Certifikační autorita

organizace která vydává kryptografické certifikáty

Certifikační autorita (zkratka CA) je v asymetrické kryptografii subjekt, který vydává digitální certifikáty (elektronicky podepsané veřejné šifrovací klíče), čímž usnadňuje využívání PKI (Public Key Infrastructure) tak, že svojí autoritou potvrzuje pravdivost údajů, které jsou ve volně dostupném veřejném klíči uvedeny. Na základě principu přenosu důvěry (viz níže) tak můžeme důvěřovat údajům uvedeným v digitálním certifikátu za předpokladu, že důvěřujeme samotné certifikační autoritě.

Na Internetu působí mnoho komerčních certifikačních autorit, které obvykle mají své veřejné klíče umístěny přímo ve webových prohlížečích a dalších programech, čímž mohou uživateli zjednodušit rozhodování o míře důvěry webových serverů, ke kterým se připojuje (ale též digitálně podepsaných e-mailů i jiných dat). Existují též bezplatné certifikační autority nebo takové, které se řídí zákony daného státu, vnitřními předpisy organizace a podobně.[1]

Decentralizovanou alternativou k certifikační autoritě je síť důvěry.

Činnost certifikační autority

editovat
Pořadí Vydavatel Použití Tržní podíl
1 Let's Encrypt 52.5% 56,3%
2 GlobalSign 13.1% 14,0%
3 IdenTrust 11.6% 12,4%
4 Sectigo (Comodo Cybersecurity) 6.8% 7,3%
5 DigiCert Group 5.0% 5,3%
6 GoDaddy Group 4.2% 4,4%

Certifikační autorita vydává digitální certifikáty, což jsou elektronicky podepsané veřejné šifrovací klíče, které obsahují identifikační údaje svého majitele, za jejichž správnost se certifikační autorita zaručila. Když certifikační autorita podepíše svůj vlastní klíč, jedná se o certifikát podepsaný sám sebou (anglicky self-signed certificate).

Podrobnější informace naleznete v článku Digitální certifikát.

Majitel veřejného klíče musí proto při žádosti o vydání digitálního certifikátu důvěryhodným způsobem certifikační autoritu přesvědčit, že jím poskytnuté údaje odpovídají skutečnosti a tomu, co uvedl ve svém veřejném klíči. Může tak například učinit:

Po ověření a porovnání výše uvedených údajů vydá certifikační autorita digitální certifikát, který ověřené údaje obsahuje. Důležitou součástí digitálního certifikátu je elektronický podpis, kterým lze snadno ověřit jeho autentičnost. Pokud by byly údaje v digitálním certifikátu změněny, kryptografické ověření digitálního podpisu by změnu odhalilo.

Validační standardy

editovat

Certifikační autorita může ověřit vazbu žadatele na doménu různými způsoby. Podle úrovně ověření rozlišujeme:

  • DV (domain validated) – ověřuje jen kontrolu žadatele nad doménou, v certifikátu je uvedeno jen pro jakou doménu je určen
  • EV (extended validatation certificate) – ověřuje nejen kontrolu nad doménou, ale i identitu žadatele, která je pak také uvedena v certifikátu

Kritéria pro vydání EV certifikátu jsou definována v Guidelines for Extended Validation, které definovalo CA/Browser Forum.[2] V roce 2019 přestaly webové prohlížeče vizuálně odlišovat EV certifikáty v adresním řádku.[3]

Důvěra v certifikační autoritu

editovat

Hodnota digitálního certifikátu je úměrná míře důvěry, kterou máme k údajům v něm uvedených. Proto je pro certifikační autoritu nejdůležitější důvěra, kterou vůči svému okolí vzbuzuje (tj. že nevydá digitální certifikát s nepravdivými údaji). Certifikační autorita proto musí adekvátním způsobem pečovat o svoji důvěryhodnost, jinak by nebylo možné využít principu přenosu důvěry (viz níže). Důvěryhodnost certifikační autority můžeme posoudit podle jejích webových stránek, použitého mechanismu ověření údajů, které žadatel o digitální certifikát předkládá a dalších znaků (články v tisku a elektronických médiích, kótované akcie a podobně). Cena vydaného certifikátu (resp. oblíbenosti certifikační autority) pak obvykle odpovídá této těžko exaktně definovatelné míře důvěry.

