Bezpečnosť informácií a    možnosti zabezpečenia IS

Autentifikačný údaj

Elektronický podpis

Symetrické šifrovanie

Asymetrické šifrovanie

Hashovacie funkcie

Certifikačná autorita

Copyright © Marek Lednický, 2006. All Rights Reserved

Certifikačná autorita

      Certifikačná autorita (CA) vydáva, zverejňuje a ruší certifikáty osobám na základe overenia ich totožnosti. Certifikačná autorita vytvára pre svojich klientov špecifikovanú údajovú štruktúru s označením certifikát (podľa štandardu X.509), ktorý obsahuje verejný kľúč klienta, jeho nezameniteľné meno, dátum počiatku platnosti, dátum ukončenia platnosti, meno a elektronický podpis CA, sériové číslo a ďalšie doplňujúce údaje.
     Certifikát teda potvrdzuje vzťah medzi identifikačnými údajmi subjektu a jeho verejným kľúčom. Organizačné členenie certifikačnej autority:

• Registračná autorita - zabezpečuje styk s klientmi. Preberá žiadosť zákazníka o elektronický podpis a zároveň preverí totožnosť žiadateľa. Ak nezistí žiadne nezrovnalosti, žiadosť podpíše svojim privátnym kľúčom a predá ju certifikačnej autorite. Klient po spracovaní žiadosti si tu môže vyzdvihnúť svoj certifikát, certifikát CA a aktuálny CRL (Certificate Revocation List),
• Certifikačná autorita - verifikuje žiadosť a vydáva certifikát. Certifikát môže byť odovzdaný klientovi prostredníctvom registračnej autority, alebo pomocou emailu. Certifikát predá tiež správnej autorite, ktorá ju uloží do adresára, aby bola prístupná pre verejnosť. Certifikačná autorita zabezpečuje zverejnenie zoznamu neplatných certifikátov tzv. CRL zoznam. CRL zoznam obsahuje sériové čísla certifikátov, ktoré boli zneplatnené pred vypršaním ich doby platnosti uvedenej v certifikáte, napríklad z dôvodu kompromitovania privátneho kľúča majiteľa certifikátu,
• Správna autorita - prevádzkuje adresárovú službu, kde sú sprístupnené certifikáty klientov. Po úspešnej verifikácií certifikátu získaného z adresárového servera, CA ručí za identitu majiteľa a za jeho vlastnícky vzťah k verejnému kľúču uvedenému v certifikáte.

     Certifikačná autorita sa teda skladá z troch základných častí: registračnej autority, certifikačnej autority a správnej autority. Zákazník odovzdá svoju žiadosť o certifikát registračnej autorite, ktorá môže napr. preveriť totožnosť žiadateľa. Ak je žiadosť v poriadku, registračná autorita ju posunie certifikačnej autorite, ktorá vystaví certifikát a vráti ho registračnej autorite. Registračná autorita ho následne odovzdá žiadateľovi. Certifikačná autorita poskytne certifikát aj správnej autorite, ktorá ho môže uložiť do adresára. Užívatelia môžu potom z neho získať certifikáty napríklad pomocou LDAP protokolu. Bezpečnosť certifikačných autorít Samotná CA tiež vlastní certifikát podpísaný nadradenou CA, alebo v prípade koreňovej certifikačnej autority, samotnou CA. Na ochranu privátneho kľúča CA triedy 2 a 3 sú však kladené mimoriadne bezpečnostné požiadavky, nakoľko sa používa na podpisovanie vydávaných certifikátov. Túto ochranu môžeme zabezpečiť s jedným z uvedených možností :

• privátny kľúč je symetricky šifrovaný a je uložený na smart karte, ktorú je možné z počítača vybrať a uložiť do trezoru,
• privátny kľuč je symetricky šifrovaný a uložený na čipovej karte s procesorom. Nakoľko procesor robí sám všetky operácie s kľúčmi, privátny kľúč nikdy neopustí kartu,
• privátny kľúč a celé programové vybavenie CA pre prácu s kľúčmi je uložený na notebooku, ktorý sa zatvára do trezoru. Tento notebook môže byť vybavený deštrukčným systémom, ktorý sa aktivuje pri neodbornej manipulácii.

     Bezpečný hardvér sa často umiestňuje do miestnosti s riadeným prístupom, t.j. prístup do miestnosti je povolený len osobám s určitým odtlačkom prstov alebo čipovou kartou, atď. Prístup k privátnemu kľúču môže byť podmienený prítomnosťou aspoň dvoch operátorov CA. Všetky bezpečnostné opatrenia sú obsiahnuté v Bezpečnostnej politike CA. Bezpečnostný poriadok nezahrňuje len ochranu privátneho kľúča, ale celkovú bezpečnosť celého systému ako celku. Úrovňou bezpečnostnej politiky CA je daná jej dôveryhodnosť.