Problemem wciąż trudnym do rozwiązania pozostaje zapewnienie współpracy różnych hierarchii cyfrowych certyfikatów w infrastrukturze klucza publicznego.

Certyfikat cyfrowy jest elektronicznym odpowiednikiem dowodu tożsamości. Zawiera zazwyczaj dane identyfikacyjne użytkownika (imię, nazwisko, adres poczty elektronicznej) oraz klucz publiczny, jednoznacznie identyfikujący użytkownika. Jest on wykorzystywany w celu uwierzytelnienia użytkownika w systemie, zaszyfrowania poczty elektronicznej czy zabezpieczenia innych form komunikacji.

Elementarz PKI

Podstawowym elementem w infrastrukturze klucza publicznego jest jednostka certyfikująca (CA), zajmującą się wydawaniem, dystrybucją i unieważnianiem cyfrowych certyfikatów. Nadanie certyfikatu polega na przydzieleniu osobie, komputerowi czy innemu podmiotowi konkretnego klucza publicznego. Jednostki certyfikujące mają strukturę hierarchiczną - jednostka nadrzędna wydaje certyfikat jednostce podrzędnej. Weryfikacja certyfikatu wymaga potwierdzenia jego ważności przez jednostkę, która ten certyfikat wydała. Do tego może być konieczne uzyskanie akceptacji wszystkich jednostek certyfikujących w danej strukturze.

Problem zaczyna się wtedy, gdy współpracę mają rozpocząć firmy, z których każda dysponuje własną infrastrukturą klucza publicznego. Jak połączyć je ze sobą poprzez ekstranet?

W takiej sytuacji trzeba zapewnić współpracę (komunikację) pomiędzy różnymi jednostkami certyfikującymi. Muszą być one zdolne do wzajemnego stwierdzenia ważności certyfikatu.

Do tej współpracy niestety nie wystarczy, żeby dwie firmy wykorzystywały oprogramowanie tego samego producenta do budowy infrastruktury klucza publicznego. Nie można sprawdzić ważności certyfikatu należącego do osobnej struktury, jeśli obie hierarchie nie stykają się poprzez wspólną jednostkę certyfikującą. Można zastosować również model tzw. bezpośredniego zaufania, w którym jednostki certyfikujące najwyższego rzędu wymieniają między sobą klucze. Ten proces może być pracochłonny, zwłaszcza jeśli zachodzi potrzeba odwoływania ważności kluczy. Jednostka certyfikująca w jednej firmie może również podpisać zaświadczenie ważności klucza publicznego jednostki certyfikującej należącej do drugiej firmy. Wówczas mamy do czynienia z certyfikacją skrośną.

Niedobrze gdy różne

Jeśli mają ze sobą współpracować hierarchie zbudowane przy użyciu narzędzi różnych dostawców, sprawa nieco się komplikuje. Struktura i rozszerzenia certyfikatów nie są bowiem do końca sprecyzowane w standardzie X.509. Najwięcej problemów może sprawić obsługa rozszerzeń (dodatkowych informacji dołączanych do wydawanych certyfikatów) - obie hierarchie muszą być pod tym względem zgodne, co czasem może oznaczać, że konieczne jest dokonywanie przeróbek w istniejących systemach PKI.

PKI jest skomplikowaną technologią, lecz producenci pracują nad tym, by bazujące na niej rozwią- zania łatwiej było wdrożyć i nimi administrować.