Certifikační autorita
Z MiS
(Rozdíly mezi verzemi)
(Vytvoření první verze stránky.) |
(Dodána zkratka PKI.) |
||
(Není zobrazena 1 mezilehlá verze od 1 uživatele.) | |||
Řádka 24: | Řádka 24: | ||
== Jak bezpečně komunikovat s certifikační autoritou == | == Jak bezpečně komunikovat s certifikační autoritou == | ||
+ | * Certifikační autorita tedy umožní ověření pravosti veřejného klíče osoby, se kterou komunikujeme. | ||
+ | * Jak ale ověřit, že zpráva od certifikační autority je pravá??? (Pokud útočník mohl upravit zprávu od našeho partnera, mohl upravit i odpověď certifikační autority!) | ||
+ | * Odpověď certifikační autority tedy musí být opět elektronicky podepsaná. Jak ale ověřit pravost veřejného klíče certifikační autority??? | ||
+ | == Kde získáme certifikáty (veřejné klíče) certifikačních autorit? == | ||
+ | * Klíče vybraných certifikačních autorit máme již v počítači: | ||
+ | ** V úložišti certifikátů Windows jako součást instalačních souborů Windows (aktualizuje se v rámci aktualizací operačního systému). | ||
+ | ** V úložišti certifikátů jednotlivých aplikací. Aplikace může mít vlastní úložiště certifikátů (například prohlížeč Chrome či mailový klient Thunderbird), nebo využívat úložiště certifikátů operačního systému | ||
+ | * Další si můžeme sami stáhnout a nainstalovat. | ||
+ | <div class="Varovani"> | ||
+ | POZOR!!! Jakmile certifikát certifikační autority umístíme do svého úložiště, bude náš počítač důvěřovat všem certifikátům vystaveným touto certifikační autoritou!!! | ||
+ | </div> | ||
+ | |||
+ | == Co když certifikát v úložišti nemáme? == | ||
+ | * Certifikačních autorit je na světě velké množství a nelze mít v počítači certifikáty všech autorit. | ||
+ | * Proto si menší certifikační autority nechávají certifikáty podepsat těmi většími. | ||
+ | * Funguje tedy něco, co se označuje jako „síť důvěry“. | ||
+ | * V angličtině používáme zkratku PKI (Public Key Infrastructure). | ||
+ | |||
+ | == Postup při ověřování cerfitikátu == | ||
+ | * Váš počítač tedy při ověřování certifikátu odesilatele osloví certifikační autoritu, která certifikát vystavila. | ||
+ | * Poté ale musí ověřit certifikát této certifikační autority (pokud jej nemá v úložišti důvěryhodných certifikačních autorit). | ||
+ | * Takto může při ověřování provést několik kroků tak dlouho, až buď: | ||
+ | ** Dojde k certifikační autoritě, kterou považuje za důvěryhodnou → poté podpis prohlásí za platný, | ||
+ | ** nebo narazí na certifikát, který důvěryhodný není, nebo je podepsán svým vystavitelem (self-signed) → poté zobrazí upozornění, že certifikát není důvěryhodný. | ||
+ | |||
+ | <div class="Poznamka"> | ||
+ | Z výše uvedeného vyplývá, že různé aplikace mohou vyhodnotit elektronický podpis dokumentu odlišně → některá aplikace může podpis potvrdit, jiná ho může odmítnout. | ||
+ | |||
+ | To se v praxi opravdu stává: například jeden prohlížeč webovou stránku zobrazí korektně jako zabezpečnou, druhý prohlížeč zobrazí varování, že stránka není důvěryhodná. | ||
+ | |||
+ | Vždy je na uživateli, aby posoudil reálná rizika a rozhodl se, zda stránce důvěřovat. | ||
+ | </div> | ||
== Související stránky == | == Související stránky == | ||
* [[Elektronický podpis]], [[Certifikát elektronického podpisu]] | * [[Elektronický podpis]], [[Certifikát elektronického podpisu]] |
Aktuální verze z 25. 3. 2021, 09:07
Obsah |
Certifikační autorita
- Organizace (třetí strana), které důvěřují odesilatel i příjemce zprávy.
