Bonanza

program pro správu firemní pošty, činností kanceláře, daní a datových schránek od firmy BONOsoft

Certifikát

Certifikát je veřejná listina v elektronické podobě, která spojuje předmět certifikátu s veřejným klíčem. Předmětem certifikátu může být fyzická osoba, instituce nebo třeba server. Klíč je řetězec znaků pevné délky vygenerovaný pro použití ve spojení s konkrétním algoritmem (výpočetním postupem) podle účelu, ke kterému je certifikát vydán. K veřejnému klíči existuje párový soukromý klíč, kterým disponuje pouze držitel certifikátu.

Existuje řada typů certifikátů, zde se zabýváme certifikáty veřejného klíče, označovanými zkratkou PKI. Certifikáty vydávají certifikační autority (CA), které za jimi vydané cetifikáty ručí. Při prvním vystavení certifikátu je nutná osobní návštěva žadatele o certifikát na pracovišti CA, kde dojde k ověření totožnosti. Certifikát je stvrzen digitálním podpisem vystavitele (CA).

Systém je založen na tom, že soukromý klíč nezná nikdo kromě majitele certifikátu. Zcizitel se pomocí soukromého klíče může vydávat za majitele certifikátu nebo místo něj podepisovat dokumenty. Pokud dojde ke kompromitování soukromého klíče, je nutné ihned požádat vydavatele o odvolání certifikátu.

Certifikáty se používají k mnoha účelům, nejčastěji se lze setkat s následujícími:

  • autentizace - elektronický průkaz totožnosti
  • digitální podpis dokumentů nahrazující vlastnoruční podpis (zaručený elektronický podpis)
  • šifrování dat
  • vytvoření tzv. elektronické obálky

Proč používat pro autentizaci jiný certifikát než k zaručenému elektronickému podpisu

Totožnost se prokazuje držením soukromého klíče. Protistrana má k dispozici certifikát s veřejným klíčem subjektu, který se autentizuje.
Jak se prokáže držení soukromého klíče?
U certifikátů umožňujících digitální podpis právě podpisem. Ověřovatel vygeneruje řetězec znaků (např. dlouhé číslo), který odešle k podpisu. Autentizující se tento řetězec digitálně podepíše a vrátí podepsaný. Protistrana podpis verifikuje veřejným klíčem z certifikátu. Pokud z podepsané zprávy získá zpět původní řetězec, má jistotu, že komunikuje s předmětem uvedeným na certifikátu (nemusí se vždy jednat o člověka, ale třeba o organizaci nebo server).

Pokud by zaslaný řetězec obsahoval něco jiného než náhodně vygenerované znaky, majitel soukromého klíče by nevědomky podepsal podvržený dokument.

Struktura certifikátu

V operačním systému Windows umožňuje procházení úložišť a zobrazení nainstalovaných certifikátů modul snap-in Certifikáty. Spustíte ho takto: tlačítko "Start" - nabídka "Spustit" - mmc - nabídka "Soubor" - nabídka "Přidat nebo odebrat modul snap-in" - tlačítko "Přidat" - modul "Certifikáty" - tlačítko "Dokončit" - tlačítko "OK".

Po spuštění vidíme jednotlivá úložiště, nějaké vybereme (kliknutím myší) a zobrazíme v něm uložené certifikáty. Zvolíme jeden certifikát (nejlepší je začít s osobním certifikátem, pokud nějaký vlastníme) a dvojklikem myši nebo nabídkou "Akce"-"Otevřít" zobrazíme jeho obsah. Na záložce "Podrobnosti" máme uvedeny jednotlivé vlastnosti certifikátu. Když na nějakou klikneme, zobrazí se v dolním okně její konkrétní obsah.

Hlavní údaje na certifikátu jsou:

  • vystavitel - certifikační autorita
  • sériové číslo certifikátu
  • předmět certifikátu - jednoznačná identifikace držitele
  • platnost od (datum) - do (datum)
  • účely, ke kterým byl vydán
  • veřejný klíč včetně názvu algoritmu, pro který je určen
  • certifikační zásady - obsahuje odkaz (URI) na dokument stanovující politiku vydavatele, pod kterou byl vydán
  • distribuční místa seznamu CRL - adresa seznamu, na kterém by byl certifikát uveden, pokud by byl zneplatněn
  • digitální podpis vydavatele (CA)

Certifikát obsahuje ještě další údaje, některé jsou volitelné.
Certifikáty certifikačních autorit mají typ předmětu nastaven na "certifikační autorita", certifikáty koncových uživatelů mají v typu předmětu uvedeno "koncová entita".
Certifikační zásady obsahují odkaz na dokument nazývaný Certifikační politika, což je popis pravidel, kterými se řídí CA, která certifikát vydala. Je to veřejný dokument a bývá publikován na internetu. Tento soubor pravidel je důležitý pro rozhodnutí, zda certifikátům této CA důvěřovat nebo nikoliv (podrobnosti jsou uvedeny v odstavci Ověřování).

