co je digitální certifikát?
digitální certifikát, známý také jako certifikát veřejného klíče, se používá k kryptografickému propojení vlastnictví veřejného klíče s entitou, která jej vlastní. Digitální certifikáty slouží ke sdílení veřejných klíčů, které mají být použity pro šifrování a ověřování.
digitální certifikáty zahrnují certifikovaný veřejný klíč, identifikační informace o subjektu, který vlastní veřejný klíč, metadata týkající se digitálního certifikátu a digitální podpis veřejného klíče, který emitent certifikátu vytvořil.
distribuce, autentizace a zrušení digitálních certifikátů jsou primární funkce infrastruktury veřejných klíčů (PKI), systému, který distribuuje a ověřuje veřejné klíče.
kryptografie veřejného klíče závisí na párech klíčů: jeden soukromý klíč, který má být držen vlastníkem a použit pro podepisování a dešifrování, a jeden veřejný klíč, který lze použít k šifrování dat odeslaných vlastníkovi veřejného klíče nebo k ověření podepsaných dat držitele certifikátu. Digitální certifikát umožňuje subjektům sdílet svůj veřejný klíč, aby mohl být ověřen.
digitální certifikáty se používají v kryptografických funkcích veřejného klíče nejčastěji pro inicializaci spojení Secure Sockets Layer (SSL) mezi webovými prohlížeči a webovými servery. Digitální certifikáty se také používají pro sdílení klíčů používaných pro šifrování veřejného klíče a ověřování digitálních podpisů.
všechny hlavní webové prohlížeče a webové servery používají digitální certifikáty, aby zajistily, že neautorizovaní aktéři nezměnili publikovaný obsah a sdíleli klíče pro šifrování a dešifrování webového obsahu. Digitální certifikáty se také používají v jiných kontextech, online i offline, pro poskytování kryptografického zabezpečení a soukromí dat.
digitální certifikáty, které jsou podporovány mobilními operačními prostředími, notebooky, tabletovými počítači, zařízeními internetu věcí (IoT) a síťovými a softwarovými aplikacemi, pomáhají chránit webové stránky, bezdrátové sítě a virtuální privátní sítě.
jak se digitální certifikáty používají?
digitální certifikáty se používají následujícími způsoby:
- kreditní a debetní karty používají čipové digitální certifikáty, které se spojují s obchodníky a bankami, aby zajistily, že provedené transakce jsou bezpečné a autentické.
- digitální platební společnosti používají digitální certifikáty k ověření svých automatických pokladních strojů, kiosků a prodejních zařízení v terénu s centrálním serverem ve svém datovém centru.
- webové stránky používají digitální certifikáty pro ověření domény, aby ukázaly, že jsou důvěryhodné a autentické.
- digitální certifikáty se používají v zabezpečeném e-mailu k identifikaci jednoho uživatele druhému a mohou být také použity pro elektronické podepisování dokumentů. Odesílatel e-mail digitálně podepíše a příjemce podpis ověří.
- výrobci počítačového hardwaru vkládají digitální certifikáty do kabelových modemů, aby zabránili krádeži širokopásmových služeb prostřednictvím klonování zařízení.
s nárůstem kybernetických hrozeb zvažuje více společností připojení digitálních certifikátů ke všem zařízením IoT, která pracují na okraji a v rámci svých podniků. Cílem je zabránit kybernetickým hrozbám a chránit duševní vlastnictví.
kdo může vydat digitální certifikát?
entita si může vytvořit vlastní PKI a vydat vlastní digitální certifikáty, čímž vytvoří certifikát s vlastním podpisem. Tento přístup může být rozumný, pokud si organizace udržuje vlastní PKI k vydávání certifikátů pro vlastní interní použití. Certifikační úřady (CAs) – považované za důvěryhodné třetí strany v souvislosti s PKI – však vydávají většinu digitálních certifikátů. Použití důvěryhodné třetí strany k vydávání digitálních certifikátů umožňuje jednotlivcům rozšířit svou důvěru v CA na digitální certifikáty, které vydává.
digitální certifikáty vs. digitální podpisy
kryptografie veřejného klíče podporuje několik různých funkcí, včetně šifrování a autentizace, a umožňuje digitální podpis. Digitální podpisy jsou generovány pomocí algoritmů pro podepisování dat, takže příjemce může nezvratně potvrdit, že data byla podepsána konkrétním držitelem veřejného klíče.
digitální podpisy jsou generovány hashováním dat, která mají být podepsána, jednosměrným kryptografickým hash; výsledek je pak zašifrován soukromým klíčem podepisujícího. Digitální podpis obsahuje tento šifrovaný hash, který lze ověřit nebo ověřit pouze pomocí veřejného klíče odesílatele k dešifrování digitálního podpisu a poté spuštěním stejného jednosměrného hashovacího algoritmu na podepsaném obsahu. Tyto dvě hashe jsou pak porovnány. Pokud se shodují, prokáže, že data byla nezměněna od podpisu a že odesílatel je vlastníkem dvojice veřejných klíčů, která byla použita k podpisu.
