Základní pojmy

Digitální podpis - co je to?

Digitální podpis je technologie, která používá asymetrickou kryptografii např. k prokázání původu dat. Je to implementace určité matematické funkce pomocí softwaru a když je tento matematický výsledek připojen k souboru, soubor je podepsán (ve skutečnosti je používána posloupnost matematických funkcí). Někdy je "Digitální podpis" reprezentován jako "Elektronický podpis". Pro upřesnění, digitální podpis je elektronický podpis, který byl vytvořen šifrováním. Pokud v tomto textu používáme pojem elektronický podpis, potom ve skutečnosti myslíme digitální podpis (téměř bez vyjímek).

Aby bylo možné správně porozumět procesu digitálního podpisu, bude nutné vysvětlit několik pojmů.

Symetrické šifrování používá pouze jeden klíč pro šifrování a dešifrování. V praxi je těžké distribuovat jeden klíč všem uživatelům bezpečnou cestou. Na druhé straně jsou symetrické algoritmy rychlé a nepotřebují velké systémové požadavky. Nejznámější symetrické algoritmy jsou: DES, 3DES, IDEA, BlowFish a CAST.

Asymetrické šifrování používá dva klíče - veřejný a soukromý. Veřejný klíč je pro všechny a soukromý klíč je tajný. Základem asymetrického šifrování je, že data, která byla zašifrována veřejným klíčem, mohou být dešifrována pouze soukromým klíčem. Není možné šifrovat a potom dešifrovat pomocí stejného klíče. Asymetrické šifrovací algoritmy jsou pomalé a více náročné. Například: RSA, ECC, AES atd.

Hybridní šifrování je často používaným kompromisem, který kombinuje obě dvě možnosti. Data jsou zašifrována symetrickým klíčem, který je zašifrován veřejným klíčem příjemce a je poslán s daty.

On-line šifrování je, když je šifrovaný soubor otevřen autorizovaným uživatelem a je dynamicky dešifrován v paměti počítače a nakonec je otevřen v odpovídající aplikaci. Na konci práce je soubor automaticky zašifrován. Na druhé straně, v případě "off-line" dešifrování, dešifrujete soubor ručně a potom jej otevřete v aplikaci (např.: MS Word dokument).

HASH reprezentuje "digitální otisk" zadaných dat. Je vytvořen, když použijete t. zv. HASH algoritmus na soubor. Jeho výstupem je číslo, které má předdefinovanou délku a jednoznačně identifikuje vstupní data. HASH je jednosměrná funkce, což znamená, že nemůžete rekonstruovat obsah souboru ze známé HASH. Pokud jsou vstupní data změněna (stačí malá změna), výsledek HASHovací funkce bude velmi odlišný.

Certifikát je v podstatě veřejný klíč s informacemi, které jednoznačně identifikují jeho vlastníka v určitém standartizovaném formátu. Všechno je digitálně podepsáno (vlastníkem - t. zv. certifikát podepsaný sám sebou nebo důvěryhodným certifikačním úřadem). Certifikáty jsou vydávány, aby všichni mohli ověřit podpis vlastníka s pomocí jeho certifikátu.

CRL (Certificate Revocation List) je seznam certifikátů, jejichž platnost byla zrušena. Obsahuje sériová čísla certifikátů přiděleného certifikačního úřadu (CA). Většinou je volně ke stažení z webových stránek CA. Certifikát, jehož sériové číslo je v CRL, není platný a data podepsaná elektronickým podpisem, který přísluší k tomuto certifikátu, nejsou originální.

Princip vytváření digitálního podpisu je relativně jednoduchý. Nejprve se spočítá HASH souboru. Tato HASH je zašifrována soukromým klíčem a přiřazena k souboru. V některých případech může být také přidán certifikát podepsané osoby. Jednoduše řečeno, digitální podpis je HASH spočítaná z podepsaných dat a tato HASH je zašifrována soukromým klíčem.

Ověření digitálního podpisu je provedeno ve dvou krocích. Nejprve je s pomocí certifikátu podepsané osoby dešifrována HASH připojená k souboru. Následně se spočítá HASH ze souboru s pomocí stejné HASHovací funkce a tyto HASHe jsou navzájem porovnány. Pokud nejsou odlišné, podpis je platný. Pokud v čase mezi podepsáním a ověřením podpisu byl obsah souboru změněn (nebo např. soubor byl porušen), potom podpis není platný.

Public Key Infrastructure (PKI) určuje systémy, které používají technologii digitálního podpisu včetně jistých forem centrální správy veřejných klíčů (certifikátů). V zásadě je to komplexní systém, který používá technologii digitálního podpisu s centrálními úložišti určitých uživatelských certifikátů případně také soukromé klíče.


Copyright © 2010, TrustPort, a.s., Všechna práva vyhrazena.