Náležitosti elektronických certifikátů

Autor textu: Michal Hanzal | Autor foto: energepic.com | Datum publikace: 23. 4. 2020

Certifikát je pojem, s nímž se ve světě digitální důvěry setkáváme poměrně často. Ať už potřebujeme vytvořit kvalifikovaný elektronický podpis, načíst webovou stránku přes šifrované spojení https, přihlásit se bankovnímu účtu, vždy se nějaký typ certifikátu použije. Proč? Jedná se totiž o jeden ze základních nástrojů používaných v rámci PKI (Public Key Infrastructure, nebo-li infrastruktury veřejných klíčů), která tvoří základ digitální důvěry. V dnešním článku se blíže podíváme na to, co vlastně takový certifikát je, k čemu se používá a co je jeho obsahem.

V úplně nejobecnějším slova smyslu je certifikát jakýsi dokument, ať už listinný nebo elektronický, vydaný zplnomocněnou institucí, který svou existencí a svým obsahem stvrzuje určitou skutečnost. Všichni známe certifikáty potvrzující lidské dovednosti (např. svářečský certifikát), nebo certifikáty pravosti (u šperků) apod. I elektronické PKI certifikáty stvrzují konkrétní skutečnost a to takovou, že existuje privátní klíč pro provádění operací asymetrické kryptografie a že konkrétní osoba je vlastníkem tohoto klíče. Součástí certifikátu je i druhý klíč, tzv. veřejný klíč, který se soukromým nerozlučně souvisí. Účely použití páru soukromého a veřejného klíče jsou v zásadě 2: elektronické šifrování a elektronické podepisování. Co to přesně je asymetrická kryptografie si necháme na jindy a budeme se soustředit na certifikát jako takový.

Obsah certifikátů

Jak již bylo řečeno, certifikát je dokument. Ve své podstatě velice specifický dokument, který má přesně danou strukturu, obsah a náležitosti. Certifikáty jsou vydávány tzv. certifikačními autoritami, jejichž úkolem je ověřit splnění konkrétních podmínek, aby certifikát mohl být vydán. Tyto podmínky se liší podle toho, k čemu má být certifikát určen. Např. pro certifikáty, které budou používány fyzickými osobami (ať už pro podepisování nebo autentizaci) se ověřuje jejich totožnost; u certifikátů určených pro SSL/TLS šifrování je potřeba prokázat, že osoba žádající o certifikát je skutečným vlastníkem domény.

Struktura, obsah a náležitosti certifikátů jsou specifikovány technickým standardem RFC – 5280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile. Pro potřeby tohoto článku zmiňme jen ty nejdůležitější součásti.

Základní pole certifikátů

  • Sériové číslo – jedná se o kladné celé číslo, které musí být unikátní v rámci certifikační autority, která daný certifikát vydala.
  • Subjekt – v tomto poli je zapsáno jméno vlastníka certifikátu formu tzv. DN (domain name), které se dále skládá zejména z polí:
    • CN (common name): např. Jan Novák,
    • O (organization): např. SEFIRA spol. s r.o.
    • C (country): např. CZ
    • a dalších, která se mohou v různých typech certifikátů vyskytnout. Detaily, jak se konstruuje DN je možné najít v technických standardech popisujících adresářové struktury, např. RFC 4514.
  • Vydavatel – v poli je uvedeno jméno vydavatele certifikátu (certifikační autority), struktura je podobná jako v případě pole Subjekt.
  • Platnost – uvádí interval planosti certifikátu, nebo-li časové období, v němž certifikační autorita garantuje, že bude poskytovat informace o statusu daného certifikátu (např. informace o revokacích v podobě CRL).
  • Veřejný klíč – pole osahuje veřejný klíč certifikátu a další související informace (jako např. algoritmus pro použití tohoto klíče).
  • Elektronický podpis certifikační autority – elektronický podpis certifikační autority, kterým ztvrzuje správnost informací obsažených v certifikátu. Tento elektronický podpis je vytvořen takovým klíčem (s příslušejícím certifikátem), který certifikační autorita vlastní a používá k účelu podepisování certifikátů.

