Elektronický podpis; přenos důvěry

Elektronický podpis; přenos důvěry
« kdy: 04. 02. 2020, 22:56:23 »
Dobrý den.

Nejsem si jist, zda se posílá veřejný klíč nebo digitální certifikát,

při odesílání digitálně podepsaných dat odesílám: data, elektronický podpis a (digitální certifikát nebo veřejný klíč).

digitální certifikát = (veřejný klíč + údaje o majiteli) - to celé podepsané privátním klíčem CA

Mám v hlavě dva scénáře, jak probíhá ověření, zda se jedná o správný veřejný klíč:

1. data, elektronický podpis a veřejný klíč
Software ověřuje veřejný klíč vůči nějaké databázi od CA (online x lokální).
Uživatel může veřejný klíč nahrát z nějakého přenosného média.

2. data, elektronický podpis a digitální certifikát
Digitální certifikát musí být rozšifrován veřejným klíčem CA a veřejné klíče (podpis, příjemce) jsou potom porovnané.
Zde ale nevím, jak získám veřejný klíč CA.
Je tedy nutnost být připojen k internetu?
Na Wikipedii se píše, že kořenové klíče CA jsou uloženy v počítači, jak ale ověřím jejich pravost.

Řeším zde pouze elektronický podpis, kdy jste ověřen u CA a dostanete digitální certifikát.



Re:Elektronický podpis; přenos důvěry
« Odpověď #2 kdy: 04. 02. 2020, 23:29:10 »
Díky, takže se posílá digitální certifikát.

Kde přesně získávám veřejný klíč CA tedy?

P.S. Odkazy jsem rychle přešel, ale přesnou odpověď jsem nenašel.

Re:Elektronický podpis; přenos důvěry
« Odpověď #3 kdy: 04. 02. 2020, 23:41:20 »
Připojení k internetu nepotřebujete.

Podpis obsahuje hash dokumentu podepsaný privátním klíčem podepisující osoby a certifikát podepisující osoby – veřejný klíč v certifikátu musí odpovídat privátnímu klíči použitému pro podpis.

Podpis se ověřuje tak, že pomocí veřejného klíče „dešifrujete“ podpis, vyjde vám hash a ten porovnáte s hashem dokumentu, který si sám spočítáte. Následně se stejným způsobem ověří podpis certifikační autority na certifikátu. Certifikát certifikační autority (spolu s jejím veřejným klíčem) máte v úložišti certifikátů, kterým důvěřujete. Někdy může být s podpisem poslán i certifikát certifikační autority, často totiž není řetězec jen dvoudílný (certifikační autorita a koncový certifikát osoby), ale těch certifikátů certifikačních autorit je v řetězci víc (např. autorita vydávající certifikáty pro kvalifikovaný podpis a její certifikát je podepsán kořenovou autoritou). Každopádně při ověřování podpisu musíte vždy dojít k certifikátu nějaké autority, které důvěřujete a který máte tím pádem nainstalovaný v systému. Pokud k takovému certifikátu nedojdete, musel byste si zjistit, o jakou autoritu se jedná, zjistit, jestli jí můžete důvěřovat, a pak bezpečným způsobem získat nebo ověřit její klíč. Což vůbec není snadné – pokud byste si certifikát stáhl přes internet, měl byste otisk klíče zkontrolovat minimálně jedním nezávislým kanálem, třeba telefonicky. V praxi se to proto moc nedělá a spoléhá se na ty certifikáty certifikačních autorit, které máte předinstalované v systému nebo v aplikaci.

Re:Elektronický podpis; přenos důvěry
« Odpověď #4 kdy: 04. 02. 2020, 23:46:32 »
Děkuji moc.