5.5.1 Co je třeba vědět, než budete žádat o vydání certifikátu?
Certifikát, který si chceme pořídit, nám bude vystavovat nějaká certifikační autorita. Tu si sice můžeme provozovat i sami, na vlastním počítači – ale zde raději předpokládejme, že o vystavení certifikátu požádáme nějakou etablovanou a důvěryhodnou certifikační autoritu. Pokud chceme získat certifikát kvalifikovaný, stejně se musíme obrátit na některou kvalifikovanou certifikační autoritou. Což v ČR znamená některou z akreditovaných, protože všechny kvalifikované jsou současně i akreditovanými.
Než ale půjdeme za jakoukoli certifikační autoritou, měli bychom mít na paměti jedno základní pravidlo (byť z něj existují určité výjimky, viz dále): že tzv. párová data, neboli soukromý a veřejný klíč, si nejprve musíme vygenerovat sami – a teprve pak můžeme jít za certifikační autoritou (s příslušnou žádostí) a chtít po ní, aby nám k těmto párovým datům vystavila požadovaný certifikát.
Důvodem je bezpečnost: pokud by náš soukromý klíč vytvořil někdo jiný a pak nám ho předal, měli bychom skutečně jistotu, že si ho předtím nezkopíroval či jinak neschoval jeho kopii? Pokud by tak učinil, mohl by se platně podepisovat naším jménem.
S tím úzce souvisí i další nesmírně důležitá skutečnost, kterou si také musíme uvědomit: poté, co si svá nová párová data (soukromý a veřejný klíč) vygenerujeme sami, certifikační autoritě předáme (v rámci žádosti o nový certifikát) pouze svůj veřejný klíč. Svůj soukromý klíč jí nepředáváme, ani jinak nesdělujeme jeho hodnotu!
Jak nám pak ale může jakákoli certifikační autorita vystavit jakýkoli certifikát, když se nedostane k našemu soukromému klíč?
Připomeňme si, že každý certifikát obsahuje veřejný klíč a údaje o identitě konkrétní osoby, a že vydavatel certifikátu osvědčuje, že dotyčná osoba má ve svém držení příslušný soukromý klíč (tj. ten, který je „do páru“ s veřejným klíčem, obsaženým v certifikátu). Jak se ale certifikační autorita při vydávání certifikátu může přesvědčit, že skutečně máme odpovídající soukromý klíč, když jí ho nehodláme dát (ani ukázat, resp. sdělit jeho hodnotu)?
Odpověď je naštěstí principiálně jednoduchá: díky možnostem asymetrické kryptografie můžeme certifikační autoritě prokázat, že soukromý klíč máme, aniž bychom ho dali z ruky. Stačí nám využít stejné principy asymetrické kryptografie, o které se opírá samotný elektronický podpis a které jsme si popisovali již v části 1.8: co je „uzamčeno“ (podepsáno) pomocí soukromého klíče, lze „odemknout“ (ověřit) právě a pouze odpovídajícím veřejným klíčem.
Takže když žádáme o vystavení certifikátu, v rámci své žádosti musíme něco „zamknout“ soukromým klíčem. Třeba právě samotnou žádost o vydání nového certifikátu[17]. K té přiložíme odpovídající veřejný klíč a vše předáme certifikační autoritě. Ta si ověří, že „zamknutý“ obsah lze odemknout předloženým veřejným klíčem - a právě tím získává jistotu, že žadatel má v ruce odpovídající soukromý klíč.
[17] Zde se jedná o žádost ve smyslu věcném, resp. technickém, která má podobu souboru (obvykle s příponou .req).
> jak ji získat?
číst knihu on-line
> předmluva vydavatele
> předmluva autora
> kapitoly:
1, 2, 3, 4, 5, 6, 7, 8
> podrobný obsah
> obrázky
kurzy epodpisu
diskusní fórum
příklady k vyzkoušení
> PDF k podepsání
> PDF k ověření
> PDF s více podpisy
> dokumenty MS Office
> kolizní dokumenty
> biometrický podpis
videoukázky
> YouTube kanál
zajímavé on-line zdroje
> přehled certifikátů
aktuality z oboru
errata
co se do knihy nevešlo
co se od vydání změnilo
kde nepanuje konsensus
kontakt na autora
