Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

3.4.1         Možnost revokace certifikátu

Možnost revokace (předčasného zneplatnění, odvolání) konkrétního certifikátu je pojistkou proti případným nestandardním situacím, ale také řešením pro některé vcelku standardní situace.

Například: pokud dojde k tzv. kompromitaci soukromého klíč (například když jej někdo ukradne nebo si jej „jen“ zkopíruje),  jeho oprávněný vlastník už nad ním nemá výlučnou kontrolu. A to je vážný problém, protože nový držitel soukromého klíče by se mohl platně podepisovat jeho jménem.  Jedinou cestou, jak tomu zabránit, je předčasně ukončit platnost příslušného certifikátu, který je s tímto soukromým klíčem spojen, cestou jeho revokace. Můžeme si to představit i jako oznámení, adresované komukoli, kdo by chtěl s certifikátem dále pracovat (a ověřovat podle něj nějaký konkrétní podpis): od okamžiku, kdy k revokaci došlo, už nevěřte tomu, co je na certifikátu napsáno. A také: od tohoto okamžiku už nenesu odpovědnost za to, co je podepsáno s využitím mého soukromého klíče.

Motivace pro revokaci ale nemusí být až takto vyloženě negativní. Třeba když nějaký úředník používá v rámci své působnosti konkrétní certifikát, ale pak odejde na jiné pracoviště, do důchodu, či jakkoli jinak přestane plnit úkoly, pro které mu byl certifikát vystaven, je vhodným opatřením požádat o revokaci příslušného certifikátu. I jako prevenci proti jeho případnému zneužití.

Důvodem pro revokaci certifikátu někdy bývá i přechod na používání novějšího certifikátu. Jak jsme si již uvedli, certifikát sice lze využívat při podepisování až do konce jeho řádné platnosti, ale není to rozhodně ideální: pokud není podepsaný dokument opatřen časovým razítkem, které by fixovalo podpis v čase, se skončením řádné doby platnosti certifikátu (tedy třeba již za několik dnů či pouze hodin od podpisu) ztrácíme možnost ověřit platnost podpisu, který je na takovémto certifikátu založen. Proto je více než vhodné přestat používat konkrétní certifikát podstatně dříve, než skončí řádná doba jeho platnosti. Následně je možné nechat již nepoužívaný certifikát revokovat[38].

S technickou realizací revokace je ale spojen nepříjemný problém: jak zajistit, aby se informace o předčasném ukončení platnosti certifikátu (o jeho revokaci) dostala včas (resp. okamžitě) do všech exemplářů příslušného certifikátu, které kde mohou existovat? Zde si zopakujme, že certifikáty jsou z principu veřejné a volně šiřitelné. Takže kdokoli si je může kopírovat, kam jen chce a v jakém počtu jen chce.  Za těchto okolností je ale zhola nemožné je následně všechny dohledat.

Navíc, i kdyby se přeci jen podařilo dohledat všechny exempláře již odvolaného certifikátu, stejně by to bylo k ničemu: každý certifikát je „pouze pro čtení“ a nejde v něm dělat změny. Již jen proto, že jako celek je podepsán (opatřen elektronickou značkou certifikační autority, která ho vydala), a jakákoli změna certifikátu by znamenala porušení jeho integrity a okamžité zneplatnění jeho podpisu.

Možnost revokace jakéhokoli certifikátu proto musí být implementována na úplně jiném principu, než je nějaké dohledávání všech exemplářů a jejich dodatečné měnění.

Konkrétní řešení je takové, že informace o revokaci (tj. zda certifikát byl či nebyl revokovaný, a k jakému datu) zůstává u jeho vydavatele, tj. u příslušné certifikační autority, na předem určeném místě. Každý, kdo s nějakým certifikátem pracuje, pak má povinnost podívat se na toto předem určené místo a zde si ověřit, zda certifikát nebyl revokován.

Umístění informace o případné revokaci (u vydavatele certifikátu) reflektuje i skutečnost, že pouze původní vydavatel (certifikační autorita) je schopen korektně vést nezbytnou agendu, která je s revokací spojena. Tedy například zajistit to, aby o revokaci mohl požádat právě a pouze ten, kdo je k tomu oprávněn.

I při revokaci je totiž nutné pečlivě a spolehlivě ověřit identitu toho, kdo o revokaci žádá – a k tomu má dostatek podkladů právě a pouze původní vydavatel certifikátu. Právě on je také ve smluvním vztahu s tím, kdo si certifikát nechal vystavit, a pouze v rámci tohoto smluvního vztahu tak mohou být ošetřeny všechny potřebné náležitosti pro revokaci. Včetně toho, jak musí být žádost o revokaci podána, a jak ji certifikační autorita (vydavatel certifikátu) zpracovává, v jakých lhůtách atd.


[38] Pokud je ale již nepoužívaný certifikát skutečně revokován, může to přinést velký problém: všechny do té doby vytvořené podpisy, které nejsou včas opatřeny časovým razítkem, musí být vyhodnoceny jako neplatné, protože již není možné spolehlivě zjistit, zda byl podpis vytvořen ještě před revokací, či až po ní.



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61