Certifikát elektronického podpisu
Z MiS
(Rozdíly mezi verzemi)
(Osamostatněno, přidán obsah certifikátu.) |
(Doplnění kapitol.) |
||
| Řádka 11: | Řádka 11: | ||
* Pokud si vystavujeme certifikát sami, můžeme do něj zahrnout údaje, které chceme. | * Pokud si vystavujeme certifikát sami, můžeme do něj zahrnout údaje, které chceme. | ||
| − | === Kvalifikovaný certifikát vždy obsahuje | + | |
| + | == Typy certifikátů == | ||
| + | ; Self-signed certificate | ||
| + | * Může si vystavit kdokoli. | ||
| + | * Je na příjemci, jestli bude certifikátu důvěřovat. | ||
| + | * Sami jsme „certifikační autoritou“. | ||
| + | * Zákon nestanovuje, co má obsahovat. | ||
| + | |||
| + | ; Komerční certifikát | ||
| + | * Vystaveny autoritami, které jsou zahrnuty do prohlížečů a operačních systémů. | ||
| + | * Důvěřují mu tedy počítače. | ||
| + | * Zákon nestanovuje, co má obsahovat. | ||
| + | |||
| + | ; Kvalifikovaný certifikát | ||
| + | * Vydán cerfitikační autoritou, která je schválena úřady ČR. | ||
| + | * V zákoně je specifikováno, co musí obsahovat. | ||
| + | * Na něm založený podpis uznávají úřady. | ||
| + | |||
| + | |||
| + | == Kvalifikovaný certifikát vždy obsahuje == | ||
* sériové číslo certifikátu | * sériové číslo certifikátu | ||
* identifikaci osoby, které byl vystaven | * identifikaci osoby, které byl vystaven | ||
| Řádka 26: | Řádka 45: | ||
** hashovací funkce | ** hashovací funkce | ||
** šifrovací algoritmus | ** šifrovací algoritmus | ||
| − | * | + | * celý je podepsán certifikační autoritou |
* další údaje... | * další údaje... | ||
[[Image:ca_obsah.png]] | [[Image:ca_obsah.png]] | ||
| Řádka 32: | Řádka 51: | ||
== Postup vystavení certifikátu == | == Postup vystavení certifikátu == | ||
| + | ; Vlastní certifikát (self-signed) | ||
| + | * Stáhneme si aplikaci, která umí certifikáty generovat. (Třeba GPG.) | ||
| + | * Vyplníme údaje o vlastníkovi certifikátu. | ||
| + | * Certifikát uložíme do úložiště certifikátů a můžeme ho používat. | ||
| + | |||
| + | ; Kvalifikovaný a komerční certifikát | ||
| + | # Uživatel si na stránkách autority či pomocí aplikace od autority vygeneruje dvojici soukromý + veřejný klíč. (U čipových karet a tokenů může generovat certifikační autorita.) | ||
| + | # Uživatel vyplní položky do certifikátu. | ||
| + | # Údaje se odešlou certifikační autoritě. | ||
| + | # Uživatel se fyzicky ověří v certifikační autoritě (občanský průkaz, poplatek,...) — musí tam přijít osobně. | ||
| + | # Certifikační autorita vystaví certifikát (platnost obvykle 1 rok) | ||
| + | # CA uloží údaje pro pozdější ověření | ||
| + | |||
| + | <div class="Poznamka">Postup se může u jednotlivých certifikačních autorit v dílčích věcech lišit. Princip by ale měl zůstat stejný.</div> | ||
| + | |||
| + | |||
| + | == Manipulace s certifikátem == | ||
| + | |||
| + | ; Export certifikátu | ||
| + | * Abych mohl certifikát přenést z úložiště třeba na jiný počítač. | ||
| + | * Exportuje se certifikát včetně soukromého klíče | ||
| + | * Certifikát může být označen jako neexportovatelný. | ||
| + | |||
| + | |||
| + | ; Revokace certifikátu | ||
| + | * Zneplatnění certifikátu. | ||
| + | * Například v okamžiku, kdy se obáváme, že se někdo dostal k našemu soukromému klíči. | ||
| + | * Ohlásíme certifikační autoritě požadavek na revokaci. | ||
| + | * Certifikační autorita bude při dotazu na platnost certifikátu sdělovat, že byl revokován. | ||
| + | * Dokumenty podepsané tímto certifikátem již nelze ověřit. | ||
== Související stránky == | == Související stránky == | ||
* [[Elektronický podpis]], [[Princip šifrování]], [[Šifrování prakticky]] | * [[Elektronický podpis]], [[Princip šifrování]], [[Šifrování prakticky]] | ||
| + | |||
| + | |||
| + | == Zdroje == | ||
| + | * [https://cs.wikipedia.org/wiki/Certifik%C3%A1t_podepsan%C3%BD_s%C3%A1m_sebou Wikipedia.org → Self-signed certificate]. | ||
Verze z 14. 2. 2018, 13:55
Obsah |
Certifikační autorita
- Organizace (třetí strana), které důvěřují odesilatel i příjemce zprávy.
