1.10    Certifikáty

Vraťme se ale zpět k „asymetrickým“ klíčům: když někdo získá náš veřejný klíč, a s jeho pomocí si ověří platnost nějakého našeho elektronického podpisu, jak si může být jist, že jde skutečně o náš podpis? Přesněji: jak si může být jist, že onen veřejný klíč, použitý k ověření podpisu, je skutečně náš? Co když ve skutečnosti patří někomu úplně jinému, kdo by tímto způsobem chtěl vydávat svůj podpis za náš?

Jistě, pokud jsme dotyčnému předali náš veřejný klíč sami, hezky „z ruky do ruky“, pak není co řešit. Ale mnohem častější je situace, kdy jsme svůj veřejný klíč vyvěsili na nějakém veřejném místě v online světě (na nějaké veřejné nástěnce). Nebo – a to je zcela běžná praxe – jsme svůj veřejný klíč přiložili přímo k podepsanému dokumentu. Jak se potom může příjemce spolehnout na to, že skutečně jde o náš veřejný klíč?

Řešení naštěstí není principiálně složité: stačí najít někoho třetího – nějakou dostatečně důvěryhodnou autoritu – která potvrdí, komu veřejný klíč patří. A aby to nemusela deklarovat pokaždé znovu, vystaví na to jakési opakovaně využitelné potvrzení, které také sama podepíše (opatří vlastním elektronickým podpisem, přesněji: značkou). Tomuto potvrzení se říká certifikát.

Obrázek 1 - 8: Představa certifikátu

Certifikát je tedy potvrzením o tom, že konkrétní veřejný klíč (vložený do certifikátu jako jeho součást) patří té a té osobě (jejíž identita je popsána v certifikátu). Stvrzuje současně i to, že příslušná osoba je držitelem odpovídajícího soukromého klíče a má ho ve své (výlučné) moci.

Obrázek 1 - 9: Příklad (osobního) certifikátu jak jej zobrazují programy v prostředí MS Windows

Certifikáty mohou být osobními certifikáty, tj. takovými, které mohou být vydávány jen fyzickým osobám[11]. Pro vytváření elektronických podpisů přitom připadají v úvahu pouze takovéto osobní certifikáty (ale ne všechny z nich).

Obvyklá formulace, že „elektronický podpis byl vytvořen pomocí certifikátu“, je proto striktně vzato nesmyslem (protože k vytvoření elektronického podpisu se používá soukromý klíč, který v certifikátu obsažen není).

V praxi je ale tato formulace používána zcela běžně jako určitá zkratka pro vyjádření toho, že „k vytvoření podpisu byl použit ten soukromý klíč, který je do páru s veřejným klíčem, obsaženým v příslušném certifikátu“.

Zákony a nejrůznější vyhlášky ke stejnému sdělení používají ještě jinou formulaci, když hovoří o „certifikátu, na kterém je elektronický podpis založen“. Striktní dodržování tohoto slovního obratu ale leckdy komplikuje popis jinak jednoduchých a prostých skutečností nad hranici jejich srozumitelnosti.

Existují ale i takové certifikáty, které mohou být vydávány jak fyzickým osobám, tak i osobám právnickým (včetně orgánů veřejné moci) či organizačním složkám státu. Jde o tzv. systémové certifikáty, které mohou být využívány jak pro vytváření elektronických značek (ve smyslu předchozího terminologického zjednodušení), tak i pro vytváření časových razítek, ale stejně tak i pro další účely, jako je identifikace serverů, šifrování komunikace se servery (například v rámci SSL relací) apod.

Obrázek 1 - 10: Příklad systémového certifikátu, který byl vystaven Ministerstvu vnitra, pro Informační systém datových schránek (ISDS), provozovaný na adrese mojedatovaschranka.cz