Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

1.12    PKI, aneb infrastruktura veřejného klíče

Snad nejvýznamnějším atributem každého certifikátu je jeho důvěryhodnost. Tedy otázka toho, jak dalece můžeme věřit tomu, co je v certifikátu obsaženo a uvedeno.

Připomeňme si, že v certifikátu je obsažen veřejný klíč a je zde uvedena i identita osoby, které tento veřejný klíč patří. Tato osoba také má ve svém držení odpovídající soukromý klíč.

Na otázku důvěryhodnosti konkrétních certifikátů přitom budeme narážet zcela rutinně: kdykoli budeme ověřovat platnost nějakého elektronického podpisu (či značky nebo razítka), budeme k tomu potřebovat údaje, obsažené v certifikátu.

Certifikát nejčastěji získáme spolu s tím, co je podepsáno (spolu s podepsaným dokumentem). A pokud snad ne, musíme si ho odněkud stáhnout sami. Nicméně v obou případech budeme potřebovat vědět, zda je certifikát důvěryhodný a zda se můžeme na jeho obsah spoléhat.

Důvěryhodnost každého certifikátu samozřejmě můžeme posuzovat individuálně, pro každý jednotlivý certifikát, a to na základě takových informací, jaké máme k dispozici. Třeba pokud nám někdo, koho dobře známe a v koho máme důvěru, sám předá konkrétní certifikát a prohlásí ho za svůj vlastní, asi můžeme tento certifikát zařadit mezi ty, kterým budeme důvěřovat. Pak nám může být celkem jedno, kdo certifikát vydal. Mohl to být třeba sám dotyčný, skrze nějakou vlastní – „na koleně“ provozovanou – certifikační autoritu.

V praxi bychom ale touto cestou daleko nedošli. Těžko bychom se totiž dokázali osobně (a dopředu) setkat se všemi osobami, se kterými budeme chtít nějak elektronicky komunikovat, či od nich jen přijímat elektronicky podepsané dokumenty. Navíc by nám to nejspíš nebylo k ničemu, protože bychom tyto osoby tak jako tak nejspíše neznali, a tak bychom ani nemohli důvěřovat těm certifikátům, které by nám předali.

Potřebovali bychom nějakého důvěryhodného prostředníka, který by nám certifikáty různých osob předával a sám se zaručil za autenticitu (pravost) těchto certifikátů. A tím i za identitu osob, kterým byly certifikáty vydány. Z předchozího už jistě tušíte, že takovýmto prostředníkem by měla být sama certifikační autorita, která certifikát vydala.

U certifikátů a certifikačních autorit navíc platí něco, co bychom mohli označit jako „delegaci důvěry“: když budu důvěřovat nějaké konkrétní certifikační autoritě, mohu důvěřovat i všem certifikátům, které tato certifikační autorita vydala. Což je jinými slovy totéž jako tvrzení, že důvěryhodnost konkrétního certifikátu odvozuji od důvěryhodnosti jeho vydavatele. Nicméně první z obou pohledů je vhodnější pro pochopení jednoho velmi praktického aspektu: stačí nám jeden úkon - a to vyjádření důvěry certifikační autoritě -  abychom tím vyjádřili důvěru všem certifikátům, které tato certifikační autorita vydala (a již jim nemuseli vyjadřovat důvěru individuálně).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Představa
vyjádření důvěry všem certifikátům, které vydala konkrétní certifikační autorita

Obrázek 1 - 19: Představa vyjádření důvěry všem certifikátům, které vydala konkrétní certifikační autorita

V praxi by ale nebylo příliš praktické vyjadřovat svou důvěru konkrétní certifikační autoritě „jako takové“. Nebylo by ani moc jasné, jak to vlastně udělat (po technické stránce). Naštěstí i zde existuje řešení, založené na tom, že i sama certifikační autorita používá k vydávání certifikátů nějaký vlastní certifikát. Musí, protože každý vydaný certifikát podepisuje svým vlastním elektronickým podpisem (přesněji opatřuje svou elektronickou značkou). K vyjádření důvěry certifikační autoritě pak stačí vyjádřit důvěru tomu jejímu certifikátu, který k tomu používá. Představu ukazuje následující obrázek.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Představa vyjádření důvěry certifikátu certifikační autority

Obrázek 1 - 20: Představa vyjádření důvěry certifikátu certifikační autority

Na celém systému vyjadřování důvěry je zajímavé a důležité také to, že ji lze „dále řetězit“: když někomu vyjádřím důvěru, a ten někdo pak sám vyjádří důvěru někomu dalšímu, mohu i já důvěřovat „tomu dalšímu“. V terminologii certifikačních autorit to znamená, že když považuji za důvěryhodnou jednu certifikační autoritu, a ta prohlásí za důvěryhodnou jednu či více dalších autorit (tj.: zaručí se za jejich důvěryhodnost), pak i já mohu považovat za důvěryhodné tyto další autority.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Představa stromu důvěry

Obrázek 1 - 21: Představa stromu důvěry

Vše se tedy dá zobecnit, do celého stromu důvěry: v jeho kořeni je jeden certifikát (tzv. kořenový certifikát), který odpovídá jedné (typicky: kořenové) certifikační autoritě. Od něj se odvíjí důvěra v další certifikáty (všechny vnitřní uzly stromu, tj. „podřízené“ certifikační autority, resp. jejich certifikáty) i všechny koncové uzly (certifikáty koncových uživatelů). Pokud pak někdo vyjádří svou důvěru příslušnému kořenovému certifikátu, fakticky tím vyjadřuje svou důvěru rovnou celému stromu.

Vše přitom sleduje jeden hlavní cíl, kterým je zjednodušit vyjadřování důvěry: uživatelé dostávají jeden „pevný bod“, v podobě kořenového certifikátu – a skrze něj mohou „fixovat“ svou důvěru v celý strom certifikátů (vyjádřením důvěry kořeni stromu, viz výše).

Představme si to na již zmiňovaném příkladu certifikačních autorit PostSignum: pokud budeme důvěřovat jejich kořenové certifikační autoritě (PostSignum Root QCA), budeme důvěřovat i všem jejím podřízeným certifikačním autoritám: kvalifikované (PostSignum QCA), komerční (PostSignum VCA), i autoritě časového razítka (PostSignum TSA).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Představa vyjadřování důvěry v CA PostSignum

Obrázek 1 - 22: Představa vyjadřování důvěry v CA PostSignum

Jelikož ale PostSignum má od roku 2010 dvě různé kořenové certifikační autority (PostSignum Root QCA a PostSignum Root QCA 2), a ty nejsou  zastřešeny žádnou společnou „nadřazenou“ autoritou, je nutné vyjadřovat jim důvěru samostatně, každé zvlášť.

V praxi, kdy máme více různých certifikačních autorit, jde typicky o více stromů důvěry a tomu odpovídající počet kořenových certifikátů. Dohromady se pak hovoří o celé infrastruktuře veřejného klíče (anglicky PKI, Public Key Infrastructure), neboť jejím účelem je zajistit dostatečně důvěryhodný systém distribuce veřejných klíčů (obsažených v certifikátech).



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61