- Ověřuje pravost veřejného klíče odesilatele (platnost certifikátu elektronického podpisu).
Certifikát
- Jedná se o datový soubor, obsahující veřejný klíč a údaje pro jeho ověření.
- Existují různé formáty certifikátů.
- Pokud si vystavujeme certifikát sami, můžeme do něj zahrnout údaje, které chceme.
Typy certifikátů
- Self-signed certificate
- Může si vystavit kdokoli.
- Je na příjemci, jestli bude certifikátu důvěřovat.
- Sami jsme „certifikační autoritou“.
- Zákon nestanovuje, co má obsahovat.
- Komerční certifikát
- Vystaveny autoritami, které jsou zahrnuty do prohlížečů a operačních systémů.
- Důvěřují mu tedy počítače.
- Zákon nestanovuje, co má obsahovat.
- Kvalifikovaný certifikát
- Vydán cerfitikační autoritou, která je schválena úřady ČR.
- V zákoně je specifikováno, co musí obsahovat.
- Na něm založený podpis uznávají úřady.
Kvalifikovaný certifikát vždy obsahuje
- sériové číslo certifikátu
- identifikaci osoby, které byl vystaven
- veřejný klíč osoby
- údaje certifikační autority, která jej vystavila
- název
- adresu pro ověření certifikátu
- k čemu byl certifikát určen
- podepisování?
- šifrování?
- ...
- platnost certifikátu (od-do)
- informace o použitých algoritmech
- hashovací funkce
- šifrovací algoritmus
- celý je podepsán certifikační autoritou
- další údaje...
Postup vystavení certifikátu
- Vlastní certifikát (self-signed)
- Stáhneme si aplikaci, která umí certifikáty generovat. (Třeba GPG.)
- Vyplníme údaje o vlastníkovi certifikátu.
- Certifikát uložíme do úložiště certifikátů a můžeme ho používat.
- Kvalifikovaný a komerční certifikát
- Uživatel si na stránkách autority či pomocí aplikace od autority vygeneruje dvojici soukromý + veřejný klíč. (U čipových karet a tokenů může generovat certifikační autorita.)
- Uživatel vyplní položky do certifikátu.
- Údaje se odešlou certifikační autoritě.
- Uživatel se fyzicky ověří v certifikační autoritě (občanský průkaz, poplatek,...) — musí tam přijít osobně.
- Certifikační autorita vystaví certifikát (platnost obvykle 1 rok)
- CA uloží údaje pro pozdější ověření
Postup se může u jednotlivých certifikačních autorit v dílčích věcech lišit. Princip by ale měl zůstat stejný.
Manipulace s certifikátem
- Export certifikátu
- Abych mohl certifikát přenést z úložiště třeba na jiný počítač.
- Exportuje se certifikát včetně soukromého klíče
- Certifikát může být označen jako neexportovatelný.
- Revokace certifikátu
- Zneplatnění certifikátu.
- Například v okamžiku, kdy se obáváme, že se někdo dostal k našemu soukromému klíči.
- Ohlásíme certifikační autoritě požadavek na revokaci.
- Certifikační autorita bude při dotazu na platnost certifikátu sdělovat, že byl revokován.
- Dokumenty podepsané tímto certifikátem již nelze ověřit.
Související stránky
