Bajecny svet elektronickeho podpisu | online podpora stejnojmenne knihy z Edice CZ.NIC

5.5.4         Zálohování a obnova certifikátů a soukromých klíčů

S možností exportu (a následného importu) osobních certifikátů a soukromých klíčů souvisí i jejich celková správa, zahrnující jak eventuální zálohování, tak i následnou možnost obnovy.

Než si ale ukážeme, jak vše v praxi funguje, je vhodné se zmínit ještě o jedné důležité věci. Tou je vhodnost a účelnost samotného zálohování „vlastních“ certifikátů (od kterých máme odpovídající soukromé klíče).

Zde je totiž velmi vhodné rozlišovat mezi kvalifikovanými certifikáty, které používáme pro vlastní podepisování, a komerčními certifikáty, které používáme pro jiné účely. Asi nejvíce specifické postavení pak mají naše komerční certifikáty, používané pro šifrování (tj. ty, které dáváme ostatním, aby je využili pro zašifrování zpráv určených nám).

Zálohování osobních kvalifikovaných certifikátů (i s odpovídajícím soukromým klíčem, je-li ten exportovatelný)  je sice bezproblémové po technické stránce, ale může být velmi problematické z hlediska bezpečnosti. Pokud by se totiž někdo nepovolaný dostal k záloze, tvořené certifikátem i soukromým klíčem a dokázal ji obnovit, mohl by se platně podepisovat naším jménem (jménem držitele certifikátu).

Proto je třeba klást vysoké nároky na zabezpečení takovýchto záloh, nebo je raději ani nedělat. Ostatně, všude tam, kde soukromý klíč není exportovatelný, jako třeba u čipových karet či USB tokenů, zálohování není ani možné.

Stejně tak je třeba poměřit rizika zálohování (plynoucí z možnosti zneužití zálohy) s následky toho, že bychom o svůj kvalifikovaný certifikát i se soukromým klíčem přišli (aniž by došlo k jejich kompromitaci, tj. aniž by se dostali do rukou někomu nepovolanému). Pokud bychom si třeba svůj certifikát i se soukromým klíčem nějak nenávratně smazali (například při havárii pevného disku), škoda by nebyla nijak zásadní. Jen bychom si museli pořídit nový certifikát, kterým bychom se dále podepisovali. Naproti tomu případná kompromitace zálohovaného kvalifikovaného certifikátu i se soukromým klíčem by mohla mít mnohem nedozírnější následky: někdo jiný by se mohl platně podepisovat naším jménem (samozřejmě jen dokud bychom náš kompromitovaný certifikát nenechali revokovat).

Podobně tomu může být u komerčních certifikátů, používaných například pro přihlašování k nějakému informačnímu systému: ten, kdo by se zmocnil zálohy a dokázal náš certifikát i se soukromým klíčem použít, by se mohl vydávat za nás.

To v případě komerčních certifikátů, používaných pro potřeby šifrování, je situace přeci jen odlišná. Pokud bychom o takovýto certifikát (a hlavně o jemu odpovídající soukromý klíč) nenávratně přišli, rázem by pro nás přestaly být dostupné a čitelné všechny zprávy, které jsme přijali jako zašifrované. A to by pro nás mohlo být opravdu zásadním problémem.

Naproti tomu případná kompromitace našeho šifrovacího certifikátu a odpovídajícího soukromého klíče by umožnila někomu třetímu, aby se seznámil s tím, co mělo být určeno jen našim očím a uším. Zda by to bylo vážným problémem či nikoli, je už na individuálním posouzení každého držitele šifrovacího certifikátu: on si musí  spočítat, jak velké je to které riziko, a rozhodnout, co má pro něj větší váhu.

Pojďme nyní již  k tomu, jak samotné zálohování certifikátů (i se soukromými klíči) funguje.

V případě exportu certifikátu včetně soukromého klíče je výstupním formátem typicky formát PKCS#12 (viz část 5.3.2.2). V případě exportu certifikátu bez soukromého klíče bývá na výběr více možných formátů (PKCS#7, PEM, DER atd.).

Další důležitou skutečností, kterou je třeba mít na paměti, je to, že každé úložiště certifikátů má své vlastní mechanismy jak pro import, tak i pro export certifikátů. Neexistuje tedy žádný jednotný způsob pro import a export certifikátů z/do úložišť a vždy je třeba se seznámit s tím, co a jak nabízí konkrétní úložiště certifikátů.

Naštěstí jsou standardizovány alespoň datové formáty, používané pro uchovávání certifikátů a generované či využívané při importu a exportu certifikátů (a eventuálně i klíčů), viz část 5.3. Díky tomu je možné přenášet klíče (a exportovatelné soukromé klíče) mezi jednotlivými úložišti, řešit jejich zálohování atd.

Jednoduchým způsobem má export a import certifikátů vyřešeno úložiště certifikátů prohlížeče Mozilla Firefox. Při zobrazení každé jednotlivé složky jsou nabízeny možnosti importu přímo do této složky či možnost exportu certifikátů z této složky. Konkrétní postup při importu jsme si již podrobněji popisovali v části 5.4.4.3.