Placené certifikační autority získávají od svých klientů peníze, které používají jednak na zajištění vlastní činnosti, ale hlavně na platbu za zařazení vlastních kořenových certifikátů do software, který využívá přenosu důvěry (viz níže). Certifikační autority tak platí za distribuci svých kořenových certifikátů v Microsoft Windows, Firefoxu a dalších programech.[zdroj?]

Přenos důvěry

editovat

Přenos důvěry se běžně využívá v reálném světě. Čteme časopisy, noviny, hovoříme s lidmi, sledujeme televizi. Pokud se dozvíme něco nového, přikládáme informaci váhu podle důvěryhodnosti zdroje informací. Přenášíme tak důvěryhodnost zdroje informací na jím poskytovanou informaci. Věříme více svým blízkým přátelům nebo autoritám (seriózní noviny, učitel ve škole, kvalitní kniha, odborný pořad v televizi). Naopak s rezervou obvykle přistupujeme k informacím „jedna paní povídala“ nebo k reklamě. Nevěříme řádně odsouzenému člověku nebo prokázanému falzifikátu (např. Rukopis zelenohorský).

Stejným způsobem se uplatňuje přenos důvěry u certifikační autority. Je-li certifikační autorita důvěryhodná, můžeme věřit informacím uvedeným v digitálních certifikátech, které vydala (resp. digitálně podepsala). Věříme, že by certifikační autorita nevytvořila digitální certifikát s nepravdivými údaji.

V počítači jsou šifrovací klíče uloženy v úložišti certifikátů nebo v klíčence. Při ověřování autentičnosti veřejného klíče můžeme využít toho, že klíč je digitálně podepsán důvěryhodnou certifikační autoritou (jinou osobou atp.). Pokud je digitální podpis certifikátu platný a důvěřujeme certifikační autoritě, která klíč podepsala, přeneseme důvěru a věříme v důvěryhodnost neznámého veřejného klíče.

Pro usnadnění přenosu důvěry jsou v počítači obvykle předem přítomny kořenové klíče certifikačních autorit, které jsou distribuovány buď přímo s operačním systémem (Microsoft Windows) nebo s příslušnou aplikací (Firefox, Opera, Thunderbird atd.). Do úložiště je možné přidávat další certifikáty a následně důvěřovat certifikátům, které jsou jimi ověřitelné.

Jako certifikační autorita na internetu jsou dominantní USA. Jejich společnosti mají podíl na trhu přes 90 %.[4] NSA tak může odposlouchávat většinu komunikace.[zdroj?] [5][6]

Kvalifikovaná certifikační autorita

editovat

Kvalifikovaná certifikační autorita je v rámci České republiky definována Zákonem o elektronickém podpisu (zákon č. 227/2000 Sb.).[7] Seznam akreditovaných certifikačních autorit, které mohou vydávat kvalifikované certifikáty zveřejňuje Ministerstvo vnitra České republiky.[8]

Akreditovaná certifikační autorita vydává (zpoplatněné) kvalifikované certifikáty, což jsou standardní digitální certifikáty, které však jsou výše zmíněným zákonem uznávány v rámci komunikace se státními institucemi České republiky. Kvalifikovaný certifikát je ze zákona akceptován stejně jako občanský průkaz, avšak možnost využití kvalifikovaného certifikátu je omezena na vyjmenované případy (státní instituce musí být připraveny a jejich zaměstnanci příslušně proškoleni):[9]

  • komunikace elektronickou cestou se státní správou pomocí emailu
  • pro ověřování elektronických podpisů
  • pro bezpečné ověřování elektronických podpisů
  • zajištění neodmítnutelnosti odpovědnosti

Z hlediska právní platnosti je jedno u které akreditované certifikační autority je certifikát vytvořen. Kvalifikované certifikáty se řídí RFC 3039, přičemž zákon dále nařizuje používání položek Key Usage a nonRepudiation bitu.[10] Problémem kvalifikovaných certifikátů je šifrování, protože elektronický podpis nezahrnuje důvěrnost (realizovanou šifrováním).

