Digitßlnφ podpisy

602SQL umo₧≥uje digitßln∞ podepisovat dokumenty ulo₧enΘ v databßzi. ┌Φel digitßlnφho podpisu je stejn², jako u podpisu na papφ°e, tedy:

identifikovat osobu, kterß dokument podepsala;
svßzat obsah dokumentu s podpisem.

Digitßlnφ podpis je implementovßn tak, aby zajistil, ₧e nelze:

podpis pad∞lat;
podepsan² dokument dodateΦn∞ pozm∞nit, ani₧ by zm∞na byla odhalena;
po podepsßnφ dokumentu odmφtnout autenticitu podpisu, tedy tvrdit, ₧e podpis nenφ m∙j nebo ₧e jsem podepsal n∞co jinΘho;

Digitßlnφ podpis ve vÜech v²Üe uveden²ch bode poskytuje jistotu nezßvislou na v∙li administrßtor∙ nebo mo₧nosti zasahovat do vnit°nφch struktur databßze. K obsahu chrßn∞nΘmu p°φstupov²mi prßvy se m∙₧e dostat u₧ivatel, kter² mß dostateΦnß administrßtorskß prßva nebo kter² dokß₧e proniknout do databßzovΘho souboru. Naopak digitßlnφ podpisy jsou odolnΘ i proti takov²mto zßsah∙m.

èifrovacφ postupy, kterΘ umo₧≥ujφ implementovat bezpeΦnΘ digitßlnφ podpisy, jsou zalo₧eny na dvojicφch klφΦ∙ p°φsluÜejφcφch u₧ivateli - ve°ejnΘm a soukromΘm klφΦi. Ve°ejn² klφΦ ka₧dΘho u₧ivatele je ulo₧en v databßzi uvnit° tzv. certifikßtu, je vÜeobecn∞ znßm a je dopln∞n ·daji o svΘm majiteli. Soukrom² klφΦ je ulo₧en na disket∞ nebo jinΘm p°enosnΘm mediu, je chrßn∞n heslem a je u₧ivatelem peΦliv∞ st°e₧en - vklßdß se po poΦφtaΦe pouze p°i podepisovßnφ dokument∙.

Pomocφ soukromΘho klφΦe se vytvß°φ digitßlnφ podpis dokumentu. Ve°ejn² klφΦ dovoluje zjistit, kdo dokument podepsal, a ov∞°it neporuÜenost dokumentu. Zp∙sob spßrovßnφ soukromΘho a ve°ejnΘho klφΦe zaruΦuje, ₧e dokument nemohl b²t podepsßn nik²m jin²m, ne₧ majitelem soukromΘho klφΦe p°φsluÜnΘho k ve°ejnΘmu klφΦi.

Podstata certifikace

Aby digitßlnφ podpisy mohly vypovφdat o skuteΦn²ch osobßch, musφ b²t u ka₧dΘho klφΦe ov∞°ena identita jeho majitele. Ov∞°enφ staΦφ provΘst pro ve°ejn² klφΦ, proto₧e tajn² klφΦ je s nφm pevn∞ spßrovßn.

Ov∞°ovßnφ identity majitele klφΦe provßdφ tzv. certifikaΦnφ autorita (CA). Majitel ji dodß sv∙j nov² ve°ejn² klφΦ, CA zkontroluje jeho identitu (nap°φklad pomocφ n∞jakΘho spolehlivΘho pr∙kazu toto₧nosti) a vystavφ certifikßt, v n∞m₧ je obsa₧en jak ve°ejn² klφΦ tak i ·daje o majiteli klφΦe. Certifikßt je digitßln∞ podepsßn certifikaΦnφ autoritou, tak₧e jeho platnost lze ov∞°it, a je ulo₧en na ve°ejnΘm mφst∞ v databßzi.

Volba certifikaΦnφ autority

Pro volbu certifikaΦnφ autority se pou₧φvajφ tato pravidla:

CA by m∞la osobn∞ znßt u₧ivatele, jejich₧ identitu bude certifikovat;
CA by nem∞la mφt ₧ßdn² vlastnφ zßjem na tom, co je obsahem databßze.

V organizacφch pracujφcφch s daty citliv²mi na bezpeΦnost vykonßvß funkci CA zvlßÜtnφ osoba nepov∞°ovßna jin²mi ·koly.

Hierarchie certifikaΦnφch autorit

Prvnφ z v²Üe uveden²ch podmφnek je obtφ₧nΘ splnit v organizaci s velk²m poΦtem u₧ivatel∙ databßze. Proto existuje mo₧nost mφt vφce CA (nap°φklad v ka₧dΘ divizi firmy jednu) a uspo°ßdat je do hierarchie.

V hierarchii existuje jedna nejvyÜÜφ certifikaΦnφ autorita, kterß certifikuje identitu CA ni₧Üφho stupn∞ a zßrove≥ certifikuje jejich oprßvn∞nφ vykonßvat funkci CA. Tyto CA mohou certifikovat jeÜt∞ ni₧Üφ CA. VÜechny CA pak mohou certifikovat u₧ivatele podle svΘho pole p∙sobnosti.

U₧ivatele, kter² vykonßvß funkci nejvyÜÜφ certifikaΦnφ autority, urΦuje BezpeΦnostnφ sprßvce.

BezpeΦnost digitßlnφho podpisu

Digitßlnφ podpis m∙₧e ·sp∞Ün∞ pad∞lat ten, kdo zφskß soukrom² klφΦ u₧ivatele a heslo, kterΘ jej chrßnφ.

Mimo tuto cestu celosv∞tov∞ nenφ znßm zp∙sob, jak podpis nebo podepsan² dokument pad∞lat. Pad∞lßnφ podpisu nenφ mo₧nΘ ani tehdy, pokud bezezbytku znßte algoritmy pou₧itΘ v pro implementaci podpisu nebo pokud budete voln∞ zasahovat do databßzovΘho souboru.

SystΘm digitßlnφch podpis∙, pou₧it² v 602SQL, je stejn² jako systΘm pou₧φvan² pro p°evody pen∞z mezi bankami a pravd∞podobn∞ takΘ stejn² jako systΘm pou₧φvan² pro odpalovßnφ mezikontinentßlnφch balistick²ch raket.

Seznam subsekcφ:

Spoluprßce s elektronickou poštou

Dopl≥ky

Sbφrka p°φklad∙ SQL dotaz∙