Osobní certifikáty

Osobní certifikáty

Last modified by Jakub Jirůtka on 2013-06-01, 20:03

Osobní (digitální) certifikát lze představit jako „digitální průkaz totožnosti“, který se používá pro zabezpečení elektronické komunikace, autentizaci k síťovým službám apod. Jsou založené na asymetrické kryptografii, kde se pro šifrování a dešifrování používají odlišné klíče. Zatímco první klíč si uživatel nechává pro sebe a hlídá ho jako oko v hlavě (privátní), druhý klíč je naopak zcela veřejný. Digitální certifikát je pak veřejný klíč obohacený o identifikační údaje jeho majitele a podepsaný tzv. certifikační autoritou, která garantuje jeho důvěryhodnost.

Osobní certifikáty od CESNET

Každý člen akademické obce (nejen) ČVUT může získat osobní certifikát se svou školní e-mailovou adresou zcela bezplatně. Tuto službu pro nás zajišťuje sdružení CESNET a aktuálně je vydavatelem těchto certifikátů společnost COMODO. Její kořenové certifikáty jsou zahrnuty v základní sadě certifikátů obsažených v systémech a webových prohlížečích, takže jsou považovány za důvěryhodné.

Postup získání je velmi jednoduchý, celý proces proběhne online a zabere jen pár minut; postupujte podle návodu. Chcete-li certifikát využít v e-mailovém klientu či jiné aplikaci mimo webový prohlížeč, provádějte tento postup ze „systémového“ webového prohlížeče (Safari pro OS X, IE pro Windows).

Účel

V případě elektronické komunikace lze certifikáty využít ke dvěma účelům. Prvním je tzv. elektronický podpis, který nahrazuje klasický vlastnoruční podpis, je však mnohem robustnější. Zaručuje autenticitu (lze ověřit identitu původce), integritu (zpráva nebyla po cestě změněna či poškozena), nepopiratelnost (autor podpisu nemůže tvrdit, že ho nevytvořil) a příp. časové ukotvení (datum a čas podepsání dokumentu; časové razítko). Elektronický podpis však nezaručuje utajení zprávy (šifrování)!

Druhým účelem může být zašifrování zprávy, tedy utajení jejího obsahu před zvědavými zraky ostatních. Oba způsoby lze kombinovat, tedy zprávu zároveň podepsat i zašifrovat.

Podepisování e-mailů

E-maily jako takové nejsou odolné proti podvržení; prakticky jakoukoli informaci v hlavičce e-mailu, včetně adresy odesílatele, lze celkem jednoduše podvrhnout. Toho hojně zneužívají podvodníci, zejm. metodami známé jako rhybaření, kdy se snaží z důvěřivých uživatelů vymanit jejich hesla apod. To znamená, že ani když dostanete e-mail z fakultní domény, nemůžete si být jisti tím, že jeho odesílatelem je skutečně osoba, které daná e-mailová adresa patří!

Tento problém řeší právě důvěryhodný digitální podpis. Díky němu si lze snadno ověřit, že e-mail poslal skutečně ten, kdo to o sobě tvrdí, a že po cestě nebyl nijak změněn či poškozen. Praktické použití není nikterak složité, vlastní podepisování i ověřování podpisu provádí automaticky e-mailový klient.

Tags: návod
Created by Jakub Jirůtka on 2013-05-20, 12:56

My Recent Modifications


This wiki is licensed under a Creative Commons BY-SA 3.0 license
XWiki Enterprise 5.4.1 - Documentation