Certyfikaty cyfrowe
ITpedia
Chociaż kryptografia klucza publicznego jest już dobrze ugruntowana i powszechnie akceptowana jako bezpieczna metoda ochrony poufności danych, to jednak nie jest wolna od wad. Ponieważ klucze publiczne są z definicji łatwo dostępne, podstawowym problemem jest zapewnienie, że poszczególne ich egzemplarze rzeczywiście należą do formalnie przypisanych im osób (organizacji) i nie są falsyfikatami. Klucze te są losową mieszanką nic nie znaczących cyfr, nie mających związku z osobami i nie zawierających żadnych informacji identyfikacyjnych o właścicielu. Oznacza to, że osoba A może tworzyć fałszywe klucze publiczne i publikować je, utrzymując, że pochodzą one od osoby B. Osoba C, zamierzająca wysłać osobistą wiadomość do B, szyfruje ją używając sfałszowanego klucza publicznego. W rezultacie wiadomość ta jest bezużyteczna dla B, natomiast A może ją przechwycić i odtajnić. W realnym świecie biznesu, jeżeli zamierza się prowadzić interesy z kimś kompletnie nieznanym, to prosi się go o referencje lub o wskazanie strony trzeciej, która może potwierdzić, iż jest on godny zaufania. Podobną metodę postępowania można zastosować w świecie elektronicznym, używając „certyfikatów cyfrowych” (digital certificates).
Certyfikat cyfrowy to niewielki blok danych zawierający publiczny klucz użytkownika wraz z potwierdzeniem, w formie podpisu elektronicznego, jego autentyczności przez stronę trzecią. Ta strona trzecia to wydawca certyfikatów (Certification Authority – CA). Może to być instytucja publiczna lub prywatna. Organizacja funkcjonująca jako własny CA (z własnym źródłem certyfikacji) jest prywatnym CA, natomiast publiczny CA oferuje swoje usługi zarówno dla użytkowników końcowych, jak i ciał korporacyjnych, które życzą sobie zewnętrznego źródła certyfikatów.
Certyfikat ma ograniczony czas życia, określony w treści certyfikatu. Ponieważ certyfikaty są podpisane i ich wiarygodność może być niezależnie sprawdzona przez używającego go klienta, to mogą być rozprowadzane za pomocą powszechnie dostępnych systemów komunikacyjnych oraz serwerów, a także mogą być buforowane w nie zabezpieczonych pamięciach systemów używających certyfikatów. Certyfikaty są używane w procesie poświadczania podpisu cyfrowego. Szczegóły mogą zmieniać się w zależności od zastosowanego algorytmu, ale ogólny proces weryfikacji przebiega w niżej opisany sposób.
Odbiorca podpisanego dokumentu sprawdza, czy:
- podawana tożsamość użytkownika jest zgodna z tożsamością zawartą w certyfikacie;
- żaden z certyfikatów – w ciągu certyfikatów powiązanych – nie został unieważniony oraz żaden nie był przeterminowany w momencie podpisywania danych;
- dane nie zostały zmienione od momentu ich podpisania (sprawdzane za pomocą klucza publicznego z certyfikatu).
Jeśli wszystkie powyższe warunki są spełnione, odbiorca może przyjąć, że dane zostały podpisane przez podaną jednostkę. W przypadku kluczy używanych do szyfrowania stosuje się podobny proces sprawdzania.
