Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.3.1.1         DN: Distinguished Name

Obě posledně jmenované položky (Issuer a Subject, pro vydavatele a držitele certifikátu) tedy identifikují určitý subjekt, ať již v roli vydavatele certifikátu (Issuer) či v roli jeho držitele (Subject).

Jméno příslušného subjektu, které je v jedné či druhé položce uvedeno, se vyjadřuje pomocí řetězce  Distinguished Name (zkratkou DN). Tento řetězec, se kterým jsme se seznámili již v části 4.9.1, je tvořen několika dílčími složkami, z nichž každá je uvozena jedno či dvoupísmennou zkratkou, která určuje význam celé složky. Zde je několik nejčastěji používaných složek:

·         CN (Common Name) : jméno držitele, resp. certifikační autority (jako vydavatele)

·         O (Organization): organizace, jejímž je držitel či vydavatel certifikátu členem

·         OU (Organizational Unit): obdobně, pro organizační složku

·         C (Country): země

·         L (Locality): adresa

·         E (email): emailová adresa

·         T (Title): titul, pracovní zařazení fyzické osoby (držitele certifikátu)

Rozsah ani konkrétní výčet dílčích složek, které dohromady tvoří jméno DN (Distinguished Name), není předepsáno a může se v praxi lišit. Povinná je pouze složka CN (Common Name). Navíc na pořadí, v jakém jsou jednotlivé dílčí složky v rámci DN uváděny, nezáleží.

V případě certifikačních autorit obvykle není s řetězcem DN problém, protože používaná skladba dílčích složek obvykle stačí k jednoznačné identifikaci konkrétní certifikační autority. Ukázku konkrétních hodnot jmen DN pro jednotlivé certifikační autority PostSignum ukazuje následující tabulka.

Certifikační autorita

DN (Distinguished Name)

(původní) kořenová certifikační autorita PostSignum

CN=PostSignum Root QCA, O=Česká pošta, s.p. [IČ 47114983], C=CZ

podřízená  kvalifikovaná certifikační autorita PostSignum

CN=PostSignum Qualified CA,O=Česká pošta, s.p. [IČ 47114983],C=CZ

podřízená  veřejná certifikační autorita PostSignum

CN=PostSignum Public CA,O=Česká pošta, s.p. [IČ 47114983],C=CZ

„nová“ (dvojková) kořenová certifikační autorita PostSignum 

CN=PostSignum Root QCA 2, O=Česká pošta, s.p. [IČ 47114983], C=CZ

„nová“ (dvojková) podřízená kvalifikovaná certifikační autorita PostSignum

CN=PostSignum Qualified CA 2,O=Česká pošta, s.p. [IČ 47114983],C=CZ

„nová“ (dvojková) podřízená komerční certifikační autorita PostSignum

CN=PostSignum Public CA 2,O=Česká pošta, s.p. [IČ 47114983],C=CZ

 

Problém v praxi může vznikat spíše s jednoznačnou identifikací držitele certifikátu, v případě že jde o fyzickou osobu bez vazby na zaměstnavatele. U zaměstnaneckých certifikátů pomáhá právě údaj o zaměstnavateli, případně o pracovní pozici, obsažený ve jméně DN. Někdy může jít skutečně o velmi detailní údaje, jako například:

SERIALNUMBER=QCA-4542, T=referent živnostenského rejstříku (m324), EMAILADDRESS=klara.novakova@cityofprague.cz, CN=Klára Nováková, OU=oddělení sekretariátu a živnostenského rejstříku, OU=Odbor živnostenský a občanskoprávní, OU=Magistrát hlavního města Prahy, O=Hlavní město Praha, C=CZ

Ale u osobních certifikátů, které nejsou zaměstnanecké, a navíc třeba s emailovou adresou na nějakém freemailu, již může být jednoznačná identifikace držitele certifikátu skutečně problematická. Až nemožná. Schválně, kterému Janu Krausovi patří certifikát, který vystavila jako kvalifikovaný společnost eIdentity, s následujícím řetězcem DN:

SERIALNUMBER=QCA-2548, EMAILADDRESS=jan.kraus@gmail.com, CN=Jan Kraus, OU=Clients, O=eIdentity a.s., C=CZ

Připomeňme si v této souvislosti důležitou skutečnost, o které jsme se zmiňovali již v předchozí kapitole: že certifikační autority, které vydávají kvalifikované certifikáty, mají velmi detailní informace o identitě každé fyzické osoby, které certifikát vystaví. Tyto informace si ale z větší části ponechávají pro sebe, zatímco do samotných certifikátů (které jsou veřejné) z nich dávají jen část[6].

Někdy je jediným relevantním údajem pouze položka CN (Common Name) se jménem a příjmením, jako ve výše uvedeném příkladu. Také emailová adresa na freemailu, kterou si každý může pojmenovat, jak chce, nám moc nepomůže. Teoreticky by mohlo pomoci „rozlišovací jméno“ (se sériovým číslem držitele certifikátu). Jenže to se vztahuje k interní evidenci klientů certifikační autority a širší uživatelské veřejnosti příliš nepomůže.


[6] Zbývající informace o identitě držitele certifikátu, které certifikační autorita má k dispozici, již nejsou veřejně dostupné. Možnost jejich získání mají kupř. orgány činné v trestním řízení, ale běžný uživatel nikoli.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61