Je vÜak nutnΘ zabrßnit, aby se komunikace ne·Φastnil n∞kdo s faleÜnou identitou (tj. p°φpad,
kdy ·Φastnφk uvede sv∙j vlastnφ klφΦ s faleÜn²m jmΘnem, a pak tedy obdr₧φ zprßvy urΦenΘ
pro osobu, jejφ₧ jmΘno je zneu₧ito), proto je bezpeΦnß sprßva klφΦ∙ nevyhnutelnß. Ve°ejn²
klφΦ ·Φastnφka je platn² pouze v p°φpad∞, ₧e klφΦ spoleΦn∞ s vazbou na tohoto ·Φastnφka je
ov∞°en (autentifikovßn) d∙v∞ryhodnou centrßlnφ autoritou. Tento proces je naz²vßn certifikace a d∙v∞ryhodnß autorita je naz²vßna certifikaΦnφ autorita (krßtce: CA). Certifikovan²
klφΦ je pak ulo₧en na vlastnφm certifikßtu ·Φastnφka. ┌Φastnφci ve smyslu infrastruktur ve°ejn²ch klφΦ∙ jsou vÜechny Φlßnky, kterΘ se ·Φastnφ komunikace. Mohou to b²t osoby, ale
v p°φpad∞ komunikace mezi poΦφtaΦi dokonce z·Φastn∞nß za°φzenφ (nap°. servery, klient-servery, tiskßrny).
BezpeΦnostnφ infrastruktury s centrßlnφ certifikaΦnφ autoritou mohou b²t znßzorn∞ny tak, jak je patrnΘ z prvnφho obrßzku.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Strom struktury m∙₧e b²t v podstat∞ libovoln∞ slo₧it². Ko°enovß CA je ko°en stromu
(vzh∙ru nohama), jeho listy jsou certifikovanφ u₧ivatelΘ. Mezi nimi mohou b²t i mnohΘ
dalÜφ certifikaΦnφ autority, z nich₧ ka₧dß je certifikovanß odpovφdajφcφ nad°φzenou CA. Ko°enovß CA nenφ certifikovanß ₧ßdnou jinou CA, mß d∙v∞ru vÜech ·Φastnφk∙.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Jsou dva zp∙soby jak propojit dv∞ r∙znΘ infrastruktury ve°ejn²ch klφΦ∙ v jednu rozsßhlou.
Bu∩ ustanovenφm t°etφ CA, kterß je ob∞ma nad°φzenß, nebo pomocφ k°φ₧ovΘ certifikace, kdy
dv∞ certifikaΦnφ autority, kterΘ se certifikujφ navzßjem, p°ijφmajφ vÜechny u₧ivatelskΘ certifikßty vydanΘ druhou autoritou.
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> Udr₧ovßnφ a publikovßnφ revokaΦnφch seznam∙</UL>
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Hlavnφm ·kolem CA je vydßvat certifikßty ·Φastnφk∙m bezpeΦnostnφ infrastruktury. VÜechny slo₧ky, kterΘ se ·Φastnφ komunikace, musφ b²t do infrastruktury zahrnuty; osoby stejn∞
jako tiskßrny, servery a jinß za°φzenφ. P°i vydßvßnφ certifikßtu CA propojφ ·Φastnφkovo jmΘno
s jeho ve°ejn²m klφΦem. Spojitost je zajiÜt∞na elektronick²m podpisem CA ve°ejnΘho klφΦe
·Φastnφka a dalÜφmi ·daji: unikßtnφm Φφslem vydan²m CA, dobou platnosti a jmΘnem ·Φastnφka. Souhrn uveden²ch ·daj∙ a elektronickΘho podpisu certifikaΦnφ autority se naz²vß
certifikßt. CA garantuje, ₧e jmΘno a ve°ejn² klφΦ, obsa₧enΘ v certifikßtu, odpovφdajφ tΘ₧e
osob∞. CA musφ zajistit, aby jφ ka₧d² uchazeΦ o certifikßt prokßzal svou identitu.
