Administrace komentářů

Jak už jsem psal, „certifikát“ se v oblasti asymetrické kryptografie bohužel říká kde čemu. Jednou z mála jistot je, že u protokolu ssh se pro přihlášení klienta žádné certifikáty nepoužívají, protože se používají přímo veřejný a soukromý klíč (žádný certifikát není potřeba, v úložišti máte přímo veřejné klíče, kterým důvěřujete).

Co se týče ostatního, nezáleží na tom, jestli se něčemu říká certifikát nebo ne, ale záleží na podstatě věci – soukromý klíč má mít v plné moci pouze majitel „podpisového certifikátu“ a nikdo jiný (ani CA) k němu nemá mít přístup. Soukromý klíč není součástí žádosti o „certifikát“ – žádost sestává z veřejného klíče a identifikačních údajů, to celé podepsáno odpovídajícím soukromým klíčem. CA z takové žádosti vyrobí podepsaný certifikát (podepsaný je soukromým klíčem CA). Formáty pro uložení „certifikátů“ zpravidla umožňují uložit do jednoho souboru vedle certifikátu veřejného klíče i soukromý klíč a/nebo celou certifikační cestu až ke kořenovému certifikátu.

Pokud tedy někdo někam posílá svůj soukromý klíč, je to pouze jeho nevědomost nebo hloupost. Žádný technický postup v oblasti asymetrické kryptografie nic takového nevyžaduje. Všechny tři české kvalifikované certifikační autority vydávají certifikáty na základě žádosti (neobsahující soukromý klíč) podané zákazníkem, tj. certifikační autorita nepřijde do styku s privátním klíčem. Je možné, že některé banky vydávají svoje certifikáty tak, že za klienta vygenerují i žádost a privátní klíč, certifikát mu pak podepíšou a dají mu podepsaný certifikát i s klíčem. To ale neznamená, že by takový postup byl potřeba – pouze to cosi vypovídá o tom, jak bere banka vážně zabezpečení.