Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

3.5.2         Jak se hledá certifikační cesta?

Hledání konkrétních certifikačních cest a ověřování platnosti certifikátů na této cestě je samozřejmě úkolem pro programy, které pracují s elektronickými podpisy, značkami a razítky. Probíhá obvykle automaticky, bez přímého zapojení „lidského“ uživatele. Přesto je ale vhodné přinejmenším vědět, podle jakých pravidel toto hledání probíhá.

Až si budeme v páté kapitole (v části 5.3) podrobněji popisovat vnitřní strukturu dnes používaných certifikátů, zjistíme, že obsahují různé konkrétní položky, podle kterých by hledání certifikačních cest mohlo probíhat. Vodítkem by mohlo být jméno certifikační autority. To bychom měli najít jak na „podřízeném“ certifikátu, tak i na „nadřazeném“ certifikátu. Pochopitelně ale v jiných položkách:

·         u „podřízeného“ certifikátu v položce Vystavitel (anglicky Issuer): zde identifikuje tu certifikační autoritu, která certifikát vydala

·         u „nadřízeného“ certifikátu v položce Subjekt či Předmět (anglicky Subject): zde identifikuje toho, komu certifikát patří, resp. komu byl vystaven. Tedy konkrétní certifikační autoritu.

Příklad „spárování“ dvou konkrétních certifikátů podle jména certifikační autority ukazuje obrázek.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Shoda mezi obsahem položek "Vystavitel" (Issuer) a
"Subjekt" (Subject)

Obrázek 3 - 14: Shoda mezi obsahem položek "Vystavitel" (Issuer) a "Subjekt" (Subject)

Takovéto „párování“ (podle jména certifikační autority) se ale v praxi hodí jen pro prokázání opačného případu: když se hodnoty příslušných položek neshodují, můžeme z toho odvodit, že příslušné certifikáty „neleží vedle sebe“ na stejné certifikační cestě.

Důležité ale je, že opačně to neplatí: obsah obou položek se může shodovat i v případě, kdy nejde o „nadřazený“ a „podřízený“ certifikát. Jedna a tatáž certifikační autorita totiž může podepisovat vydávané (vystavované) certifikáty pomocí různých soukromých klíčů, resp. jejich podpisy mohou být založeny na různých kořenových certifikátech dané certifikační autority. To se ale při „párování“ jen podle jména certifikační autority nezohlední.

Pro pozitivní ověření vzájemné vazby mezi dvěma certifikáty je proto musíme „spárovat“ podle soukromého klíče, použitého k podepsání „podřízeného“ certifikátu při jeho vystavování.

Tento klíč samozřejmě není v žádném z obou certifikátů obsažen, ale najít zde můžeme alespoň jeho jednoznačný identifikátor, který je určitým způsobem odvozen z otisku soukromého klíče. Tento identifikátor bývá obsažen:

·         u „podřízeného“ certifikátu v položce Identifikátor klíče autority (Authority Key Identifier)

·         u „nadřízeného“ certifikátu v položce Identifikátor klíče předmětu (Subject Key Identifier)

Příklad „spárování“ dvou konkrétních certifikátů podle identifikátoru klíče vidíte na obrázku.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Párování certifikátů podle použitého klíče

Obrázek 3 - 15: Párování certifikátů podle použitého klíče

(Horní) konec certifikační cesty, který odpovídá kořenovému certifikátu, pak poznáme podle toho, že jde o certifikát s vlastním podpisem. Ten jediný nemusí obsahovat obě popisované položky s identifikátory klíče – ale pokud je obsahuje, shodují se.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Příklad kořenového certifikátu (certifikátu s vlastním podpisem)

Obrázek 3 - 16: Příklad kořenového certifikátu (certifikátu s vlastním podpisem)© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61