digitální podpis může záviset na distribuci veřejného klíče ve formě digitálního certifikátu, ale není povinné, aby byl veřejný klíč přenášen v této podobě. Digitální certifikáty jsou však podepisovány digitálně a neměly by být důvěryhodné, pokud podpis nelze ověřit.
jaké jsou různé typy digitálních certifikátů?
webové servery a webové prohlížeče používají k ověření přes internet tři typy digitálních certifikátů. Tyto digitální certifikáty se používají k propojení webového serveru pro doménu s jednotlivcem nebo organizací, která vlastní doménu. Obvykle se označují jako certifikáty SSL, i když protokol zabezpečení transportní vrstvy nahradil protokol SSL. Tyto tři typy jsou následující:
- certifikáty SSL Ověřené doménou (DV) nabízejí držiteli certifikátu nejmenší jistotu. Žadatelé o certifikáty DV SSL musí pouze prokázat, že mají právo používat název domény. I když tyto certifikáty mohou zajistit, že držitel certifikátu odesílá a přijímá data, neposkytují žádné záruky o tom,kdo je tento subjekt.
- certifikáty SSL Ověřené organizací (OV) poskytují další záruky o držiteli certifikátu. Potvrzují, že žadatel má právo doménu používat. Žadatelé o certifikát OV SSL také podstoupí další potvrzení o vlastnictví domény.
- certifikáty SSL S Rozšířenou validací (EV) jsou vydávány až poté, co žadatel prokáže svou totožnost ke spokojenosti CA. Prověřovací proces ověřuje existenci subjektu žádajícího o certifikát, zajišťuje, že identita odpovídá Úředním záznamům a je oprávněna používat doménu, a potvrzuje, že vlastník domény povolil vydání certifikátu.
přesné metody a kritéria, které CAs dodržuje při poskytování těchto typů certifikátů SSL pro webové domény, se vyvíjejí, jak se průmysl CA přizpůsobuje novým podmínkám a aplikacím.
existují i jiné typy digitálních certifikátů používaných pro různé účely:
- osvědčení o podpisu kódu mohou být vydávána organizacím nebo jednotlivcům, kteří publikují software. Tyto certifikáty se používají ke sdílení veřejných klíčů, které podepisují softwarový kód, včetně oprav a aktualizací softwaru. Osvědčení o podpisu kódu potvrzují pravost podepsaného kódu.
- klientské certifikáty, nazývané také digitální ID, jsou vydávány jednotlivcům, aby svázali svou totožnost s veřejným klíčem v certifikátu. Jednotlivci mohou tyto certifikáty použít k digitálnímu podepisování zpráv nebo jiných dat. Mohou také použít své soukromé klíče k šifrování dat, která mohou příjemci dešifrovat pomocí veřejného klíče v klientském certifikátu.
výhody digitálního certifikátu
digitální certifikáty poskytují následující výhody:
- soukromí. Když šifrujete komunikaci, digitální certifikáty chrání citlivá data a zabraňují tomu, aby informace viděli ti, kteří je neoprávněně viděli. Tato technologie chrání společnosti a jednotlivce s velkým množstvím citlivých dat.
- snadné použití. Proces digitální certifikace je do značné míry automatizovaný.
- nákladová efektivita. Ve srovnání s jinými formami šifrování a certifikace jsou digitální certifikáty levnější. Většina digitálních certifikátů stojí méně než 100 USD ročně.
- flexibilita. Digitální certifikáty nemusí být zakoupeny od CA. Pro organizace, které mají zájem o vytvoření a udržování vlastního interního fondu digitálních certifikátů, je proveditelný přístup k vytváření digitálních certifikátů do-it-yourself.
omezení digitálních certifikátů
některá omezení digitálních certifikátů zahrnují následující:
- Ochranka. Jako každý jiný bezpečnostní odstrašující prostředek, digitální certifikáty mohou být hacknuty. Nejlogičtějším způsobem hromadného hackování je, pokud je vydávající digitální CA hacknut. To dává špatným aktérům příležitost proniknout do úložiště digitálních certifikátů, které úřad hostí.
- pomalý výkon. Ověření digitálních certifikátů a šifrování a dešifrování vyžaduje určitý čas. Čekací doba může být frustrující.
- integrace. Digitální certifikáty nejsou samostatnou technologií. Aby byly účinné, musí být řádně integrovány se systémy, daty, aplikacemi, sítěmi a hardwarem. To není malý úkol.
- řízení. Čím více digitálních certifikátů společnost používá, tím větší je potřeba je spravovat a sledovat, které z nich vyprší a je třeba je obnovit. Tyto služby mohou poskytovat třetí strany nebo se společnosti mohou rozhodnout, že tuto práci vykonají samy. Ale může to být drahé.
Naučte se, jak lze načasování útoků použít k prasknutí šifrovacích klíčů.