Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.5.1         Co je třeba vědět, než budete žádat o vydání certifikátu?

Certifikát, který si chceme pořídit, nám bude vystavovat nějaká certifikační autorita. Tu si sice můžeme provozovat i sami, na vlastním počítači – ale zde raději předpokládejme, že o vystavení certifikátu požádáme nějakou etablovanou a důvěryhodnou certifikační autoritu. Pokud chceme získat certifikát kvalifikovaný, stejně se musíme obrátit na některou kvalifikovanou certifikační autoritou. Což v ČR znamená některou z akreditovaných, protože všechny kvalifikované jsou současně i akreditovanými.

Než ale půjdeme za jakoukoli certifikační autoritou, měli bychom mít na paměti jedno základní pravidlo (byť z něj existují určité výjimky, viz dále): že tzv. párová data, neboli soukromý a veřejný klíč, si nejprve musíme vygenerovat sami – a teprve pak můžeme jít za certifikační autoritou (s příslušnou žádostí) a chtít po ní, aby nám k těmto párovým datům vystavila požadovaný certifikát.

Důvodem je bezpečnost: pokud by náš soukromý klíč vytvořil někdo jiný a pak nám ho předal, měli bychom skutečně jistotu, že si ho předtím nezkopíroval či jinak neschoval jeho kopii? Pokud by tak učinil, mohl by se platně podepisovat naším jménem. 

S tím úzce souvisí i další nesmírně důležitá skutečnost, kterou si také musíme uvědomit: poté, co si svá nová párová data (soukromý a veřejný klíč) vygenerujeme sami, certifikační autoritě předáme (v rámci žádosti o nový certifikát) pouze svůj veřejný klíč. Svůj soukromý klíč jí nepředáváme, ani jinak nesdělujeme jeho hodnotu!

Jak nám pak ale může jakákoli certifikační autorita vystavit jakýkoli certifikát, když se nedostane k našemu soukromému klíč?

Připomeňme si, že každý certifikát obsahuje veřejný klíč a údaje o identitě konkrétní osoby, a že vydavatel certifikátu osvědčuje, že dotyčná osoba má ve svém držení příslušný soukromý klíč (tj. ten, který je „do páru“ s veřejným klíčem, obsaženým v certifikátu). Jak se ale certifikační autorita při vydávání certifikátu může přesvědčit, že skutečně máme odpovídající soukromý klíč, když jí ho nehodláme dát (ani ukázat, resp. sdělit jeho hodnotu)?

Odpověď je naštěstí principiálně jednoduchá: díky možnostem asymetrické kryptografie můžeme certifikační autoritě prokázat, že soukromý klíč máme, aniž bychom ho dali z ruky. Stačí nám využít stejné principy asymetrické kryptografie, o které se opírá samotný elektronický podpis a které jsme si popisovali již v části 1.8: co je „uzamčeno“ (podepsáno) pomocí soukromého klíče, lze „odemknout“ (ověřit) právě a pouze odpovídajícím veřejným klíčem.

Takže když žádáme o vystavení certifikátu, v rámci své žádosti musíme něco „zamknout“ soukromým klíčem. Třeba právě samotnou žádost o vydání nového certifikátu[17]. K té přiložíme odpovídající veřejný klíč a vše předáme certifikační autoritě. Ta si ověří, že „zamknutý“ obsah lze odemknout předloženým veřejným klíčem - a právě tím získává jistotu, že žadatel má v ruce odpovídající soukromý klíč.


[17] Zde se jedná o žádost ve smyslu věcném, resp. technickém, která má podobu souboru (obvykle s příponou .req).    © Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61