Sdílet prostřednictvím

Certifikáty a veřejné klíče

  • Článek

Služba Certificate Services je jedním ze základů infrastruktury veřejných klíčů (PKI), která poskytuje prostředky pro ochranu a ověřování informací. Vztah mezi držitelem certifikátu, identitou držitele certifikátu a veřejným klíčem držitele certifikátu je důležitou součástí infrastruktury veřejných klíčů. Tato infrastruktura se skládá z následujících částí:

Pár veřejného a privátního klíče

Infrastruktura veřejných klíčů vyžaduje použití párů veřejného a privátního klíče . Matematika párů veřejného a privátního klíče je nad rámec této dokumentace, ale je důležité si uvědomit funkční vztah mezi veřejným a privátním klíčem. Kryptografické algoritmy infrastruktury veřejných klíčů používajíveřejného klíčepříjemce šifrované zprávy k šifrování dat a související privátní klíč a pouze související privátní klíč k dešifrování šifrované zprávy.

Podobně se vytvoří digitální podpis obsahu, který je podrobněji popsán níže, s privátním klíčem podepisující osoby. K ověření tohoto podpisu se používá odpovídající veřejný klíč, který je k dispozici všem. Utajení privátního klíče musí být zachováno, protože architektura se oddělí po ohrožení privátního klíče.

Vzhledem k dostatek času a prostředků může dojít k ohrožení páru veřejného a privátního klíče, tj. k zjištění privátního klíče. Čím delší je klíč, tím obtížnější je použití hrubou silou ke zjištění privátního klíče. V praxi lze dostatečně silné klíče použít k tomu, aby nebylo možné včas určit privátní klíč, aby infrastruktura veřejného klíče byla realizovatelným mechanismem zabezpečení.

Privátní klíč lze uložit na disk v chráněném formátu, v takovém případě jej lze použít pouze s tímto konkrétním počítačem, pokud není fyzicky přesunut do jiného počítače. Alternativou je mít klíč na čipové kartě, který lze použít na jiném počítači za předpokladu, že má čtečku čipových karet a podpůrný software.

Veřejný klíč, ale nikoli privátní klíč, předmět digitálního certifikátu je součástí žádosti o certifikát . (Před vytvořením žádosti o certifikát proto musí existovat pár veřejného a privátního klíče.) Tento veřejný klíč se stane součástí vydaného certifikátu.

Žádost o certifikát

Před vystavením certifikátu se musí vygenerovat žádost o certifikát. Tento požadavek se týká jedné entity, například koncového uživatele, počítače nebo aplikace. Pro diskuzi předpokládejme, že entita je sama. Podrobnosti o vaší identitě jsou součástí žádosti o certifikát. Po vygenerování žádosti se odešle do certifikační autority (CA). Certifikační autorita pak pomocí informací o vaší identitě určí, jestli požadavek splňuje kritéria certifikační autority pro vystavování certifikátu. Pokud certifikační autorita žádost schválí, vydá vám certifikát jako entitu pojmenovanou v žádosti.

Certifikační autorita

Před vydáním certifikátu certifikační autorita ověří vaši identitu. Po vystavení certifikátu je vaše identita svázaná s certifikátem, který obsahuje váš veřejný klíč. Váš certifikát obsahuje také digitální podpis certifikační autority (který může ověřit každý, kdo obdrží váš certifikát).

Vzhledem k tomu, že váš certifikát obsahuje identitu vydávající certifikační autority, může tato certifikační autorita tento vztah důvěryhodnosti rozšířit na váš certifikát. Vystavení certifikátu nezřídí vztah důvěryhodnosti, ale přenese vztah důvěryhodnosti. Pokud příjemce certifikátu nedůvěřuje vydávající certifikační autoritě, nebude (nebo alespoň neměl) důvěřovat vašemu certifikátu.

Řetěz podepsaných certifikátů umožňuje také přenos důvěryhodnosti do jiných certifikačních autorit. To umožňuje stranám, které používají různé certifikační autority, mít stále možnost důvěřovat certifikátům (za předpokladu, že v řetězci existuje společná certifikační autorita, to znamená certifikační autorita, která je důvěryhodná oběma stranami).

