S rozvojem a uplatněním internetu se stále více a více prosazuje elektronický způsob předávání informací mezi nejrůznějšími subjekty. V případě jakýchkoliv sporů kolem předané elektronické informace pak vzniká problém s převzetím odpovědnosti za eventuální pochybení.

Ochranu obsahu dat před neautorizovanou úpravou lze zajistit šifrováním. Autora informace lze určit a potvrdit prostřednictvím třetí strany, která bude jednak garantovat identitu odesilatele, a současně bude také důvěryhodná pro příjemce. Technologicky je tento problém vyřešen pomocí tzv. certifikační autority, která zprostředkovaně zabezpečuje:

. důvěrnost informací, tj. zamezení přístupu neautorizovaným subjektům pomocí šifrování
. integritu předávaných dat, tj. zamezení neautorizovaným modifikacím
. neodmítnutelnost odpovědnosti za vytvořené informace, tj. prokázání jednoznačnosti jejich původu.

V reálném světě člověk prokazuje svoji identitu pomocí různých průkazů a listin, podobným způsobem bývá prokazována identita stroje - např. technický průkaz u automobilu. Tento způsob prokazování totožnosti však nelze použít ve světě informačních technologií. Proto bylo zapotřebí zavést technologie a užívat prostředky, které umožňují provázat identitu reálného člověka nebo zařízení s popisem, se kterým počítače "umí pracovat". K tomuto účelu se stále častěji užívají asymetrické šifrovací algoritmy a digitální certifikáty.

Tyto "elektronické průkazy" (certifikáty) je třeba vydávat, kontrolovat, zda osoba nebo zařízení, kteří chtějí "průkaz" vydat jsou skutečně těmi, za které se vydávají; je třeba zajistit, aby "průkazu" nemohl nikdo zneužít po jeho odcizení, vydávat nové certifikáty po vypršení jejich platnosti atd.

Souhrn technologií a činností, které plní tyto úkoly se nazývá PKI - Public Key Infrastructure.

Přehled problematiky PKI
Celý systém certifikátů a certifikačních autorit je založen na důvěře. Ačkoli neznám totožnost uživatele nebo zařízení osobně, věřím "úřadu" (certifikační autoritě), který potvrzuje identitu někoho třetího.

Totožnost jednoho úřadu může být potvrzena jiným úřadem.

Systém PKI se skládá z následujících komponent:

. strom certifikačních autorit, které vydávají certifikáty na základě schválených žádostí o certifikát a ověřují platnost těchto certifikátů při jejich použití

. množina registračních autorit, které zavádějí nový subjekt do systému PKI, tj. ověřují jeho totožnost a dávají pokyn certifikační autoritě k vydání certifikátu.

. certifikáty, které představují elektronické průkazy totožnosti potvrzené certifikační autoritou (analogie papírových průkazů totožnosti opatřených "kulatým" razítkem)

. aplikace schopné využívat vydané certifikáty (např. internetový prohlížeč, klient elektronické pošty, speciální HW zařízení a aplikace, atd.)

Využití certifikátů
Certifikáty je možné využívat k celé řadě činností. Způsob využití certifikátů není žádným způsobem omezen. V oblasti PKI existuje celá řada standardů, které se při využití certifikátů uplatňují. V současnosti jsou nejčastěji používány certifikáty standardu X509 verze 3.

V certifikátu je možné při jeho vytváření nastavit příznak, pro které operace je certifikát určen. Takto je možné vytvořit certifikáty s přesně definovaným účelem. Mezi nejčastěji používané operace, které lze za pomoci certifikátů realizovat, patří:

. bezpečný přístup na Web stránky
. šifrovaná komunikace
. zabezpečení elektronické pošty
. šifrované ukládání souborů
. podpis kódu
. čipové karty (autentizace pomocí certifikátu)

Certifikáty pro bezpečný přístup na Web
Abychom mohli hovořit o bezpečném přístupu na Web stránky (jinými slovy též na WWW servery), musí komunikace splňovat některé parametry. Musí být zajištěna integrita dat (tzn. že data nebudou po cestě změněna) a jejich diskrétnost. Tyto parametry lze zajistit šifrováním. Pro šifrovaný přístup klienta k Webovým stránkám je v současné době nejefektivnější použít protokol SSL, při němž je využíváno právě certifikátů.

Certifikáty pro šifrovanou komunikaci
Šifrovaná komunikace se používá všude tam, kde hrozí zneužití informací, které putují volně po síti (např. vzdálená připojení k vnitřní síti, komunikace mezi pobočkami atp.). Šifrování můžeme zajistit prostřednictvím protokolu IPSec, pro jehož realizaci jsou využívány certifikáty.

Certifikáty pro zabezpečení elektronické pošty
Při zabezpečení elektronické pošty lze certifikáty použít dvěma způsoby, resp. jejich kombinací - pro elektronický podpis a pro šifrovanou komunikaci. Z hlediska praktického využití je výhoda šifrování e-mailové komunikace využitelná všude tam, kde jsou pomocí elektronické pošty přenášeny nějaké citlivé informace.

Při e-mailové komunikaci je velmi důležitá rovněž možnost používání digitálního podpisu autora odesílaných zpráv. Digitální podpis zajišťuje nepopiratelnost odesilatele. Digitální podpisy jsou elektronickým ekvivalentem ručně psaných podpisů.

Certifikáty pro šifrované ukládání souborů
EFS (Encrypting File System) je nová technologie v operačním systému Windows 2000, která je implementována se souborovým systémem NTFS 5.0. Využití šifrování souborového systému má velice široké uplatnění. Díky vlastnostem EFS je možno chránit data na lokálních, nebo serverových discích tak, aby v případě neautorizovaného přístupu k těmto datům nemohla nepovolaná osoba (osoba nemající příslušný certifikát) tato data zkopírovat, číst, nebo změnit. Typickým příkladem takovéto události je ztráta, nebo odcizení služebního notebooku, nebo odcizení informací z počítače, který je ponechán bez dozoru.

Certifikáty pro podpis kódu
Tato funkce je v současnosti implementována v operačním systému Windows 2000. Certifikáty pro podpis kódu jsou primárně určeny pro podpis maker kancelářského balíku Microsoft Office 2000, která pochází z důvěryhodných zdrojů (vývojové oddělení společnosti a pod.). Obsahuje-li nějaký dokument makro, lze kancelářský balík Office konfigurovat tak, že makro bude spuštěno pouze v případě, že je digitálně podepsáno oprávněnou osobou, vlastnící příslušný certifikát. Takovéto zabezpečení se používá zejména jako antivirová ochrana proti makrovirům.

Další možností využití certifikátů pro podpis kódu je možnost podpisu aplikací, driverů a dalších instalačních balíků. Takto lze chránit servery a uživatelské stanice před instalací aplikací, které nepocházejí z důvěryhodných zdrojů, například před programy staženými z Internetu a podobně. Z bezpečnostního hlediska je velice vhodné nasadit a provozovat takovýto způsob ochrany. Mimo jiné se jedná i o instalace a provozování aplikací, které nejsou licenčně podchyceny.

Certifikáty pro čipové karty
Certifikáty pro čipové karty lze použít pro zvýšení zabezpečení přístupu do systému, k zařízení, nebo například k elektronické poště. Certifikát je uložen na čipové kartě, u zařízení je instalovaná čtečka čipových karet. Tento způsob zabezpečení je vhodný všude tam, kde zabezpečení stanice nebo přístupu k poště heslem nestačí a kde je požadována účinnější ochrana komunikace.

Pozn.: Auto článku, Ing. Jan Janka, pracuje ve společnosti EXPERT & PARTNER engineering