Certifikát elektronického podpisu – co ještě potřebujete vědět (26. díl)
V minulém díle našeho seriálu jsme se seznámili s fungováním a využitelností certifikátu k elektronickému podpisu. Dnes si tyto infoinformace doplnéme o další důležité souvislosti.
Pokud chceme využívat možností moderní komunikace pomocí elektronického podpisu, potřebujeme nejen získat možnost elektronicky podepisovat, ale znát i další souvislosti jako například jaké informace jsou v certifikátu obsaženy, časové omezení certifikátu, zneplatnění certifikátu atd. Pojďme si nyní některé z těchto souvislostí ujasnit.
Funkce certifikační autority
Mezi hlavní funkce certifikační autority patří zejména:
- ověřování pravosti informací v žádostech o certifikáty
- vydávání certifikátů
- vydávání následných certifikátů
- zneplatňování certifikátů
- zveřejňování seznamu zneplatněných certifikátů
Časové omezení certifikátu
Každý vydávaný certifikát je určitým způsobem časově omezen. Většina certifikátů je vydávána na rok nebo dva roky. Po vypršení platnosti certifikátu však není nutné pořizovat certifikát nový (a podstupovat celou proceduru žádosti, ověřování identity,…) – postačí si platnost dosluhujícího certifikátu obnovit resp. podat (většinou elektronicky) žádost o takzvaný následný certifikát.
Následný certifikát – (renewed certificate)
certifikát, který byl v souladu se smlouvou vydán na základě žádosti vydání certifikátu podepsané platnými daty pro vytváření elektronického podpisu souvisejících již s vydaným certifikátem. Data k ověření totožnosti musí být stejná. Data k ověření elektronických podpisů musí být rozdílná. (zdroj: caczechia.cz)
Následný certifikát má narozdíl od obnovovaného certifikátu jiné sériové číslo a také jím vygenerovaný pár klíčů je odlišný.
Podoba certifikátu
Většina certifikátů se v současné době vytváří ve formátu X.509. Tento certifikát má následující náležitosti:
- informace o držiteli certifikátu (owner)
- common name
- email address
- organization, organization unit
- country, state, locality
- sériové číslo
- platnost od – do
- informace o vystaviteli certifikátu (issuer)
- podpis vystavitele certifikátu
- možnosti využití certifikátu (extenze)
X.509
V kryptografii je X.509 ITU-T standard pro infrastrukturu veřejných klíčů PKI*. X.509 specifikuje, mimo jiné, standardní formáty pro infrastrukturu veřejných certifikátů a pro algoritmus ověření cerifikační cesty. (zdroj: wikipedia.org)
* pozn: PKI – Public Key Infrastructure – je prostředí, které důvěryhodným třetím stranám umožňuje potvrzovat či naopak vyvracet identity uživatelů. Jinými slovy umožňuje propojit veřejné klíče s identitami jejich uživatelů; takové spojení pak může jiný uživatel prostřednictvím svého elektronického podpisu potvrdit. Veřejný klíč je typicky uložený ve formě certifikátu a potvrzuje ho certifikační autorita. (zdroj: wikipedia.org)
Kdy věřit informacím v certifikátu
Pokud máme přiměřenou důvěru v určitou certifikační autoritu, pak máme stejnou důvěru i ve všechny certifikáty, které tato certifikační autorita vydala a podepsala. Je potřeba mít správné informace o tom, jakým způsobem daná certifikační autorita prověřuje pravost a pravdivost údajů uvedených v jimi podepsaných certifikátech. Důvěryhodnost určitých certifikačních autorit může podpořit například stát jejich akreditací.
Jestliže máme Osobu A a Osobu B a tyto osoby se vzájemně neznají, nikdy spolu nekomunikovali, neznají vzájemně své veřejné klíče, pak je potřeba, aby si tyto osoby vzájemně vyměnili své veřejné klíče. Jestliže Osoba A má certifikát vydaný CA, které důvěřuje Osoba B a zároveň Osoba B má certifikát vydaný CA, které důvěřuje Osoba A, pak mají obě osoby přiměřenou jistotu, že komunikují s danou druhou osobou.
Žádost o certifikát
Jak tedy postupovat při žádosti o certifikát?
- Provedeme výběr důvěryhodné CA,
- zvážíme způsob podání žádosti o certifikát, nabízené služby a typy poskytovaných certifikátů, cena, …,
- podáme žádost – vyplníme informace o sobě, zaplatíme, …,
- vygenerujeme veřejný a privátní klíč,
- veřejný klíč přiložíme k žádosti,
- předáme žádost certifikační autoritě (CSR – Certificate Signing Request),
- certifikační autorita ověří oprávněnost žádosti, vyzvedneme si podepsaný certifikát.
Nutno dodat, že podmínky a proces žádostí je u každé CA odlišný. Pro konkrétní postup podání žádosti prostudujte podmínky jednotlivých společností.
Zneplatnění certifikátu
Existují v podstatě dva zásadní důvody k zneplatnění certifikátu:
- kompromitace soukromého klíče třetí osobou,
- změna některého z údajů uvedených v certifikátu.
V obou těchto případech by mělo dojít bez zbytečného odkladu k zneplatnění certifikátu ze strany uživatele a uvedení zneplatněného certifikátu v seznamu zneplatněných certifikátů (CRL – Certificate Revocation List) certifikační autoritou. Certifikační autorita by měla poskytovat co možná nejaktuálnější seznam zneplatněných certifikátů, a tento seznam by měl být dostupný dvěma na sobě nezávislými způsoby.
Díly seriálu:
Elektronický doklad v účetnictví – Podpis (1. díl)
Elektronický doklad v účetnictví – Vlastnoruční podpis (2. díl)
Elektronický doklad v účetnictví – Elektronický podpis (3. díl)
Požadavky kladené na elektronický podpis (4. díl)
Druhy elektronických podpisů (5. díl)
Náležitosti účetního dokladu (7. díl)
Co vše skrývá dokument v elektronické podobě (8. díl)
Elektronický podpis a informace v něm obsažené (9. díl)
Elektronická komunikace organizace (10. díl)
Možnosti elektronické komunikace organizace (11. díl)
Efektivní elektronická komunikace – to je EDI (12. díl)
Šifrování – kryptografické základy digitálního podpisu (14. díl)
Význam šifrování a jeho typy (15. díl)
Symetrické šifrovací algoritmy (16. díl)
Šifrování – k čemu slouží a jak ho využít (17. díl)
Ověření identity a elektronický podpis (18. díl)
Asymetrické šifrování a jeho praktické využití (19. díl)
Hybridní šifrovací algoritmy (20. díl)
Hashovací funkce a jejich využití ve spojení s elektronickým podpisem (21. díl)
Vlastnosti hashovacích funkcí (22. díl)
Použitelnost hashovacích funkcí v praxi (23. díl)
Elektronický podpis – využití certifikátu (24. díl)
Kolize hashovacích funkci a narozeninový paradox (25. díl)
Certifikát elektronického podpisu – co ještě potřebujete vědět (26. díl)
Zdroje:
[1] www.ica.cz
[4] Nařízení vlády č. 304/2001Sb., kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů
[5] Nařízení vlády č. 495/2004 Sb, kterým se provádí zákon č. 227/2000 Sb., o elektronickém podpisu a o změně některých dalších zákonů
[6] Novela zákona č. 227/2000 Sb., o elektronickém podpisu
Odpovědět na příspěvek