Kvalifikované certifikační autority stojí v současné době mimo klasické celosvětově působící certifikační autority a zákon ani jiný stav nepředpokládá. Před ověřením kvalifikovaného certifikátu si proto uživatel musí do příslušného programu (webový prohlížeč, e-mailový klient) sám nainstalovat certifikát příslušné kvalifikované certifikační autority (a sám ověřit jeho důvěryhodnost), což je v současné době pravděpodobně nejslabší místo kvalifikovaného certifikátu, protože důležitost jeho důvěryhodnosti kvalifikované certifikační autority nezdůrazňují a své certifikáty mají jednoduše vystaveny na svých webových stránkách.[11]

Zneplatnění certifikátu

editovat

Digitální certifikát lze zneplatnit před ukončením jeho deklarované platnosti pomocí seznamu zneplatněných certifikátů (CRL), který je obvykle zpřístupněn na stránkách příslušné certifikační autority. Omezení doby platnosti certifikátu zabraňuje přetěžování CRL. Zpracování CRL může podporovat program, který s certifikáty pracuje (nejlépe automaticky a průběžně). Zneplatnění omezuje možné zneužití certifikátu a dochází k němu především ze dvou důvodů:

  1. při změně údajů uvedených v certifikátu
  2. při ohrožení soukromého klíče (odcizení klíče, prozrazení heslové fráze)
Podrobnější informace naleznete v článku Digitální certifikát.

Literatura

editovat

Reference

editovat
  1. https://archive.today/20120529130606/https://www.tractis.com/help/?p=3670 – Seznam certifikačních úřadů podle jednotlivých zemí
  2. EV SSL Certificate Guidelines [online]. 31 August 2013. Dostupné online. 
  3. Google, Mozilla: We're changing what you see in Chrome, Firefox address bars. ZDNET [online]. 2019-08-13 [cit. 2024-10-18]. Dostupné online. (anglicky) 
  4. https://w3techs.com/technologies/overview/ssl_certificate/all - Usage of SSL certificate authorities for websites
  5. https://zonena.me/2013/09/how-the-nsa-is-breaking-ssl/ - How the NSA is breaking SSL
  6. https://www.caseyresearch.com/cryptohippies-response-to-the-nsas-attack-on-encryption/[nedostupný zdroj] - Cryptohippie Responds to the NSA’s Attack on Encryption
  7. https://web.archive.org/web/20070209000623/http://portal.gov.cz/wps/portal/_s.155/701?kam=zakon&c=227%2F2000 – zákon 227/2000 Sb.
  8. http://www.mvcr.cz/clanek/prehled-kvalifikovanych-poskytovatelu-certifikacnich-sluzeb-a-jejich-kvalifikovanych-sluzeb.aspx Archivováno 14. 7. 2009 na Wayback Machine. – přehled kvalifikovaných poskytovatelů certifikačních služeb a jejich kvalifikovaných služeb (Ministerstvo vnitra České republiky)
  9. http://www.lupa.cz/clanky/kvalifikovany-certifikat-na-dve-veci/ – Použitelnost kvalifikovaného certifikátu.
  10. http://www.lupa.cz/clanky/kvalifikovany-certifikat-na-dve-veci-ii/ – Rozšiřující položky certifikátů.
  11. http://interval.cz/clanky/jak-si-vybrat-certifikacni-autoritu/ – Ověření důvěryhodnosti certifikátu.

Související články

editovat

Externí odkazy

editovat