VÜichni ·Φastnφci si klφΦe sv²ch certifikaΦnφch autorit ov∞°ujφ. Jestli₧e se tyto klφΦe stanou
neplatn²mi, musφ b²t vydßny znovu.
Jsou dva zp∙soby vydßvßnφ certifikßt∙. U₧ivatel m∙₧e generovat sv∙j vlastnφ pßr klφΦ∙ a
ve°ejn² klφΦ si dßt certifikovat CA; nebo naopak, CA generuje pßr klφΦ∙ pro u₧ivatele.
CertifikovanΘ ve°ejnΘ klφΦe musφ b²t publikovßny. Obvykle jsou obsa₧eny v adresß°i
servis∙ LDAP (lightweight directory access protocol), kter² zastupuje cosi jako telefonnφ
seznam. Obsahuje jmΘna ·Φastnφk∙ a mφsto telefonnφch Φφsel jejich ve°ejnΘ klφΦe.
Doba platnosti certifikßtu je obvykle urΦena certifikaΦnφ autoritou a je uvedena v certifikßtu.
Jestli₧e je certifikßt zneu₧it b∞hem svΘ doby platnosti, pak pozb²vß d∙v∞ry Seznam zneplatn∞n²ch certifikßt∙ (Certificate Revocation List, CRL) je seznam certifikßt∙, kterΘ jsou
zruÜeny (tj. prohlßÜeny za neplatnΘ) vydßvajφcφ certifikaΦnφ autoritou v obdobφ jejich platnosti. D∙vodem m∙₧e b²t prozrazenΘ heslo certifikßtu, zneu₧it² certifikßt, odchod dr₧itele
certifikßtu ze spoleΦnosti, kterß mu certifikßt vydala, nebo podobnΘ d∙vody. V takovΘm
p°φpad∞ je certifikßt naz²vßn zkompromitovan²m.
CertifikaΦnφ autorita udr₧uje seznam zneplatn∞n²ch certifikßt∙ a je povinna ho aktualizovat
a dßvat ho k dispozici ·Φastnφk∙m v pravideln²ch intervalech. Seznam zneplatn∞n²ch certifikßt∙ musφ b²t k dispozici vÜem ·Φastnφk∙m a pak m∙₧e b²t spolehlivost certifikßt∙ kdykoliv ov∞°ena. Zneu₧itφ ilegßln∞ zφskan²ch (ji. zneplatn∞n²ch) certifikßt∙ nebo odpovφdajφcφch
privßtnφch klφΦ∙ je pak pomocφ seznamu znemo₧n∞no.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
CA je srovnatelnß s autoritou vydßvajφcφ identifikaΦnφ pr∙kazy. Je nep°φpustnΘ, aby n∞jakß
neoprßvn∞nß osoba byla schopnß vydat identifikaΦnφ pr∙kaz. Od tΘ doby, co bezpeΦnostn∞
d∙le₧itΘ informace CA existujφ v elektronickΘ form∞, jsou nezbytnß takovß opat°enφ, aby
nebylo mo₧nΘ informace zneu₧φt.
PoΦφtaΦ, na kterΘm je CA provozovßna, by m∞l b²t v zabezpeΦenΘm prost°edφ. M∙₧e to b²t
mφstnost nebo pracovnφ mφsto, na kterΘ majφ p°φstup pouze ov∞°enΘ osoby. Navφc, dan²
poΦφtaΦ by nem∞l pracovat na sφti. P°φstup k tomuto poΦφtaΦi by m∞l b²t dovolen pouze ov∞°en²m a vyÜkolen²m osobßm. Zam∞stnanci prov∞°enφ pracovat v CA by m∞li takΘ zachovßvat nezbytnß bezpeΦnostnφ opat°enφ.
Vytvß°enφ zßlo₧nφch kopiφ je pro CA nezbytnΘ (musφ b²t ulo₧eny na bezpeΦnΘm mφst∞, nap°.
v trezoru); musφ to vÜak b²t v souladu se zßkonem o elektronickΘm podpisu (nap°. n∞meckΘmu zßkonu o elektronickΘm podpisu uchovßvßnφ kopiφ odporuje).
