Podepisování klíčů
Z Wikipedie, otevřené encyklopedie
Podepisování klíčů je technický termín označující digitální podepsání digitálního veřejného klíče jiné osoby (keysigning) u asymetrické kryptografie. Při podepisování jsou ke stávajícímu veřejnému klíči přidány doplňující informace (upřesnění původního majitele klíče) a následně je vše digitálně podepsáno (je vytvořen a připojen digitální podpis).
Správnější označení podepsání veřejného klíče by mohla být certifikace (kterou také provádí Certifikační autorita), protože původní klíč není při podepisování nijakým způsobem měněn. V běžné terminologii se však obvykle nerozlišuje označení certifikát a klíč (celým názvem veřejný digitálně podepsaný klíč).
[editovat] Setkání za účelem podepisování klíčů
Uživatelé si navzájem podepisují své veřejné klíče, aby třetí straně naznačili, komu důvěřují. Věříte-li tomu, kdo cizí klíč podepsal, můžete následně důvěru přenést na držitele podepsaného klíče. Takto se vytvářejí sítě důvěry (web of trust).
Držitelé klíčů organizují setkání (key signing party), na kterých si můžete fyzicky ověřit totožnost ostatních a následně jim podepsat jejich veřejný klíč a vyjádřit tak jejich veřejným klíčům svoji důvěru.
Na takové setkání uživatelé nenosí počítače, aby zamezili možnosti kompromitace (zcizení) svých privátních klíčů. Tím také udrží snáze pozornost při ověřování všech údajů, které jsou nutné pro vytvoření skutečně důvěryhodné sítě důvěry.
V nejčastěji volené formě setkání účastníci přinesou vlatnoručně vytištěné základní údaje o svém veřejném klíči (identifikátor a popis klíče, což je vlastní jméno a elektronická adresa) a jeho výtah (hash) provedený všeobecně používanou funkcí (SHA1, lépe SHA2; ne však MD5 z důvodu jejích známých slabých míst, tzv. kolizím). Tyto lístky si účastníci vymění a při předávání si navzájem důkladně ověří své identity (pomocí občanských průkazů a podobně). Na důkladném prověření identit účastníků velmi záleží, protože jinak může být síť důvěry velmi vážně narušena. Následně každý účastník vystoupí a údaje o svém klíči včetně výtahu přečte, přičemž všichni ostatní si údaje na získaných lístcích kontrolují a úspěšně zkontrolované klíče si na lístcích označí. Pak se účastníci rozejdou.
Teprve po skončení setkání účastníci jednotlivě v bezpečném soukromí získají dle svých záznamů na lístcích veřejné klíče účastníků (z tzv. klíčových serverů - keyserver), porovnají je se zapsanými údaji ze setkání a teprve pak digitálně podepíší pomocí svého privátního klíče. Podepsané veřejné klíče obratem nahrávají zpět na klíčové servery, aby je mohli podepsat ostatní účastníci. Není nutné, aby každý podepsal klíče všech ostatních účastníků.
Sítě důvěry mezi klíči je možné graficky znázornit a dále z nich usuzovat na míru důvěryhodnosti jednotlivých klíčů. Sítě důvěry tak zjednodušují digitálně zabezpečenou komunikaci mezi mnoha účastníky, kteří nemusí ověřovat jednotlivě všechny používané klíče. Zároveň není potřeba využívat specializovaných certifikačních autorit (CA), jejihž spolehlivost neumí přímo posoudit a ověřit. Zatímco důvěra mezi CA je přísně hiearchická, sítě důvěry pracují s modelem distribuované důvěry.
Spolu s existencí sítí důvěry by majitelé podepsaných klíčů měli dbát na zneplatnění (revokaci) svých klíčů okamžitě po jejich kompromitaci (tj. při podezdření na únik svého privátního klíče a příslušné heslové fráze). Pro omezení počtu revokací mají klíče omezenou platnost (např. 2 až 5 let).

