Certifikát

 

Soukromý klíč musí jeho vlastník uschovat, nejčastěji na čipové kartě, příp. v zašifrované podobě na disku. Veřejný klíč je naopak nutno zveřejnit. Způsobů zveřejnění existuje více, ale dále se předpokládá zveřejnění s použitím certifikátu.

Certifikát je elektronický dokument, který spojuje identitu vlastníka veřejného klíče s jeho veřejným klíčem. O toto spojení a poté zveřejnění veřejného klíče se stará tzv. certifikační autorita - dále CA. CA je důvěryhodná třetí strana, která svým podpisem certifikátu stvrzuje, že klíč patří skutečně danému subjektu, proto je její kvalita a bezpečnostní úroveň pro celý proces velmi důležitá.

Certifikát spojuje identitu (člověk, server, firma apod.) a její veřejný klíč, a v komunikaci ověřuje identitu protějšku, v elektronickém světě nahrazuje průkaz totožnosti, musíme ale důvěřovat certifikační autoritě.

Požadavky na obsah certifikátu jsou dány normou protokolu X.509, ze které jsou pak odvozeny další protokoly, jako je např. S / MIME, IP security, SSL /TLS

Dle X.509 (již v3), certifikát musí obsahovat povinné položky, identifikátor držitele klíče, veřejný klíč, dobu platnosti a řadu dalších. Certifikát má přesně daná pole, existují verze X.509 v1, 2, 3 a každá vyšší počet polí zvýšila. X.509 také předepisuje způsob autentizace při použití certifikátů.

Veřejné klíče certifikačních autorit mohou být opět certifikovány jinými certifikačními autoritami. Je možné představit si stromové struktury certifikačních autorit nebo síťové struktury, ve kterých se certifikační autority náležící do různých stromů navzájem křížově certifikují, což vytváří cesty certifikace nebo řetězce důvěry mezi jednotlivými partnery.