V²Üe uvedenΘ ·koly certifikaΦnφ autority je mo₧nΘ rozd∞lit na ·koly pro certifikaΦnφ
autoritu, kterß je zodpov∞dnß pouze za certifikaci,
a na ·koly pro n∞kolik registraΦnφch autorit, kterΘ registrujφ ₧ßdosti o certifikace, starajφ se
o °ßdnΘ prokßzßnφ identity ₧adatel∙ p°i registraci a p°edßvajφ odpovφdajφcφ CA ₧ßdosti o
vydßnφ certifikßt∙ a dßle spravujφ administrativu t²kajφcφ se vydan²ch u₧ivatelsk²ch certfikßt∙.
Nap°φklad v IT odd∞lenφ spoleΦnosti by mohla fungovat CA, zatφmco odd∞lenφ Human Resources by bylo odpov∞dnΘ za Φinnosti registraΦnφch autorit. Pro mezinßrodnφ spoleΦnosti
s n∞kolika vzdßlen²mi sφdly by mohla vyhovovat jedna centralizovanß CA a v ka₧dΘm
mφst∞ samostatnß RA, kterou by mohli u₧ivatelΘ osobn∞ navÜt∞vovat.
Velmi d∙le₧it² prvek bezpeΦnostnφch infrastruktur je elektronickß identifikaΦnφ karta,
certifikßt. Je obdobou identifikaΦnφho pr∙kazu (v ╚R obΦanskΘho pr∙kazu), kter² vydßvß
stßtnφ ·°ad pro registraci osob. Certifikßt obsahuje unikßtnφ Φφslo, jmΘno dr₧itele a dobu
platnosti, kterß je souΦasn∞ informacφ, kdy je pot°eba certifikßt obnovit. SouΦßstφ digitßlnφho
certifikßtu nenφ oznaΦenφ biologickΘ identifikace, jako je fotografie, a vlastnoruΦnφ podpis
nahrazujφ digitßlnφ metody. V certifikßtu nenφ obsa₧en vlastnφ elektronick² podpis, ale informace, jak se dr₧itel elektronicky podepisuje. Tato informace je ve°ejn²m klφΦem na certifikßtu dr₧itele, certifikßt je zasφlßn spoleΦn∞ s elektronicky podepsanou zprßvou, adresßt si
tedy m∙₧e jednoduÜe zkontrolovat podpis odesφlatele.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
K prevenci proti pad∞lßnφ certifikßt∙ je nezbytn² n∞jak² druh autority pro kontrolu a peΦet∞nφ certifikßt∙. Autorita se naz²vß certifikaΦnφ autorita (CA) a peΦetφ je elektronick² podpis CA na certifikßtu. Tento podpis je jeho souΦßstφ.
V tomto p°φpad∞ si u₧ivatel nejprve vygeneruje sv∙j pßr klφΦ∙. Pak zaÜle sv∙j ve°ejn² klφΦ p°φsluÜnΘ CA. CA ho podepφÜe a poÜle tento
v²sledn² certifikßt zpßtky u₧ivateli. P°ed podepsßnφm musφ CA ov∞°it identitu ₧adatele, aby
se ujistila, ₧e certifikßt skuteΦn∞ nßle₧φ jemu. Pro tento zßm∞r je nezbytnΘ, aby ₧adatel prokßzal svou toto₧nost identifikaΦnφm pr∙kazem nebo pasem nebo podobn²m dokladem. Pro
ov∞°enφ identity nenφ telefonick² hovor nebo e-mail dostateΦn².
P°i tomto postupu si u₧ivatel m∙₧e b²t jist², ₧e nikdo jin² nevlastnφ stejn² privßtnφ klφΦ.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
DalÜφ v²hodou je, ₧e p°enßÜenΘ informace (ve°ejn² klφΦ a certifikßt) jsou ka₧dopßdn∞ ve°ejnΘ a proto p°enos nezp∙sobuje ₧ßdnß bezpeΦnostnφ rizika. VÜechny citlivΘ informace (heslo
a privßtnφ klφΦ) z∙stßvajφ u u₧ivatele. Jedinou v∞c je pot°eba ov∞°it: zda ve°ejn² klφΦ nebyl
zneu₧it b∞hem p°enosu.
