Digitální podpis a digitální certifikát – jednoduchý průvodce

Než svět začal s digitalizací, spoléhal se silně na podepsané dokumenty při schvalování, ověřování a nesení odpovědnosti různých stran v transakcích a různých typech dohod. Digitální podpis a digitální certifikát jsou moderní náhradou standardních podpisů. 

Digitální podpis, který byl výrazně rychlejší než posílání dokumentů poštou a faxem, pomohl různým podnikům. 

Co je digitální podpis? 

Digitální podpis je elektronické ověření odesílatele dokumentu, které příjemci umožňuje určit, zda původní obsah byl pozměněn zprostředkovatelem. 

Soukromý klíč a veřejný klíč jsou dva základní prvky digitálního podpisu, vytvořené vyhrazeným algoritmem současně. I když jsou vytvořeny tak, aby byly matematicky příbuzné, vzhledem se budou lišit. 

Digitální podpis slouží ke třem účelům: 

1. Ověřování – příjemce může určit autorství zprávy a určit, zda je odesílatel tím, za koho se vydává. 
2. Nevypovědení – odesílatel nemůže popřít, že zprávu odeslal později, a může nést odpovědnost za nezměněnou zprávu. 
3. Integrita – zpráva nebyla změněna. 

A ve skutečnosti má digitální podpis právní hodnotu ve Spojených státech, Evropské unii, Švýcarsku, Jižní Africe, Alžírsku, Turecku, Indii, Brazílii, Indonésii, Mexiku, Saúdské Arábii, Uruguayi a Chile. 

Jak vytvořit digitální podpis? 

Chcete-li vytvořit digitální podpis, musíte zprávu podepsat svým soukromým klíčem.  

Soukromý klíč je prvkem této rovnice, který držíte pouze vy, a jeho poskytnutím prokazujete, že jste to vy, kdo podepsal dokument. 

Nejprve zahašujete prostý text, abyste si zachovali záznam o nezměněné verzi zprávy, kterou se chystáte odeslat.  

SIDENOTE. Hašování je transformace konkrétního obsahu libovolné délky na kratší hodnotu s pevnou délkou. 

Nejpreferovanějším hashovacím algoritmem je v současnosti SHA256 (Secure Hash Algorithm). Mějte na paměti, že hašování je jednosměrný proces a malá změna na vstupu změní celý výstup.  

Dále zašifrujete hash prostého textu svým soukromým klíčem, což povede k digitálnímu podpisu. 

Digitální podpis připojíte k dokumentu ve formátu prostého textu a odešlete jej. 

Přes asymetrické šifrování, bude příjemce schopen dešifrovat váš digitální podpis a porovnat hash prostého textu s hashem, který poskytnete.  

Možná vás tedy zajímá, jak hashujete dokument. Naštěstí to program ve vašem počítači udělá automaticky za vás.  

Takto můžete vygenerovat hash dokumentu ve Windows 7/8/10: 

1. Otevřete „Příkazový řádek“;  
2. Zadejte „certutil – hashfile“ 
3. Přetáhněte dokument do „Příkazového řádku“. 
4. Na konec řádku přidejte „SHA256“. 

Váš poslední řádek by měl vypadat nějak takto: 

certutil -hashfile “C:\User\Computer\Desktop\File.docx” SHA256 

Tímto způsobem konzola zobrazí kód o velikosti 256 bitů / 64 hexadecimálních znaků, který představuje obsah vašeho souboru. 

Ale kde získáte soukromý klíč a veřejný klíč? 

To je také docela jednoduché.  

Můžete je generovat prostřednictvím softwaru, online platformy nebo prostřednictvím infrastruktury veřejného klíče (PKI) registrované u certifikační autority. 

SIDENOTE. PKI je akceptovaný formát pro správu šifrování veřejného klíče, který poskytuje nejvyšší úroveň zabezpečení a univerzální přijetí.  

Jak potom přidáte digitální podpis se soukromým klíčem k dokumentu? 

K tomu musíte opět použít vyhrazený software, jako je Sign Server, Safe pdf nebo DocuSign. 

Jak to pomáhá? 

Vezměme si fiktivní scénář, jak vás může digitální podpis ochránit.  

Digitálně podepíšete smlouvu s poskytovatelem v zahraničí na outsourcing služeb.  

Po odsouhlasení podmínek a sazby 20 $/hodinu jste dokument hashovali a podepsali a poté jej odeslali zpět poskytovateli. 

A tady nastává problém.  

Podepsaná smlouva se musí dostat k manažerovi outsourcingové společnosti, ale chamtivý obchodník změní sazbu na 30 USD/hodinu, aby mohl získat větší provizi. Když je čas zaplatit, najednou zjistíte, že sazba je vyšší, než na jaké jste se dohodli. 

Jak prokážete, že s dokumentem bylo manipulováno?  

Manažer nic nevěděl, ale byl ochoten situaci objasnit. Takže ho požádáte, aby použil veřejný klíč k dešifrování vašeho podpisu a zkontroloval hash. Díky tomu bude schopen rozpoznat rozdíl ve výstupu hash a určit, že smlouva byla změněna.  

A i když manažer nebude ochoten spolupracovat, můžete je dát k soudu, dokázat, že máte pravdu, a pohnat je k odpovědnosti. 

Digitální podpis v blockchainu 

Blockchain bitcoinu využívá algoritmus SHA256 a digitální podpis k zajištění neměnnosti informací uložených na blockchain. Digitální podpis pomáhá sledovat transakce a zabránit dvojímu utrácení. 