Použití certifikátu

Certifikát lze použít pouze pro účely vyjmenované v atributu "Použití klíče" (Key Usage).
Pro certifikáty koncových uživatelů jsou typická použití:

  • digitální podpis (Digital Signature) - jedná se o technologii digitálního podpisu, na které jsou založeny autentizace držitele a ověřování integrity dat, nejde o podpis nahrazující vlastnoruční podpis
  • neodvolatelnost (Non Repudiation) - certifikát lze použít k ověřování pravosti dokumentů, k vytvoření zaručeného elektronického podpisu
  • zakódování klíče (Key Encipherment) - certifikát je určen k šifrování klíčů, např. při tvorbě elektronické obálky
  • zakódování dat (Data Encipherment) - certifikát je určen k šifrování dat

Pro certifikáty certifikačních autorit jsou typická použití:

  • podepisování certifikátů (Key Certificate Sign)
  • podepisování CRL (CRL Sign), CRL je seznam zneplatněných certifikátů

Certifikát lze ke stanovenému účelu používat jen po uvedenou dobu platnosti. Obvykle jsou certifikáty vydávané koncovým uživatelům platné 1 rok. Certifikáty CA platí většinou 5-15 let, pracují ale s delšími klíči.

Proč je platnost certifikátu časově omezena

Každý certifikát je vydán pro použití s konkrétním algoritmem (výpočetním postupem) a k němu vygenerovanými klíči. Klíče mají pevně stanovenou délku. Pro použitelnost v aplikacích je nezbytné, aby výpočty založené na těchto algoritmech probíhaly rychle a přitom ještě poskytovaly dostatečně bezpečné výsledky.
Doba platnosti certifikátu je tedy odvozena od času (je jeho zlomkem), který by byl při aktuálním výkonu počítačů potřeba k prolomení veřejného klíče. Kromě toho s rostoucím výkonem počítačů je třeba nahrazovat používané algoritmy novými, prodlužují se délky klíčů apod.

Odvolání certifikátu

V období platnosti může vydavatel certifikát odvolat, buď na žádost majitele nebo z vlastního rozhodnutí. CA pravidelně vydává seznam odvolaných certifikátů nazývaný CRL (Revocation List). Tento seznam je veřejně dostupný na internetu a každý certifikát obsahuje odkaz na adresu, na které by byl v případě zneplatnění uveden. Odvolaný certifikát CA zařadí do nejbližšího vydání CRL.

Postup odvolání certifikátu a interval vydávání seznamů CRL je uveden v certifikační politice vystavitele.

Odvolaný certifikát je uváděn na seznamu odvolaných certifikátů až do data ukončení jeho původní platnosti.

Ověřování certifikátu

Pravost certifikátu musí být potvrzena verifikací. Je nezbytné vyloučit jeho podvržení. Existují aplikace, které umožňují vytvořit libovolný certifikát pro jakýkoliv předmět a účel, včetně certifikátu CA. Vytvoření falešné identity by bez ověření certifikátu bylo snadné.

Každý certifikát je digitálně podepsán vystavitelem. Aby mohl být tento podpis ověřen, je třeba získat podepisující certifikát. Pokud tento certifikát není tzv. kořenovým certifikátem (ten má zvláštní postavení, viz příslušný odstavec), má také svého vydavatele a je třeba ověřit pravost i jeho certifikátu. To je opět možné pouze certifikátem jeho vydavatele a tak dál dokud nezískáme kořenový certifikát. Sestavený řetězec certifikátů se nazývá certifikační cesta.

Všechny certifikáty v certifikační cestě je nutné verifikovat. Ověření, že certifikát skutečně vydala uvedená CA se provede verifikací digitálního podpisu. Zkoumají se i další atributy - zda je certifikát odpovídajícího typu, zda vydavatel měl právo vydat takový certifikát atd. U všech certifikátů v certifikační cestě musí být zjištěno, zda nebyly odvolány. K tomu je třeba získat všechna potřebná CRL.

