Certifikační autorita

Certifikační autorita (dále CA) je důvěryhodná třetí strana, která vydává digitální certifikáty k veřejným klíčům a která tak garantuje identitu osoby nebo systému v digitálním světě. CA tedy zaručuje, že podepsaná strana je ta, za kterou se vydává. V České republice (a potažmo v EU) existují z legislativního pohledu dva typy certifikačních autorit:

  1. Komerční certifikační autority – vydávají certifikáty a časová razítka pro komerční účely
  2. Kvalifikované certifikační autority – vydávají certifikáty a časová razítka podle přesně stanovených podmínek tak, aby byly tyto certifikáty použitelné pro elektronický styk se státní správou. Více informací v článku o kvalifikovaných certifikačních autoritách.

Z pohledu technologického oba dva typy autorit fungují totožně. Vydávají a odvolávají certifikáty, CRL a časová razítka podle standardu X.509 verze 3.

Registrační autorita

Pro komunikaci s žadateli o poskytnutí certifikačních služeb zřizují certifikační autority úřad, který se nazývá registrační autorita (dále RA). Registrační autorita zejména zajišťuje tyto aktivity:

  • přijímání žádostí o vydání nebo odvolání certifikátů 
  • uzavírání smluv s klienty o poskytování certifikačních služeb dle platných předpisů a legislativy
  • ověření totožnosti žadatele a shodu žádosti s předloženými doklady
  • předávání vydaných certifikátů klientům

RA nevydává certifikát přímo, nýbrž žádá o jeho vydání u své CA. CA může mít jednu anebo více RA. V současné době probíhá obvykle proces žádosti o digitální certifikátu tak, že si uživatel vygeneruje žádost o certifikát (Certificate request) a následně navštíví registrační autoritu vybrané certifikační autority, kde se zprocesují všechny náležitosti, potřebné k vydání digitálního certifikátu.

Certificate Policy

Certifikační autorita poskytuje své služby na základě dokumentu, nazvaného certifikační politika. Jsou vněm zveřejněny postupy a metody vydávání a odvolávání certifikátů, CRL, časových razítek, dále např. jakým způsobem autorita ručí za prokázání identity a další informace, související s jejími službami. Certifikační politika je dokument, který je veřejný a je k dispozici na každé registrační autoritě dané certifikační autority.

Certification Practice Statement

Certification Practice Statement je prováděcí směrnicí, která přesně specifikuje, jaké procesy jsou aplikovány pro poskytování certifikačních služeb. Tento dokument není veřejný. Kontrola dodržování těchto dokumentů je možná v rámci bezpečnostních auditů.

Klíče a certifikáty CA

Jak bylo uvedeno v článku o digitálním certifikátu, vydání certifikátu je proces, při kterém se mj. digitálně podepíše veřejný klíč žadatele privátním klíčem CA. Pro tento účel má každá certifikační autorita vygenerovány speciální klíčové páry.

Prvním a nejdůležitějším je kořenový klíčový pár. Klíčový pár se generuje na specializovaném hardwaru, který jej také bezpečně uchovává. Požadavky na zabezpečení soukromého klíče jsou extrémní. Jedná o hardwarová zařízení, která umožňují nejen uložení daných klíčů, ale taky provádění kryptografických operací. V okamžiku, kdy by došlo ke ztrátě nebo odcizení, by mohl „nový vlastník“ vydávat vlastní certifikáty pod hlavičkou cizí CA. Důsledky asi není nutné popisovat. V tomto okamžiku by to znamenalo konec dané CA.

Podepsání veřejného klíče vlastním soukromým klíčem kořenového klíčového páru vzniká tzv. kořenový certifikát – root certificate. Důležitým momentem je fakt, že kořenový certifikát je self-signed. Toto je nutné brát v úvahu při doručování kořenového certifikátu uživateli před jeho instalací. Je nutné, aby byl doručen z důvěryhodného zdroje. Obvykle se procedura řeší ihned po vydání osobního certifikátu – žadateli jsou odeslány emailem všechny potřebné certifikáty pro nastavení důvěryhodnosti na jeho koncovém zařízení (může být např. počítač, nebo smart phone). Platnost kořenového certifikátu bývá nastavena na dobu desítek let (typicky 15-20 let).

