, je skutečně náš? Co když ve skutečnosti patří někomu úplně jinému, kdo by tímto způsobem chtěl vydávat svůj podpis za náš?

Jistě, pokud jsme dotyčnému předali náš veřejný klíč sami, hezky „z ruky do ruky“, pak není co řešit. Ale mnohem častější je situace, kdy jsme svůj veřejný klíč vyvěsili na nějakém veřejném místě v online světě (na nějaké veřejné nástěnce). Nebo – a to je zcela běžná praxe – jsme svůj veřejný klíč přiložili přímo k podepsanému dokumentu. Jak se potom může příjemce spolehnout na to, že skutečně jde o náš veřejný klíč?

Řešení naštěstí není principiálně složité: stačí najít někoho třetího – nějakou dostatečně důvěryhodnou autoritu – která potvrdí, komu veřejný klíč patří. A aby to nemusela deklarovat pokaždé znovu, vystaví na to jakési opakovaně využitelné potvrzení, které také sama podepíše (opatří vlastním elektronickým podpisem, přesněji: značkou). Tomuto potvrzení se říká certifikát.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Představa certifikátu

Obrázek 1 - 8: Představa certifikátu

Certifikát je tedy potvrzením o tom, že konkrétní veřejný klíč (vložený do certifikátu jako jeho součást) patří té a té osobě (jejíž identita je popsána v certifikátu). Stvrzuje současně i to, že příslušná osoba je držitelem odpovídajícího soukromého klíče a má ho ve své (výlučné) moci.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad (osobního) certifikátu jak jej zobrazují programy v prostředí MS Windows

Obrázek 1 - 9: Příklad (osobního) certifikátu jak jej zobrazují programy v prostředí MS Windows

Certifikáty mohou být osobními certifikáty, tj. takovými, které mohou být vydávány jen fyzickým osobám[11]. Pro vytváření elektronických podpisů přitom připadají v úvahu pouze takovéto osobní certifikáty (ale ne všechny z nich).

Obvyklá formulace, že „elektronický podpis byl vytvořen pomocí certifikátu“, je proto striktně vzato nesmyslem (protože k vytvoření elektronického podpisu se používá soukromý klíč, který v certifikátu obsažen není).

V praxi je ale tato formulace používána zcela běžně jako určitá zkratka pro vyjádření toho, že „k vytvoření podpisu byl použit ten soukromý klíč, který je do páru s veřejným klíčem, obsaženým v příslušném certifikátu“.

Zákony a nejrůznější vyhlášky ke stejnému sdělení používají ještě jinou formulaci, když hovoří o „certifikátu, na kterém je elektronický podpis založen“. Striktní dodržování tohoto slovního obratu ale leckdy komplikuje popis jinak jednoduchých a prostých skutečností nad hranici jejich srozumitelnosti.

V této knize si pro snazší a intuitivnější vyjadřování občas dopřejeme luxusu v podobě používání méně nepřesné formulace, že „elektronický podpis byl vytvořen s využitím certifikátu“. Nebo, když bude řeč o konkrétním certifikátu, že jde o „certifikát, využitý k vytvoření elektronického podpisu“. Obdobně pro elektronické značky a razítka.

Existují ale i takové certifikáty, které mohou být vydávány jak fyzickým osobám, tak i osobám právnickým (včetně orgánů veřejné moci) či organizačním složkám státu. Jde o tzv. systémové certifikáty, které mohou být využívány jak pro vytváření elektronických značek (ve smyslu předchozího terminologického zjednodušení), tak i pro vytváření časových razítek, ale stejně tak i pro další účely, jako je identifikace serverů, šifrování komunikace se servery (například v rámci SSL relací) apod.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad systémového certifikátu, který byl vystaven Ministerstvu vnitra, pro Informační systém datových schránek (ISDS), provozovaný na adrese mojedatovaschranka.cz

Obrázek 1 - 10: Příklad systémového certifikátu, který byl vystaven Ministerstvu vnitra, pro Informační systém datových schránek (ISDS), provozovaný na adrese mojedatovaschranka.cz


[11] Naše certifikační autority je ale většinou neoznačují přívlastkem „osobní“. Místo toho hovoří o certifikátech „pro osobní použití“, nebo jen o certifikátech (bez přívlastku). Vydány ale mohou být jen fyzické osobě. 



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61