Certifikát

Kromě vašeho veřejného klíče a identity vydávající certifikační autority obsahuje vystavený certifikát informace o účelech vašeho klíče a certifikátu. Kromě toho obsahuje cestu k seznamu odvolaných certifikátů certifikační autority a určuje dobu platnosti certifikátu (počáteční a koncové datum).

Za předpokladu, že příjemce certifikátu důvěřuje vydávající certifikační autoritě pro váš certifikát, musí příjemce certifikátu určit, jestli je certifikát stále platný, porovnáním počátečního a koncového data certifikátu s aktuálním časem a kontrolou, že certifikát není v seznamu odvolaných certifikátů certifikační autority.

Seznam odvolaných certifikátů

Za předpokladu, že se certifikát používá v platném časovém období a příjemce certifikátu důvěřuje vydávající certifikační autoritě, existuje ještě jedna položka, kterou má příjemce certifikátu zkontrolovat před použitím certifikátu: seznam odvolaných certifikátů (CRL). Příjemce certifikátu zkontroluje seznam CRL certifikační autority (cestu, která je součástí vašeho certifikátu jako rozšíření) a ověří, že váš certifikát není v seznamu odvolaných certifikátů. Seznamy CRL existují, protože v době, kdy nevypršela platnost certifikátu, ale už nemůže být důvěryhodná. Certifikační autorita pravidelně publikuje aktualizovaný seznam CRL. Příjemci certifikátů zodpovídají za porovnání certifikátů s aktuálním seznamu CRL před zvážením důvěryhodnosti certifikátu.

Váš veřejný klíč používaný k šifrování

Pokud odesílatel chce před odesláním zprávy zašifrovat zprávu, odesílatel nejdřív načte váš certifikát. Jakmile odesílatel zjistí, že certifikační autorita je důvěryhodná a váš certifikát je platný a neodvolaný, použije váš veřejný klíč (odvolání je součástí certifikátu) s kryptografickými algoritmy k šifrování prostého textu zprávy do šifry. Když obdržíte šifrový text, použijete privátní klíč k dešifrování šifrového textu.

Pokud třetí strana zachytí e-mailovou zprávu šifry, třetí strana ji nebude moci dešifrovat bez přístupu k vašemu privátnímu klíči.

Všimněte si, že většinu zde uvedených aktivit zpracovává software, nikoli přímo uživatel.

Váš veřejný klíč použitý k ověření podpisu

digitální podpis slouží jako potvrzení, že zpráva nebyla změněna, a jako potvrzení identity odesílatele zprávy. Tento digitální podpis závisí na vašem privátním klíči a obsahu zprávy. Pomocí zprávy jako vstupu a privátního klíče vytvářejí kryptografické algoritmy digitální podpis. Obsah zprávy se při podepisování nezmění. Příjemce může použít váš veřejný klíč (po kontrole platnosti certifikátu, vystavení certifikační autority a stavu odvolání) k určení, jestli podpis odpovídá obsahu zprávy a jestli vám zprávu poslal.

Pokud třetí strana zachytí zamýšlenou zprávu, změní ji (i mírně) a přepošle ji a původní podpis příjemci, příjemce při prozkoumání zprávy a podpisu, bude moct zjistit, že zpráva je podezřelá. Podobně pokud třetí strana vytvoří zprávu a odešle ji s falešným digitálním podpisem, který pochází od vás, příjemce bude moct použít váš veřejný klíč k určení, že zpráva a podpis vzájemně neodpovídají.

nererepudiace je podporována také digitálními podpisy. Pokud odesílatel podepsané zprávy odmítne odeslání zprávy, může příjemce použít podpis k odvolání této deklarace identity.

Všimněte si, že většina zde uvedených aktivit je také zpracována softwarem, nikoli přímo uživatelem.

Microsoft Certificate Services Role

Služba Microsoft Certificate Services má roli vydávání certifikátů nebo zamítnutí žádostí o certifikáty, jak je směruje moduly zásad, které zodpovídají za zajištění identity žadatele o certifikáty. Služba Certificate Services také poskytuje možnost odvolat certifikát a také publikovat seznam odvolaný seznam odvolaný certifikát. Služba Certificate Services může také centrálně distribuovat (například do adresářové služby) vydané certifikáty. Schopnost vydávat, distribuovat, odvolávat a spravovat certifikáty spolu s publikováním seznamů CRL poskytuje nezbytné možnosti pro infrastrukturu veřejného klíče.