Fórum Root.cz
Hlavní témata => Software => Téma založeno: knowledgeispower 04. 02. 2020, 22:56:23
-
Dobrý den.
Nejsem si jist, zda se posílá veřejný klíč nebo digitální certifikát,
při odesílání digitálně podepsaných dat odesílám: data, elektronický podpis a (digitální certifikát nebo veřejný klíč).
digitální certifikát = (veřejný klíč + údaje o majiteli) - to celé podepsané privátním klíčem CA
Mám v hlavě dva scénáře, jak probíhá ověření, zda se jedná o správný veřejný klíč:
1. data, elektronický podpis a veřejný klíč
Software ověřuje veřejný klíč vůči nějaké databázi od CA (online x lokální).
Uživatel může veřejný klíč nahrát z nějakého přenosného média.
2. data, elektronický podpis a digitální certifikát
Digitální certifikát musí být rozšifrován veřejným klíčem CA a veřejné klíče (podpis, příjemce) jsou potom porovnané.
Zde ale nevím, jak získám veřejný klíč CA.
Je tedy nutnost být připojen k internetu?
Na Wikipedii se píše, že kořenové klíče CA jsou uloženy v počítači, jak ale ověřím jejich pravost.
Řeším zde pouze elektronický podpis, kdy jste ověřen u CA a dostanete digitální certifikát.
-
http://pki.petrslavik.com/index.php?page=obecne
https://cs.wikipedia.org/wiki/Asymetrick%C3%A1_kryptografie
https://www.jaknainternet.cz/page/1249/elektronicky-podpis/
-
Díky, takže se posílá digitální certifikát.
Kde přesně získávám veřejný klíč CA tedy?
P.S. Odkazy jsem rychle přešel, ale přesnou odpověď jsem nenašel.
-
Připojení k internetu nepotřebujete.
Podpis obsahuje hash dokumentu podepsaný privátním klíčem podepisující osoby a certifikát podepisující osoby – veřejný klíč v certifikátu musí odpovídat privátnímu klíči použitému pro podpis.
Podpis se ověřuje tak, že pomocí veřejného klíče „dešifrujete“ podpis, vyjde vám hash a ten porovnáte s hashem dokumentu, který si sám spočítáte. Následně se stejným způsobem ověří podpis certifikační autority na certifikátu. Certifikát certifikační autority (spolu s jejím veřejným klíčem) máte v úložišti certifikátů, kterým důvěřujete. Někdy může být s podpisem poslán i certifikát certifikační autority, často totiž není řetězec jen dvoudílný (certifikační autorita a koncový certifikát osoby), ale těch certifikátů certifikačních autorit je v řetězci víc (např. autorita vydávající certifikáty pro kvalifikovaný podpis a její certifikát je podepsán kořenovou autoritou). Každopádně při ověřování podpisu musíte vždy dojít k certifikátu nějaké autority, které důvěřujete a který máte tím pádem nainstalovaný v systému. Pokud k takovému certifikátu nedojdete, musel byste si zjistit, o jakou autoritu se jedná, zjistit, jestli jí můžete důvěřovat, a pak bezpečným způsobem získat nebo ověřit její klíč. Což vůbec není snadné – pokud byste si certifikát stáhl přes internet, měl byste otisk klíče zkontrolovat minimálně jedním nezávislým kanálem, třeba telefonicky. V praxi se to proto moc nedělá a spoléhá se na ty certifikáty certifikačních autorit, které máte předinstalované v systému nebo v aplikaci.
-
Děkuji moc.