Transakce jsou brány jako vstup a jsou prováděny pomocí hashovacího algoritmu a poté vráceny jako výstup s pevnou délkou. Data jsou poté přidána do bloku. Blok také obsahuje hash ukazatel, který ukazuje na předchozí blok.  

Ukazatel hash obsahuje hash všech dat v předchozím bloku. Jakákoli drobná úprava dat obsažených v bloku s sebou přinese drastickou úpravu hashe. Úprava nedopadá pouze na aktuální, ale i na všechny předchozí bloky, a tím je ruší. 

Co je digitální certifikát? 

Jak už možná tušíte, vytvořit digitální podpis a používat jej není tak složité. Právě v tom spočívá jeho slabina.  

Strana se zlými úmysly se může pokusit vytvořit digitální podpis a veřejný klíč, aby předstírala, že je někdo jiný. Pokud osoba obdrží takovou digitálně podepsanou zprávu a dojde k závěru, že dokument je legitimní, bude tato osoba vystavena informačnímu útoku ze strany se zlými úmysly.  

Samotný digitální podpis neověřuje skutečnou identitu odesílatele a jeho veřejný klíč proto postrádá autentizaci. 

Tento problém však řeší digitální certifikát. Digitální certifikát je elektronické pověření vydané certifikační autoritou.  

Certifikační autorita zaregistruje prostřednictvím PKI identitu vlastníka a také ověří, že vlastník skutečně vlastní veřejný klíč. 

Digitální certifikát obvykle obsahuje jméno vlastníka, veřejný klíč, certifikační autoritu a digitální podpis. Tímto způsobem je výrazně sníženo riziko přijetí digitálního podpisu od škodlivé strany. 

Jak vytvořit digitální certifikát? 

Digitální certifikát lze vytvořit především dvěma způsoby: 

1. Vytvoříte certifikát podepsaný svým držitelem. 
2. Požadujete jej od certifikační autority (CA). 

1. Certifikát s vlastním podpisem 

Existuje několik metod, jak vytvořit certifikát s vlastním podpisem, ale abychom porozuměli procesu, odkážeme na certifikát X509 s vlastním podpisem. Vše si můžete vytvořit sami v OpenSSL. 

Stačí otevřít příkazový řádek a zadat „openssl“. 

Dále zadejte 'OpenSSL req -x509 -days 365 -newkey rsa:2048 -keyout my-key.pem -out my-cert.pem'. 

A i když to pro některé z vás může vypadat jako blábol, pojďme se podívat, co to všechno znamená: 

• 'Požadavek' znamená, že se jedná o žádost o certifikát; 
• „x509“ označuje typ certifikátu; 
• '365' označuje počet dní, po které bude platit; 
• „nový klíč“ znamená, že se bude jednat o nový certifikát;
• Klíčovým souborem bude 'Keyout'.

Poté budete moci vytvořit soukromý klíč a přidat identifikační údaje.  

Můžete najít průvodce krok za krokem zde. 

Digitální certifikát s vlastním podpisem však poskytuje pouze šifrování, ale žádnou důvěru. Takový certifikát je pro hackery snadným cílem. Mohou to replikovat a předstírat, že jsou „vydavatelem“ a začít phishingem pro osobní údaje. 

Webové stránky, které používají certifikáty SSL s vlastním podpisem, jsou ve skutečnosti internetovými prohlížeči označeny jako „nedůvěryhodné“. 

2. Certifikát vydaný CA 

Digitální certifikát ověřený certifikační autoritou je důvěryhodnější a bezpečnější metodou. Je také jednodušší jej získat, ale může to znamenat poplatek.  

Certifikační autorita obvykle vyžaduje za vydání certifikátu poplatek a můžete buď požádat pouze její certifikát, nebo ji požádat o zpracování všech PKI. 

Pokud potřebujete jednoduchý certifikát, můžete je kontaktovat telefonicky nebo e-mailem. Ověří vaši identitu, poté vám vydá certifikát, který by měl obsahovat veřejný klíč, identifikaci certifikační autority a identifikaci uživatele. 

Kromě digitální certifikace můžete některé společnosti požádat, aby zpracovávaly všechny aspekty PKI, přístupové tokeny a vícefaktorové ověřování pro uživatele, zařízení a stroje. 

V případě webu přichází žádost o podpis certifikátu jako příkaz s webovým serverem. 

Key Takeaways 

• Digitální podpis je elektronické ověření odesílatele. Spoléhá na asymetrické šifrování a k zašifrování zprávy používá soukromý klíč a k dešifrování veřejný klíč. 
• Obsah zprávy je hašován, aby byla zachována integrita. Hash je však jednosměrný proces a používá se k ověření, že obsah nebyl změněn. 
• Přijatá zpráva je dešifrována pomocí veřejného klíče a hash obsahu musí odpovídat hodnotě hash poskytnuté odesílatelem. V opačném případě má příjemce důvod se domnívat, že obsah byl změněn. 
• Samotný digitální podpis postrádá ověření. Proto musí být podložen digitálním certifikátem vydaným certifikační autoritou. 

* Informace v tomto článku a uvedené odkazy slouží pouze pro obecné informační účely a neměly by představovat žádné finanční nebo investiční poradenství. Před finančním rozhodnutím vám doporučujeme udělat si vlastní průzkum nebo se poradit s odborníkem. Prosím, vezměte na vědomí, že neneseme odpovědnost za žádné ztráty způsobené jakýmikoli informacemi přítomnými na této webové stránce.