Postup verifikace certifikátu je stanoven s ohledem na známé možnosti útoků. Pokud se některou část ověření nepodaří úspěšně realizovat, musí být certifikát odmítnut.
Jakákoliv "zkratka" v tomto postupu může přinést nepříjemné důsledky - např. že elektronicky komunikujeme s někým jiným než se domníváme a sdělíme mu citlivé údaje.

Kvalifikovaný certifikát (Qualified Certificate)

Kvalifikovaný je certifikát, který splňuje požadavky zákona č.440/2004 Sb. kladené na kvalifikované certifikáty a byl vydán kvalifikovaným poskytovatelem certifikačních služeb. Tím je poskytovatel, který splňuje legislativní požadavky dané vyhláškou č.378/2006 Sb. o postupech kvalifikovaných poskytovatelů certifikačních služeb.
Pro komunikaci se státní správou a samosprávou (finančními úřady, Českou správou soc. zabezpečení i zdravotními pojišťovnami) jsou vyžadovány kvalifikované certifikáty vydané akreditovaným poskytovatelem.
Akreditovaný poskytovatel je ten, jemuž byla udělena akreditace podle zákona o elektronickém podpisu (č.227/2000 Sb.).
To má zaručit dodržení zákonem stanovených podmínek, především jednoznačnou identifikaci předmětu certifikátu a spolehlivé ověření jeho totožnosti, jedinečnost vydaného páru klíčů, bezpečnou manipulaci s klíči apod.
V ČR jsou jako kvalifikované certifikáty uznávány i kvalifikované certifikáty vydané v členském státě EU.

Kořenový certifikát (Root Certificate)

CA vydá sama sobě certifikát a podepíše jej svým soukromým klíčem. Vydavatel takového certifikátu je stejný jako jeho předmět. Tímto certifikátem CA pak podepisuje vydávané certifikáty. Tyto certifikáty se nazývají důvěryhodné kotvy. Kotvy proto, že jimi hierarchie certifikátů začíná (při vydávání certifikátů začíná, při sestavování certifikační cesty končí), nad nimi už žádný certifikát ručící za jejich pravost není. Ony naopak ručí za všechny jimi vydané certifikáty.
Jelikož jsou podepsány sami sebou, musí být ověřeny jiným způsobem než verifikací digitálního podpisu. Doporučuje se je před importem do operačního systému ověřit - např. kontrolou veřejného klíče. Jsou důvěryhodné proto, že je za takové prohlásíme.
V praxi jsou obvykle kořenovými certifikáty podepsány certifikáty podřízených CA. CA vydává různé typy certifikátů (komerční, kvalifikované, atributové), pro které musí vytvořit různé certifikační politiky. Proto zřizuje podřízené CA, které pracují podle těchto zásad a vydávají certifikáty koncovým uživatelům. Právě jejich certifikáty jsou podepsány kořenovým certifikátem.
Např. kořenová CA zřídí podřízenou kvalifikovanou CA pro vystavování kvalifikovaných certifikátů. Certifikát vydaný jiné certifikační autoritě se nazývá křížový certifikát.
Ve Windows existuje komponenta Aktualizace kořenových certifikátů (Update Root Certificates), která zajišťuje pravidelnou aktualizaci důvěryhodných kotev registrovaných společností WebTrust. Lze ji najít v nabídce "Ovládací panely"-"Přidat nebo odebrat programy"-"Přidat nebo odebrat součásti systému".

Firemní certifikační autorita

Firma může pro své interní potřeby zřídit vlastní certifikační autoritu (např. ve Windows Serveru 2008 R2) a vydávat certifikáty svým zaměstnancům, příp. zákazníkům - k autentizaci, podepisování dokumentů, šifrování dat. Internímu použití takové certifikáty vyhovují, mimo vydávající firmu nebudou důvěryhodné.

Certifikační autority v ČR

V současnosti v ČR působí 3 akreditovaní poskytovatelé certifikačních služeb:
První certifikační autorita, a.s. (www.ica.cz)
eIdentity, a.s. (www.eidentity.cz)
PostSignum, které provozuje Česká pošta, s.p. (www.postsignum.cz)

« předcházející ‹ článek › navazující »
klienti podatelna subjekty posta ukoly plan tabulky zpravy timesheet

Funkce Bonanzy