Možnost exportu je v případě složky s osobními certifikáty rovnou označována jako zálohování, a nabízena jak ve variantě zálohování jednoho konkrétního certifikátu („Zálohovat“), tak i jako zálohování všech certifikátů současně („Zálohovat vše“).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Možnost exportu (zálohování) certifikátů z úložiště Firefoxu

Obrázek 5 - 63: Možnost exportu (zálohování) certifikátů z úložiště Firefoxu

Toto zálohování je obecně chápáno jako zálohování certifikátu spolu se soukromým klíčem, do formátu PKCS#12. Naproti tomu zálohování samotného certifikátu (bez soukromého klíče) je prohlížečem Firefox označováno jako „export“, a na výběr je hned několik výstupních formátů:

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Export certifikátu v prohlížeči Firefox, bez soukromého klíče

Obrázek 5 - 64: Export certifikátu v prohlížeči Firefox, bez soukromého klíče

Relativně nejpropracovanější jsou možnosti exportu a importu certifikátů z/do systémového úložiště MS Windows. Zde je pro každý z obou úkonů připraven průvodce, který uživatele provede celým úkonem.

Využití tohoto průvodce pro import (instalování certifikátů) jsme si také již ukazovali (v části 5.4.4.3), a tak si jen naznačme jeho využití pro export certifikátu.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Průvodce exportem certifikátu ze systémového úložiště MS Windows

Obrázek 5 - 65: Průvodce exportem certifikátu ze systémového úložiště MS Windows

Hned ve druhém kroku nám tento průvodce nabídne export včetně soukromého klíče či bez něj, samozřejmě v závislosti na tom, zda první varianta je vůbec možná.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Export certifikátu spolu se soukromým klíčem

Obrázek 5 - 66: Export certifikátu spolu se soukromým klíčem

V případě exportu certifikátu i se soukromým klíčem je nabídnut pouze formát PKCS#12, a uživatel je vyzván k zadání hesla. Tím bude chráněn přístup k soukromému klíči ve výstupním souboru. Stejné heslo pak bude třeba zadat při následném importu.

V případě, kdy je exportován pouze samotný certifikát, bez soukromého klíče, jsou pro výstup nabízeny formáty PKCS#7, DER a PEM (poslední dva s příponou souboru .cer).

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Formáty pro export certifikátu bez soukromého klíče

Obrázek 5 - 67: Formáty pro export certifikátu bez soukromého klíče

Právě popisovaného průvodce importem i exportem certifikátu z/do systémového úložiště certifikátů v MS Windows lze aktivovat více různými způsoby. Například přes volbu „instalovat certifikát“, kdykoli si jej prohlížíte prostřednictvím systémových prostředků MS Windows. Nebo při prohlížení obsahu systémového úložiště, například přes prohlížeč Internet Explorer (nabídka Nástroje, Možnosti Internetu, Obsah a pak Certifikáty)

V případě systémového úložiště MS Windows ale existuje jedna specifická situace, kdy se k obsahu tohoto úložiště nelze dostat „běžnými“ uživatelskými prostředky. Jde konkrétně o soukromý klíč, vygenerovaný v rámci žádosti o nový (či následný) certifikát právě do tohoto úložiště. Pokud jej uživatel potřebuje zazálohovat, pak pro přístup k němu musí využít speciální konzoli pro správu certifikátů: utilitu Certificate Manager (certmgr). Tu lze vyvolat napsáním jejího jména a přípony (certmgr.msc) do řádku pro spuštění, a pak potvrdit.

Pro obrázek ve větší kvalitě klikněte na odkaz pod číslem obrázku v legendě

Utilita certmgr pro správu certifikátů v systémovém úložišti MS Windows

Obrázek 5 - 68: Utilita certmgr pro správu certifikátů v systémovém úložišti MS Windows

Utilita certmgr nabídne i ty složky systémového úložiště MS Windows, které jinak nejsou viditelné. Mezi nimi i složku „Požadavek na zápis certifikátu“, kam se ukládají soukromé klíče, vygenerované v rámci žádosti o vystavení certifikátu. A tyto klíče (i s dočasnými certifikáty s vlastním podpisem) pak lze pomocí této utility exportovat, viz obrázek (volba menu přes pravé tlačítko).



© Jiří Peterka, 2011, profil na Google+
Valid HTML 4.01 Transitional Ověřit CSS!
3A2E
5665
6E6F
7661
6E69
2E3A
0D0A
5475
746F
206B
6E69
6875
2076
656E
756A
6920
7376
6520
7A65
6E65
2049
7265
6E65
2C20
7379
6E6F
7669
204A
6972
696D
7520
6120
6463
6572
6920
4576
652E
0D0A
5620
5072
617A
652C
204C
5032
3031
3020
4A69
7269
2050
6574
6572
6B61