- Ověřuje pravost veřejného klíče odesilatele (platnost certifikátu elektronického podpisu).
- Vystavuje certifikáty elektronického podpisu.
Úkoly certifikační autority
- Ověřit identitu žadatele o vystavení certifikátu.
- Uložit veřejný klíč žadatele (vlastníka certifikátu) pro budoucí ověření.
- Při dotazu potvrdit správnost veřejného klíče či upozornit na jeho nesprávnost.
- Dotaz může vznést kdokoli.
- Na žádost vlastníka certifikátu provést revokaci certifikátu.
Revokace certifikátu
- Zneplatnění certifikátu.
- Například v okamžiku, kdy se obáváme, že někdo neoprávněně získal náš soukromý klíč.
- Ohlásíme certifikační autoritě požadavek na zneplatnění certifikátu.
- Certifikační autorita bude od tohoto okamžiku při dotazu na platnost certifikátu sdělovat, že byl revokován.
- Platnost podpisu na dokumentech podepsaných tímto certifikátem již nelze ověřit — podpis se stává neplatným.
Jak bezpečně komunikovat s certifikační autoritou
- Certifikační autorita tedy umožní ověření pravosti veřejného klíče osoby, se kterou komunikujeme.
- Jak ale ověřit, že zpráva od certifikační autority je pravá??? (Pokud útočník mohl upravit zprávu od našeho partnera, mohl upravit i odpověď certifikační autority!)
- Odpověď certifikační autority tedy musí být opět elektronicky podepsaná. Jak ale ověřit pravost veřejného klíče certifikační autority???
Kde získáme certifikáty (veřejné klíče) certifikačních autorit?
- Klíče vybraných certifikačních autorit máme již v počítači:
- V úložišti certifikátů Windows jako součást instalačních souborů Windows (aktualizuje se v rámci aktualizací operačního systému).
- V úložišti certifikátů jednotlivých aplikací. Aplikace může mít vlastní úložiště certifikátů (například prohlížeč Chrome či mailový klient Thunderbird), nebo využívat úložiště certifikátů operačního systému
- Další si můžeme sami stáhnout a nainstalovat.
POZOR!!! Jakmile certifikát certifikační autority umístíme do svého úložiště, bude náš počítač důvěřovat všem certifikátům vystaveným touto certifikační autoritou!!!
Co když certifikát v úložišti nemáme?
- Certifikačních autorit je na světě velké množství a nelze mít v počítači certifikáty všech autorit.
- Proto si menší certifikační autority nechávají certifikáty podepsat těmi většími.
- Funguje tedy něco, co se označuje jako „síť důvěry“.
- V angličtině používáme zkratku PKI (Public Key Infrastructure).
Postup při ověřování cerfitikátu
- Váš počítač tedy při ověřování certifikátu odesilatele osloví certifikační autoritu, která certifikát vystavila.
- Poté ale musí ověřit certifikát této certifikační autority (pokud jej nemá v úložišti důvěryhodných certifikačních autorit).
- Takto může při ověřování provést několik kroků tak dlouho, až buď:
- Dojde k certifikační autoritě, kterou považuje za důvěryhodnou → poté podpis prohlásí za platný,
- nebo narazí na certifikát, který důvěryhodný není, nebo je podepsán svým vystavitelem (self-signed) → poté zobrazí upozornění, že certifikát není důvěryhodný.
Z výše uvedeného vyplývá, že různé aplikace mohou vyhodnotit elektronický podpis dokumentu odlišně → některá aplikace může podpis potvrdit, jiná ho může odmítnout.
To se v praxi opravdu stává: například jeden prohlížeč webovou stránku zobrazí korektně jako zabezpečnou, druhý prohlížeč zobrazí varování, že stránka není důvěryhodná.
Vždy je na uživateli, aby posoudil reálná rizika a rozhodl se, zda stránce důvěřovat.