Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

3.5.1         Certifikační cesta

Pokud vám předchozí odstavec připomněl jakýsi bludný kruh, pak je to zcela správně: snaha ověřit platnost podpisu na výchozím dokumentu nás přinutila ze všeho nejdříve prozkoumat jiný podpis (značku). A ještě předtím musíme prozkoumat jiný podpis (značku) atd.

Asi již tušíte, že při takovémto postupu se budeme pohybovat „zdola nahoru“ po takové posloupnosti (hierarchicky uspořádaných) certifikátů, kterou jsme si už jednou (v části 1.15) označili jako certifikační cestu, viz obrázek.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Představa certifikační cesty

Obrázek 3 - 12: Představa certifikační cesty

Obrázek naznačuje i opatření, díky kterému není tato certifikační cesta nekonečná: končí u takového certifikátu, který je podepsán sám sebou (resp. je certifikátem s vlastním podpisem, v angličtině self-signed), a tudíž již nemá “nad sebou“ žádný nadřazený certifikát.

Certifikát „podepsaný sám sebou“ je podepsaný pomocí soukromého klíče, ke kterému je sám vystaven – a obsahuje tedy ten veřejný klíč, který je s tímto soukromým klíčem do páru. Řečeno jinými slovy: k ověření platnosti elektronické značky na tomto certifikátu se použije veřejný klíč, obsažený přímo v tomto certifikátu. 

Připomeňme si také, že certifikační cesta úzce souvisí se stromy důvěry, které jsme si popisovali již v první kapitole: certifikační cesta je vlastně jedním možným průchodem takovýmto stromem či lesem, a to směrem „zdola nahoru“ až k některému z kořenů stromu. Přitom každý kořen (kořenový certifikát) musí být již z principu „podepsaný sám sebou“, aby neměl již žádný nadřazený certifikát.

Pro náš účel je přitom důležité to, aby se ze zkoumaného certifikátu (na kterém je založen podpis na našem dokumentu) dalo „vystoupat“ po nějaké certifikační cestě až k některému z kořenových certifikátů (které jsou nutně certifikáty „s vlastním podpisem“).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Představa hledání certifikační cesty

Obrázek 3 - 13: Představa hledání certifikační cesty

Nyní si již můžeme jednoduchým způsobem zformulovat požadavek, který se týká ověřování platnosti toho podpisu, který nás primárně zajímá: nejprve musíme ověřit platnost celé certifikační cesty od tohoto certifikátu. Tedy ověřit platnost elektronických značek na všech nadřazených certifikátech, ležících na této cestě. Samozřejmě včetně toho, zda tyto certifikáty nebyly revokovány, zda stále trvá jejich řádná platnost a zda nebyla porušena jejich integrita.© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61