1 odpowiedź w tym temacie

[mitshi]

Cześć jestem nowy w branży i przyszło mi porównać w jakich sytuacjach certyfikat klucza publicznego zwiększa bezpieczeństwo użytkowania podpisu cyfrowego, a w jakich jest bez znaczenia? Chodzi tylko o uwierzytelniania, integralność i niezaprzeczalność czy dorzucilibyście lepszy pomysł na rozwiązanie problemu?

Z góry dzięki

[~janusz]

Certyfikat nie realizuje jako tako własności bezpieczeństwa.

 

http://mysecurephone...za-publicznego/

 

Zadaj sobie wpierw pytanie - czym jest klucz publiczny ? W skrócie jest to specjalny obiekt pozwalający na szyfrowanie wiadomości, którą można rozszyfrować kluczem prywatnym skojarzonym z tym kluczem publicznym.

 

Nadawcy pobierają klucz publiczny odbiorcy wiadomości. Szyfrują wiadomości. Mogą też zorientować się, czy podpis nadawcy zgadza się z podpisem wygenerowanym przez jego klucz publiczny.

 

Co w przypadku, gdy chcesz mieć pewność co do tożsamości (nie chodzi tu o niezaprzeczalność - fakt wysłania przez posiadacza klucza wiadomości tylko jego np. imię i nazwisko) nadawcy ? Każdy może wygenerować sobie parę kluczy RSA i się nią posługiwać w dowolny sposób. Na tę okazję wymyślono certyfikaty - obiekty kojarzące klucze a jednocześnie zawierające informacje o tożsamości podmiotu, które są podpisane przez zaufaną trzecią stronę (główny urząd certyfikacji, któremu się ufa bezgranicznie lub inne mechanizmy oparte na P2P).

 

W skrócie - jeżeli musisz polegać na autentyczności tożsamości podmiotu (np strona banku do łączenia przez https - przy fałszywych stronach przeglądarka krzyczy, wymiana danych mailowych z konkretną osobą) - musisz używać certyfikatów. Jeżeli tożsamość podmiotu nie ma znaczenia - możesz używać wolnej pary kluczy.

 

Ewentualnie certyfikat może nie mieć znaczenia, gdy para kluczy znajduje się na karcie inteligentnej (przyjmując, że kartą zawsze posługuje się ten który kartę powinien mieć przy sobie), aczkolwiek nawet na kartach para kluczy skojarzona jest z certyfikatami.