Asymetrické šifrování: Porovnání verzí
m (→Sítě důvěry) |
|||
(Nejsou zobrazeny 4 mezilehlé verze od 2 dalších uživatelů.) | |||
Řádek 34: | Řádek 34: | ||
Alternativou centralizovaného systému certifikačních agentur jsou sítě důvěry. Může se do nich zapojit se svým certifikátem každý, a sám tak fungovat jako subjekt v systému přenosu důvěry. | Alternativou centralizovaného systému certifikačních agentur jsou sítě důvěry. Může se do nich zapojit se svým certifikátem každý, a sám tak fungovat jako subjekt v systému přenosu důvěry. | ||
− | Pokud tedy uživatel A nějakou dobu | + | Pokud tedy uživatel A nějakou dobu komunikuje s uživateli B a C, které považuje za důvěryhodné, podepíše jejich veřejné klíče - a pokud tito budou v budoucnu komunikovat s někým kdo důvěřuje uživateli A, automaticky bude důvěřovat i jejich certifikátu. |
== Zdroje == | == Zdroje == | ||
Řádek 45: | Řádek 45: | ||
[[Kategorie:Informační studia a knihovnictví]] | [[Kategorie:Informační studia a knihovnictví]] | ||
+ | [[Kategorie:Informační technologie, knihovnické technologie]] | ||
+ | [[Kategorie:Duplicity UISK]] |
Aktuální verze z 3. 2. 2019, 23:16
Obsah
Princip
Princip asymetrického šifrování spočívá v existenci dvou různých klíčů - veřejného a sokuromého. Umožňuje tak komplexnější využití, nežli šífrování symetrické, kde jsou oba klíče stejné a obě strany týmž klíčem šifrují i dešifrují.
Použití asymetrické varianty je vesměs dvojí - buď jde o zprávu zašifrovanou soukromým klíčem kterou dokáže dešifrovat kdokoli (s veřejným klíčem který často bývá veřejně šířen) a slouží pro ověření uživatele, nebo naopak o zprávu zašifrovanou klíčem veřejným, kterou lze dešifrovat pouze klíčem soukromým - tedy pouze cílovou osobou.
Méně užívanou variantou je kombinace obou typů klíčů dvou různých uživatelů, při které vznikne zpráva, kterou mohou dešifrovat právě jen tito dva uživatelé. Tuto metodu lze použít například pro uložení klíče pro symetrifké šifrování. Tento proces úzce souvisí s pojmem Diffieho–Hellmanův protokol.
Digitální podpis
Digitální podpis je princip využití asymetrického šifrování pro nahrazení analogového podpisu.
Spočívá v zašifrování jedinečného otisku dokumentu (zprávy) soukromým klíčem odesílatele, a následně v porovnání této hodnoty dešifrované veřejným klíčem odesílatele s otiskem dokumentu (zprávy) který si adresát vytvoří sám. Pokud se shodují, je jasné že dokument se při přenosu nezměnil, a jeho odesílatel je autentický.
Časové razítko
Někdy je třeba ověřit mimo identity uživatele i čas odeslání dokumentu. V takovém případě je nutné se spolehnout na důvěryhodnou autoritu, která svým soukromým klíčem zašifruje otisk vzniklý kombinací otisku dokumentu a časového razítka.
Při zpětné kontrole se pak stejným způsobem vytvoří kombinovaný otisk časového razítka a otisku dokumentu, a tyto dva se porovnají.
Digitální certifikát
Jak vyplývá z předchozího textu, pro všeobecné fungující využití digitálních podpisů a časových razítek je nutné se spolehnout na aktuálnost a autenticitu veřejně distibuovaných klíčů.
Z toho důvodu jsou veřejné klíče distribuovány jakožto digitální certifikáty - struktury, která mimo samotného klíče obsahují především informace o držiteli soukromého klíče (tedy i certifikátu) a dobu platnosti certifikátu - to vše podepsáno soukromým klíčem vydavatelem certifikátu.
Tímto vydavatelem pak zpravidla bývají certifikační agentury, které se o vydávání cerfitikátů a ověřování jejich uživatelů, starají.
Certifikační autority
Základní struktura umožňující důvěryhodné používání digitálních podpisů je centralizovaná a realizovaná certifikačními autoritami.
Zásadní je, že velké certifikační agentury již mají své certifikáty nainstalovány v systému. Tyto pak uplatňují myšlenku přenosu důvěry, která říká že pokud důvěřujete autoritě která daný certifikát podepsala svým soukromým klíčem, můžete důvěřovat i tomuto certifikátu.
Certifikační agentury jsou většinou komerční subjekty, často fungující v rámci dané země a jejích specifických zákonů v oblasti digitálních podpisů.
Sítě důvěry
Alternativou centralizovaného systému certifikačních agentur jsou sítě důvěry. Může se do nich zapojit se svým certifikátem každý, a sám tak fungovat jako subjekt v systému přenosu důvěry.
Pokud tedy uživatel A nějakou dobu komunikuje s uživateli B a C, které považuje za důvěryhodné, podepíše jejich veřejné klíče - a pokud tito budou v budoucnu komunikovat s někým kdo důvěřuje uživateli A, automaticky bude důvěřovat i jejich certifikátu.
Zdroje
ADAMS, Carlisle, Steve LLOYD a Carlisle ADAMS. Understanding PKI: concepts, standards, and deployment considerations. 2nd ed. Boston: Addison-Wesley, 2003, xxviii, 322 p. ISBN 06-723-2391-5.
Internet X.509 Public Key Infrastructure: Certificate and CRL Profile. [online]. Dostupné z: http://www.ietf.org/rfc/rfc3280.txt
Analysis of the HTTPS Certificate Ecosystem. [online]. Dostupné z: http://conferences.sigcomm.org/imc/2013/papers/imc257-durumericAemb.pdf