Certifikační infrastruktury veřejných klíčů, PKI

Petr Hanáček¹ a Jan Staudek²

¹ Ústav informatiky a výpočetní techniky, FEI VUT Brno
Božetěchova 2, 612 66 Brno
hanacek@dcse.fee.vutbr.cz
² Katedra programových systémů a komunikací, FI MU Brno
Botanická 68a, 602 00 Brno
staudek@fi.muni.cz

Abstrakt. Tutoriál se věnuje technickým i netechnickým problémům zavádění a provozování infrastruktur PKI (Public Key Infrastructure). Výklad je zaměřen na architektury PKI, na vlastnosti a služby na rozhraní jejich komponent, na vnitřní technické procesy PKI a na vázání těchto procesů na systém odpovídajících dokumentů, tj. na certifikační politiku a na certifikační prováděcí směrnici. Základním cílem PKI je podpora služeb pro digitální identifikaci. Pro PKI jsou charakteristické vlastnosti: maximálně možné využití standardů, podpora nezávislosti na konkrétních produktech a aplikacích, podpora více mechanismů digitálních podpisů, výměn klíčů a šifrování, podpora funkční separace klíčů, podpora obnovy klíčů a dat, podpora nepopiratelnosti z právního hlediska a z komerčního hlediska tak, aby bylo možné počítat v budoucnosti s případným outsourcingem prvků PKI. Popisované PKI jsou ukázány jak v rovinách potřeb krátkodobé, tak i v rovinách potřeb dlouhodobé interoperability.

Klíčová slova: infrastruktura veřejných klíčů, PKI, služby PKI, autorita, certifikát, certifikace, správa klíčů, správa certifikátů, revokace certifikátu, certifikační politika, certifikační prováděcí směrnice, modely důvěry, provoz PKI.

Annotation:

Petr Hanácek, Jan Staudek: Public key Infrastructures

The tutorial deals with the technical and non-technical problems of the certification authorities and public key infrastructure (PKI). It explains individual technical processes and the binding of these processes to the system of appropriate documents (e.g. Certification Policy) and administrative measures. The authors will present their experiences with design of the real PKI for government applications. The described PKI will employ public key technology at multiple levels of assurance. The fundamental objective of this PKI is to provide digital identity services. It will also support privacy services. It is the objective of the PKI to provide certification services that have the following attributes: standards-based, support multiple applications and products, provide secure interoperability throughout government and with industry, support digital signature and key exchange and encipherment, provide functional separation of keys, support key recovery and data recovery, support legal non-repudiation, commercial-based, allowing for the possible outsourcing of elements in the future. The described PKI program is committed to working with major industry application providers to ensure both short-term and long-term interoperability.

<< Obsah