ČLÁNOK




Dva kľúče pre jeden výsledok
17. januára 2003

Predpokladajme, že príjemca dostal správu podpísanú elektronickým podpisom. Na to, aby overil platnosť podpisu (a tým zároveň autentickosť správy), potrebuje verejný kľúč prislúchajúci k súkromnému kľúču, ktorý bol použitý na vytvorenie elektronického podpisu. Ak sa príjemca pozná s odosielateľom (podpisovateľom) správy, môžu si navzájom vymeniť svoje verejné kľúče a používať ich pri overovaní elektronických podpisov. Elektronický podpis sa však bude používať aj vo vzťahoch medzi neznámymi partnermi.

Potom bude príjemca správy potrebovať spoľahlivý zdroj, z ktorého získa verejný kľúč predpokladaného tvorcu elektronického podpisu, pretože ináč síce dokáže overiť, či bol elektronický podpis vytvorený pomocou súkromného kľúča, ktorý tvorí pár s verejným kľúčom použitým na overenie, ale nedokáže určiť, kto je držiteľom daného súkromného kľúča, a teda kto

vlastne elektronický podpis vytvoril.

Spoľahlivý zdroj

Takýmto spoľahlivým zdrojom je certifikát verejného kľúča, elektronický dokument, ktorý obsahuje verejný kľúč a identifikačné údaje držiteľa certifikátu, čas platnosti certifikátu, obmedzenia na použitie certifikátu a ďalšie údaje potrebné na spracovanie informácie, ktoré certifikát obsahuje. Certifikát je podpísaný elektronickým podpisom vydavateľa certifikátu a podpisovateľ ho spravidla pripája k podpísanej správe.

Aby sa príjemca správy mohol spoľahnúť, že údaje v certifikáte sú správne (najmä to, že verejný kľúč uvedený v certifikáte naozaj prislúcha osobe, ktorá je uvedená ako držiteľ certifikátu), certifikát musí vydať spoľahlivá inštitúcia, ktorá overí správnosť údajov certifikátu a bude garantovať jeho platnosť. Spoľahlivým vydavateľom certifikátov je tzv. certifikačná autorita (CA). Úlohou CA je nielen vydávanie certifikátov verejných kľúčov. Keďže na vytvorenie elektronického podpisu stačí disponovať príslušným súkromným kľúčom, vzniká reálne nebezpečenstvo falšovania, čiže podpisovania záväzkov v mene inej osoby, pretože na základe elektronického podpisu nie je možné zistiť, kto ho v skutočnosti vytvoril. Aj keď sa predpokladá, že každý držiteľ súkromného kľúča si svoj kľúč bude chrániť, a teda vo väčšine prípadov elektronický podpis vytvorí naozaj oprávnený držiteľ súkromného kľúča, je potrebné zamedziť zneužitiu súkromného kľúča v prípade, ak sa dostane do nepovolaných rúk. Tento problém sa rieši pomocou predčasného rušenia certifikátov. Ak má držiteľ súkromného kľúča podozrenie, že sa k jeho súkromnému kľúču dostal niekto nepovolaný (došlo ku kompromitácii kľúča), požiada príslušnú CA o zrušenie certifikátu verejného kľúča, prislúchajúceho ku kompromitovanému súkromnému kľúču.

Ako bude vyzerať overovanie elektronického podpisu? Príjemca elektronicky podpísanej správy, ktorý pozná verejný kľúč CA, si najprv overí, či je certifikát verejného kľúča platný (čiže podpis CA na certifikáte, čas platnosti certifikátu a to, či certifikát nebol uvedený na aktuálnom CRL), a až po úspešnom overení platnosti certifikátu použije verejný kľúč z certifikátu na overenie elektronického podpisu.

Prepojenie certifikačných autorít

Je pravdepodobné, že bude existovať viacero CA, ktoré budú vydávať certifikáty. Aby certifikáty vydané jednou CA mohli používať klienti inej CA, je potrebné medzi danými CA vytvoriť prepojenie. To sa dá riešiť dvojako: krížovou certifikáciou, keď si certifikačné autority vydajú navzájom certifikáty na svoje verejné kľúče (pripomíname, že tak certifikáty, ako aj CRL sú podpísané CA), alebo vytvorením hierarchickej štruktúry, v ktorej bude nadradená CA vydávať (a spravovať) certifikáty verejných kľúčov podradeným CA. V prvom prípade príjemca správy bude mať k dispozícii verejný kľúč svojej CA, krížový certifikát a certifikát verejného kľúča vydaný cudzou CA. Pomocou verejného kľúča vlastnej CA (a príslušného CRL) overí platnosť krížového certifikátu, potom z neho vyberie verejný kľúč cudzej CA a pomocou neho a CRL overí platnosť certifikátu verejného kľúča a z neho napokon získa verejný kľúč na overenie elektronického podpisu. V prípade hierarchickej štruktúry mu stačí na používanie elektronických podpisov verejný kľúč najvyššej (koreňovej) CA, pretože pomocou neho (a CRL) môže overiť platnosť certifikátu verejného kľúča ľubovoľnej CA, ktorej koreňová CA certifikát vydala.

Autor je spolupracovníkom PROFITU


Tento projekt je podporený z Európskeho sociálneho fondu

KURZY

27. 12. 2024

USD 1,044 0,004
CZK 25,201 0,066
GBP 0,831 0,003
HUF 411,450 0,280
CAD 1,500 0,001

SPOLUPRÁCA




SSDS

SAF

ReFIS