U₧ivatel by se m∞l postarat o to, aby si uschoval kopii pßru klφΦ∙ na bezpeΦnΘm mφst∞ (jako
je trezor) pro p°φpad poniΦenφ originßlnφho pßru, jinak by musel generovat kompletn∞ nov²
pßr klφΦ∙ a mφt nov² ve°ejn² klφΦ certifikovan² CA. Navφc by p°enos ve°ejnΘho klφΦe od
u₧ivatele k CA a p°enos certifikßtu od CA k u₧ivateli musel b²t znovu uskuteΦn∞n.
P°edpoklßdejme, ₧e chcete vybudovat ve vaÜφ organizaci vysoce efektivnφ infrastrukturu
ve°ejn²ch klφΦ∙ PKI. Od rozhodnutφ pro PKI vede k produktivnφmu vyu₧φvßnφ bezpeΦnostnφ
technologie zalo₧enΘ na certifikßtech v odpovφdajφcφch aplikacφch spoleΦnosti dlouhß cesta.
Nejprve je nutnΘ stanovit po₧adavky organizace a uΦinit zßva₧nß rozhodnutφ:
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> Chcete pou₧φvat PKI pouze intern∞ nebo mßte v plßnu ji pou₧φvat v ÜirÜφm prost°edφ
tak, ₧e musφ b²t zahrnuty mezinßrodnφ standardy a interoperabilita? </UL>
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> Chcete provozovat svou vlastnφ certifikaΦnφ autoritu (CA)? Nebo chcete mφt pouze
registraΦnφ autoritu (RA)? Nep°ejete si dokonce zφskat certifikovßnφ jako externφ slu₧bu? Toto je zßvislΘ mj. na odpovφdajφcφch znalostech vaÜich IT zam∞stnanc∙. </UL>
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> Jak² prost°edek chcete pro bezpeΦnost pou₧φt? Je bezpeΦnost softwaru PSE pro vßs
dostateΦnß, nebo dßte p°ednost Φipov²m kartßm smartcard? Vyu₧itφ Φipov²ch karet
spoleΦn∞ s metodami e-bezpeΦnosti je mnohem jednoduÜÜφ, tφm pßdem mΘn∞ namßhavΘ ne₧
pou₧itφ d°φv∞jÜφch technologiφ. </UL>
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> KterΘ aplikace (nap°. e-mail, SAP R/3, webovΘ prohlφ₧eΦe,...) by m∞ly b²t pro PKI
p°φstupnΘ? </UL>
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> Jak velkΘ mno₧stvφ ·Φastnφk∙ oΦekßvßte z poΦßtku a jakΘ za urΦitou dobu?
Po zodpov∞zenφ t∞chto zßkladnφch otßzek je dalÜφm d∙le₧it²m krokem krok k praktickΘmu
pou₧φvßnφ PKI v celΘ spoleΦnosti. Cesta k vydßvßnφ certifikßt∙ a instalovßnφ bezpeΦnostnφch
p°ipojenφ k vaÜim aplikacφm je zßvislß na charakteru vaÜφ spoleΦnosti a celΘ °eÜenφ by m∞lo
b²t provedeno s opatrnostφ a pΘΦφ. Pot°ebujete ov∞°ovacφ stadium? Kdo z personßlu se bude
podφlet na tomto ov∞°ovacφm stadiu? Jak zorganizovat registrovßnφ? Certifikßty (jako soubory na Φipov²ch kartßch) musφ b²t vygenerovßny a rozeslßny. VßÜ personßl musφ b²t vyÜkolen pro pochopenφ a dodr₧ovßnφ vaÜich bezpeΦnostnφch metod a k pou₧itφ softwaru. </UL>