Vybraná rozšiřující pole, tzv. extensions

  • Použití klíče (tzv. key usage) – pole definuje zamýšlený účel použití certifikátu. Tato informace je velice důležitá zejména při ověřování elektronických podpisů, kde jeden z kroků je zjištění správnosti použitého certifikátu právě pomocí tohoto pole. Např. certifikáty určené pro elektronický podpis musí mít v key usage zahrnut bit nonRepudiation (někdy také jako contentCommitment).
  • Distribuční místa CRL – v tomto poli certifikáty obsahují informace o tom, kde je možné získat tzv. CRL seznamy (Certificate Revocation List) pro ověření odvolání certifikátu. Běžně jsou obsaženy URL pro stažení CRL souboru pomocí protokolu HTTP, ale mohou být uvedeny i jiné způsoby.
  • Přístup k informacím autority – pole obsahuje další detaily, které autorita do certifikátu zaznamenává. Mohou to být např. cesty k vydávajícím certifikátům, nebo přístup k OCSP responderu, což je alternativní způsob, jak získat k certifikátu informace o odvolání.
  • Certifikační politiky – pole obsahuje informace o certifikačních politikách, na jejichž základě byl certifikát vydán. V českých kvalifikovaných certifikátech se sem např. zapisuje věta: „Tento kvalifikovany certifikat pro elektronicky podpis byl vydan v souladu s narizenim EU c. 910/2014. This is a qualified certificate for electronic signature according to Regulation (EU) No 910/2014.“
  • QC Statement – speciální pole, do něhož se ve strojově čitelné podobě zapisují informace o tom, zda se jedná o kvalifikovaný certifikát dle nařízení eIDAS a jestli se jedná o certifikát pro elektronický podpis, nebo pečeť. Navíc se zde zapisuje informace, zda je soukromý klíč, náležející k certifikátu, vygenerován a uložen na tzv. kvalifikovaném prostředku pro vytváření podpisů nebo pečetí. Toto pole v certifikátu tedy rozhoduje o tom, zda elektronický podpis může být považován za kvalifikovaný nebo ne.

Kvalifikovaný certifikát pro elektronický podpis

V Česku jsou v dnešní době rozeznávány tři typy elektronických podpisů založených na PKI, tedy na certifikátech.

  1. Zaručený elektronický podpis je takový elektronický podpis, který je vytvořený privátním klíčem s existujícím certifikátem, ale není kladem důraz na původ takového certifikátu, na jeho kvalitu. Takže zaručený elektronický podpis je možné vytvořit pomocí klíčů a certifikátu, které si vytvoříme např. doma vlastními prostředky, nebo v zaměstnání prostředky interní certifikační autority.
  2. Uznávaný elektronický podpis, který se dále člení na dva pod typy:
    • Zaručený elektronický podpis založený na kvalifikovaném certifikátu je podpis, který splňuje podmínky prvního typu a navíc je vytvořen klíčem s certifikátem vydaným kvalifikovanou certifikační autoritou.
    • Kvalifikovaný elektronický podpis je „nejkvalitnější“ typ elektronického podpisu, jaký je možné aktuálně vytvořit. Musí splňovat podmínky obou dvou výše zmíněných a navíc musí být zaručeno, že privátní klíč, k němuž certifikát náleží, byl vygenerován na tzv. kvalifikovaném prostředku pro vytváření elektronických podpisů (dle terminologie nařízení eIDAS Qualified Signature Creation Device, QSCD), což je pak v certifikátu zaznamenáno v poli QC Statement.

Kvalifikované certifikáty jsou tedy nejvyšší formou certifikátů, které jsou pro elektronické podepisování používány. Vydávají je za úplatu kvalifikované certifikační autority, které svou existencí ručí a stvrzují správnost a platnost informací uvedených ve vydaném certifikátu. Konkrétní postupy, fáze procesu vydání certifikátu, jeho obsah a další jsou detailně specifikovány a zveřejněny v tzv. certifikačních politikách jednotlivých autorit. Elektronické podpisy vytvořené kvalifikovanými certifikáty dle platné legislativy musí české úřady (až na výjimky) v rámci svého fungování přijímat a pracovat s nimi jako s uznávanými.

Související řešení a produkty

Reference k PKI

2020-07-30T13:26:12+02:00
2020-07-30T13:24:34+02:00
2020-07-30T13:26:18+02:00
2020-07-30T13:52:43+02:00
2020-07-30T13:45:10+02:00

Články na dané téma

2020-06-09T13:41:48+02:00