Infrastruktura klucza publicznego i podpisy elektroniczne
- Józef Muszyński,
- 01.06.2001
Certyfikat ma ograniczony czas życia, określony w treści certyfikatu. Ponieważ certyfikat jest podpisany i jego wiarygodność może być niezależnie sprawdzona przez używającego go klienta, to certyfikaty mogą być rozprowadzane za pomocą powszechnie dostępnych systemów komunikacyjnych oraz serwerów, a także mogą być buforowane w nie zabezpieczonych pamięciach systemów używających certyfikatów. Certyfikaty są używane w procesie poświadczania podpisu cyfrowego. Szczegóły mogą zmieniać się w zależności od zastosowanego algorytmu, ale ogólny proces weryfikacji przebiega w niżej opisany sposób. Odbiorca podpisanego dokumentu sprawdza, czy:
Jeśli wszystkie powyższe warunki są spełnione, odbiorca może przyjąć, że dane zostały podpisane przez podaną jednostkę. W przypadku kluczy używanych do szyfrowania stosuje się podobny proces sprawdzania.
Infrastruktura klucza publicznego - PKI
Zarządzanie kluczami oraz certyfikatami stosowanymi w kryptografii klucza publicznego zapewnia tzw. infrastruktura klucza publicznego - PKI (Public Key Infrastructure). PKI można określić jako zbiór sprzętu, oprogramowania, reguł oraz procedur niezbędnych do tworzenia, zarządzania, przechowywania i dystrybucji certyfikatów opartych na kryptografii z kluczem publicznym.
PKI składa się zazwyczaj z pięciu podstawowych komponentów:
Właściwie zaimplementowana infrastruktura klucza publicznego powinna wymuszać uaktualnienie klucza w regularnych odstępach czasu, określanych przede wszystkim przez wymagania systemu ochrony danej organizacji, a nie przez decyzje komercyjne. Uaktualnianie klucza powinno być także całkowicie pod kontrolą administratora PKI.
Zarządzanie kluczem nakłada znaczące obciążenie na organizację, ponieważ wymaga czegoś więcej niż tylko oprogramowania serwera certyfikacji tworzącego i dystrybuującego certyfikaty cyfrowe. W zakresie PKI ratyfikowano już odpowiednie standardy pozwalające na tworzenie kompatybilnych systemów PKI.
Standard X.509 stanowi powszechnie akceptowaną podstawę infrastruktury PKI, definiującą formaty danych oraz procedury związane z dystrybucją kluczy publicznych za pomocą certyfikatów cyfrowo podpisanych przez CA. Aktualne wydania standardów definiują certyfikat X.509 w wersji 3 oraz CRL w wersji 2.
Certyfikat X.509 V3. Każdy certyfikat zawiera trzy główne pola: ciało certyfikatu, algorytm podpisu i podpis uwierzytelniający. Ciało certyfikatu zawiera numer wersji, numer seryjny, nazwy wydawcy oraz jednostki, której certyfikat dotyczy, klucz publiczny związany z tą jednostką oraz termin ważności. Może ono zawierać rozszerzenia, które są opcjonalnymi unikatowymi polami identyfikującymi, wiążącymi dodatkowe atrybuty z użytkownikami lub kluczami publicznymi. Algorytm podpisu to algorytm używany przez CA do podpisania certyfikatu. Podpis uwierzytelniający jest podpisem cyfrowym potwierdzającym autentyczność certyfikatu.