Kořenový soukromý klíč je použit už pouze jenom pro podepsání dalších vydávajících certifikátů. Poté je hardware s kořenovým klíčovým párem bezpečně uložen.

Certifikační řetězec

Vydávající certifikát je druhým certifikátem za kořenovým certifikátem, který se používá pro vydávání osobních/serverových certifikátů a časových razítek. Vzniká tzv. certifikační řetězec (certificate chain) – viz obrázek.

 Certificate chain

Pro všechny klíčové páry CA platí uvedené extrémní bezpečnostní požadavky na uložení a operace s klíči.

Třídy vydávaných certifikátů

Každý vydaný certifikát má určitou úroveň důvěryhodnosti a je určen pro určitou činnost. Základní typy digitálních certifikátů jsou:

  • osobní certifikáty – jsou určeny identifikaci osob, jsou vydány na jméno osoby
  • serverové certifikáty – jsou určeny pro důvěryhodnou identifikaci serverů, většinou pro HTTP, jsou vydány na jméno serveru
  • code sign certifikáty – jsou určeny pro podepisování programového kódu

Další členění certifikátů je do tříd. Jedná se o pět tříd, které specifikují, o jaký certifikát se jedná a jakým způsobem CA ručí.

  • Class 1: Úroveň, určená pro aplikace, které zpracovávají informace poměrně nízké hodnoty v prostředích, které se vyznačují nízkou úrovní rizika. Certifikáty Class 1 nezajišťují údaje o vlastníkovi, při jejich vytváření je pouze kontrolována všemi dostupnými prostředky existence e-mail adresy. Tyto certifikáty poskytují nejnižší stupeň důvěryhodnosti. Minimální délka klíče není specifikována.
  • Class 2: Úroveň, určená pro aplikace, které zpracovávají informace nízké hodnoty v prostředích, které se vyznačují nízkou nebo střední úrovni rizika. Při vytváření je ověřováno, zda neobsahuje informace v rozporu s kopií OP, ŘP nebo pasu. Tyto certifikáty poskytují přijatelné ověření identity jejich vlastníka, které je založeno na porovnání s podepsanou kopií identifikačního dokumentu.
  • Class 3: Úroveň, určená pro aplikace, které zpracovávají informace střední nebo vysoké hodnoty v prostředích, které se vyznačují nízkou nebo střední úrovni rizika. Při vytváření je vyžadována fyzická přítomnost budoucího vlastníka u RA. 
  • Class 4: Úroveň, určená pro aplikace, které zpracovávají informace střední hodnoty v prostředích, které se vyznačují vysokou úrovni rizika. Certifikáty vydané v této třídě, poskytují nejvyšší možné ověření identity jejich vlastníka. Všechny klíče musí být uloženy na hardwarových zařízeních.
  • Class 5: Úroveň, určená pro aplikace, které zpracovávají informace vysoké hodnoty v prostředích, které se vyznačují vysokou úrovni rizika. Požadavky na identifikaci vlastníka certifikátu, jsou stejné jako u Class 4. Dalším požadavkem je použití hardwarových zařízení pro provádění kryptografických operací.

Závěr

Využití služeb certifikačních autorit jakožto poskytovatelů certifikačních služeb je zásadní. Mimo digitálních certifikátů vydávají CA také několikrát zmíňovaná časová razítka. K čemu jsou a jak fungují si řekneme v dalším díle technologického miniseriálu.

./tk

Máte dotaz? Potřebujete poradit? Napište nám!

Děkujeme za Váš dotaz. Brzy se Vám ozveme.

Kontaktní informace

O nás

Jsme skupinou, která se zabývá problematikou důvěryhodné archivace dokumentů v elekronické podobě. Zabýváme se elekronickým zpracováním dokumentů tak, aby byly naplněny evropské a státní legislativní normy a zákony. Konečně lze říci, že dokument v elektronické podobě má stejnou hodnotu jako v papírové! Čtěte více zde!