Asymetrické šifrování

Princip

Princip asymetrického šifrování spočívá v existenci dvou různých klíčů - veřejného a sokuromého. Umožňuje tak komplexnější využití, nežli šífrování symetrické, kde jsou oba klíče stejné a obě strany týmž klíčem šifrují i dešifrují.

Použití asymetrické varianty je vesměs dvojí - buď jde o zprávu zašifrovanou soukromým klíčem kterou dokáže dešifrovat kdokoli (s veřejným klíčem který často bývá veřejně šířen) a slouží pro ověření uživatele, nebo naopak o zprávu zašifrovanou klíčem veřejným, kterou lze dešifrovat pouze klíčem soukromým - tedy pouze cílovou osobou.

Méně užívanou variantou je kombinace obou typů klíčů dvou různých uživatelů, při které vznikne zpráva, kterou mohou dešifrovat právě jen tito dva uživatelé. Tuto metodu lze použít například pro uložení klíče pro symetrifké šifrování. Tento proces úzce souvisí s pojmem Diffieho–Hellmanův protokol.

Digitální podpis

Digitální podpis je princip využití asymetrického šifrování pro nahrazení analogového podpisu.

Spočívá v zašifrování jedinečného otisku dokumentu (zprávy) soukromým klíčem odesílatele, a následně v porovnání této hodnoty dešifrované veřejným klíčem odesílatele s otiskem dokumentu (zprávy) který si adresát vytvoří sám. Pokud se shodují, je jasné že dokument se při přenosu nezměnil, a jeho odesílatel je autentický.

Časové razítko

Někdy je třeba ověřit mimo identity uživatele i čas odeslání dokumentu. V takovém případě je nutné se spolehnout na důvěryhodnou autoritu, která svým soukromým klíčem zašifruje otisk vzniklý kombinací otisku dokumentu a časového razítka.

Při zpětné kontrole se pak stejným způsobem vytvoří kombinovaný otisk časového razítka a otisku dokumentu, a tyto dva se porovnají.

Digitální certifikát

Jak vyplývá z předchozího textu, pro všeobecné fungující využití digitálních podpisů a časových razítek je nutné se spolehnout na aktuálnost a autenticitu veřejně distibuovaných klíčů.

Z toho důvodu jsou veřejné klíče distribuovány jakožto digitální certifikáty - struktury, která mimo samotného klíče obsahují především informace o držiteli soukromého klíče (tedy i certifikátu) a dobu platnosti certifikátu - to vše podepsáno soukromým klíčem vydavatelem certifikátu.

Tímto vydavatelem pak zpravidla bývají certifikační agentury, které se o vydávání cerfitikátů a ověřování jejich uživatelů, starají.

Certifikační autority

Základní struktura umožňující důvěryhodné používání digitálních podpisů je centralizovaná a realizovaná certifikačními autoritami.

Zásadní je, že velké certifikační agentury již mají své certifikáty nainstalovány v systému. Tyto pak uplatňují myšlenku přenosu důvěry, která říká že pokud důvěřujete autoritě která daný certifikát podepsala svým soukromým klíčem, můžete důvěřovat i tomuto certifikátu.

Certifikační agentury jsou většinou komerční subjekty, často fungující v rámci dané země a jejích specifických zákonů v oblasti digitálních podpisů.

Sítě důvěry

Alternativou centralizovaného systému certifikačních agentur jsou sítě důvěry. Může se do nich zapojit se svým certifikátem každý, a sám tak fungovat jako subjekt v systému přenosu důvěry.

Pokud tedy uživatel A nějakou dobu kominikuje s uživateli B a C, které považuje za důvěryhodné, podepíše jejich veřejné klíče - a pokud tito budou v budoucnu komunikovat s někým kdo důvěřuje uživateli A, automaticky bude důvěřovat i jejich certifikátu.

Zdroje

ADAMS, Carlisle, Steve LLOYD a Carlisle ADAMS. Understanding PKI: concepts, standards, and deployment considerations. 2nd ed. Boston: Addison-Wesley, 2003, xxviii, 322 p. ISBN 06-723-2391-5.

Internet X.509 Public Key Infrastructure: Certificate and CRL Profile. [online]. Dostupné z: http://www.ietf.org/rfc/rfc3280.txt

Analysis of the HTTPS Certificate Ecosystem. [online]. Dostupné z: http://conferences.sigcomm.org/imc/2013/papers/imc257-durumericAemb.pdf