Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.5.1.1         Kde generovat párová data?

Jak jsme si již několikrát zdůraznili, kvůli bezpečnosti (ale i z ryze praktických důvodů) je vhodné si své osobní certifikáty, spolu s odpovídajícími soukromými klíči, uchovávat na externích úložištích typu čipových karet či USB tokenů. To ale souvisí i s jejich generováním, protože již samotný způsob počátečního vygenerování párových dat (soukromého a veřejného klíče) může předurčovat možnost jejich uložení a následného praktického používání.

Berme jako obecné pravidlo (s možností určitých výjimek), že když svůj soukromý klíč vytvoříme v nějakém konkrétním úložišti, ať již jde o interní softwarové úložiště či externí úložiště typu čipové karty nebo USB tokenu, nemůžeme s tímto soukromým klíčem již později „hýbat“ a přemisťovat ho do jiného úložiště.

Což znamená i to, že když si k tomuto soukromému klíči necháme vystavit osobní certifikát, můžeme tento certifikát následně uložit právě a pouze na to samé místo (do toho samého úložiště), ve kterém se nachází soukromý klíč.

Uvedené pravidlo je dokonce ještě přísnější v tom smyslu, že se netýká jen úložišť certifikátů jako takových, ale dokonce i jednotlivých modulů CSP (Certificate Services Provider, viz část 5.1.3.1): když si svá párová data (soukromý a veřejný klíč) necháme vygenerovat pomocí konkrétního modulu CSP v konkrétním úložišti, můžeme následně vydaný certifikát uložit do stejného úložiště pouze prostřednictvím toho samého modulu CSP. Důvodem je to, že již samotný modul CSP předurčuje takové parametry, jako je velikost klíčů či používaná hašovací funkce atd.

Pamatujme na právě popsané skutečnosti už i kvůli tomu, že z nich vyplývá jeden nesmírně důležitý závěr:

Na to, kde chceme uchovávat svůj osobní certifikát i s odpovídajícím soukromým klíčem, musíme pamatovat ještě před žádostí o vystavení certifikátu, a to místem a způsobem generování párových dat (soukromého a veřejného klíče).

V praxi se bohužel často stává, že uživatelé si připraví žádost o vydání nového certifikátu (a v rámci ní si nechají vygenerovat i nová párová data) na jednom počítači – a když jim certifikační autorita  vydá požadovaný certifikát, chtějí si ho nainstalovat někam jinam, na jiný počítač. Což se jim ale nepodaří.

Stejný problém nastává i v situaci, kdy se vše odehrává na stejném počítači, ale využita mají být různá úložiště: například když v rámci generování žádosti o vydání nového certifikátu jsou nová párová data vytvořena v systémovém úložišti MS Windows, ale uživatel by si chtěl uložit svůj certifikát (i s odpovídajícím soukromým klíčem) na čipovou kartu či USB token.

Mějme tedy stále na paměti, že na budoucí uložení soukromého klíče (a tím i možnost uložení osobního certifikátu k tomuto klíči) musíme pamatovat již při generování žádosti o vystavení certifikátu.

Jak uvidíme záhy, při vytváření žádosti o nový certifikát na to je snad vždy pamatováno tak, aby si žádající uživatel mohl vybrat příslušné úložiště (i modul CSP). Prozatím si to naznačme alespoň následujícím obrázkem, než se ke generování žádostí dostaneme znovu a podrobněji.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Volba úložiště ze systémem doporučených možností

Obrázek 5 - 45: Volba úložiště ze systémem doporučených možností



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61