Certifiering
En viktig faktor i användning av digitala signaturer är hur en publik nyckel kan kopplas till en motsvarighet utanför den digitala världen. En nyckel för en person måste kunna kopplas till en specifik person, andra nycklar bör kunna kopplas till företag eller organisationer. Men hur vet vi att en nyckel tillhör någon? Om du får den på nätet, hur vet du vem som är avsändare? Vi behöver en tredje part som vi har förtroende för. Den tredje parten kan intyga identiteten och på så sätt öka förtroendet för att en nyckel tillhör en person, ett företag eller en organisation. På engelska kallas det en Trusted Third Party, TTP.
Certificate Authority, CA, är en Trusted Third Party
En instans som utfärdar certifikat kallas certificate authority, eller kort och gott “CA”. Det kan vara en intern enhet i ett företag eller en myndighet, eller en tjänst hos ett externt företag. Användarna skapar en certifieringsansökan, Certificate Request, som innehåller ett antal administrativa uppgifter och användarens öppna nyckel. Den skickas till CA, som verifierar innehållet och utfärdar ett intyg, kallat certifikat. Certifikatet är ett digitalt dokument som är signerat med CA:ns egen nyckel.
Det viktiga är att företaget som utför tjänsterna har förtroende hos användarna. Det är inte lätt att uppnå en sådan status. GeoTrust, som utfärdar de certifikat Webway säljer, är ett av världens ledande utfärdare av certifikat för Internet-tjänster.
Certifierings-policy, CPS
En CA verifierar koppling mellan en publik nyckel och en fysisk eller juridisk person. Hur verifiering sker, vilka rutiner man har och hur man hanterar nycklar beskrivs i en certifieringsrutin, eller på engelska “certificate policy statement”, “cps”. Det här är ett mycket viktigt dokument när det gäller att avgöra värdet av en CAs tjänster.
En CA kan ha flera olika typer av certifiering, som har olika värde. En typ av certifiering kan intyga koppling mellan en specifik e-postadress och en nyckel, vilket inte har samma vikt som den certifiering som intygar koppling mellan en fysisk person (som visat ID) och en nyckel.
En typ av tjänst är utfärdande av certifikat för webbservrar, certifikat som intygar att en nyckel som en viss server använder verkligen hör till den servern och till ett speciellt företag. Nyckeln används sedan för att upprätta säker webbkommunikation med protokollet SSL i kombination med webbprotokollet HTTP. SSL kan också användas för andra protokoll, som postprotokollen SMTP och POP.
Certifikat med standardformat
Själva intyget som utfärdas av en CA innehåller ett par olika uppgifter. Eftersom det är fråga om en elektronisk handling är den väl specificerad och standardiserad. Standarden som används oftast idag definieras av ISO-standarden X.509v3. Det finns dock andra format, både på Internet och i andra sammanhang.
Uppgifterna omfattar namn och adressuppgifter och andra nödvändiga administrativa data. Till detta läggs den publika nyckeln som tillhör användaren. CAn uppger egna administrativa data, bland annat hur man kan nå CA för kontroll av intyget, hur länge intyget är giltigt och pekare till webbservrar.
Allt detta signeras sedan med CAs eget nyckelpar. Resultatet utgör ett certifikat som man kan sprida fritt för att koppla en nyckel till en fysisk eller juridisk person, både företaget och funktion eller tjänsteman hos juridisk person.
Certifikatet är basen, själva kopplingen, mellan ett nyckelpar som kan användas för säker e-post, kryptering eller identifiering och ett juridiskt objekt. Därför är certifikatets värde väldigt viktigt. Mottagaren av ett certifikat måste fråga sig om han eller hon har förtroende för den utfärdande CAns tjänster innan man accepterar användning av den publika nyckeln i certifikatet för kommunikation.
En del av en kedja
En användares certifikat är utfärdat av en CA som med sin egen nyckel signerat själva certifikatet. Då har mottagaren en metod avgöra att det är rätt nyckel man erhållit. För att kunna avgöra detta, måste mottagaren fråga sig om CAns nyckel är den rätta – har signering utförts med CA-tjänstens privata nyckel? Även CA har ett certifikat, utfärdat antingen av CA själv, ett självsignerat certifikat, eller av annan CA-tjänst.
På det här sättet byggs CA-kedjor upp. Någonstans måste en mottagare av certifikat för en användare hitta en stark länk, ett certifikat utfärdat av en CA-tjänst man litar på.
Interna och externa CA
CA kan vara en intern funktion i ett företag. Banker kan till exempel ha en egen CA-tjänst för signering av nycklar tillhörande kunder som vill använda Internet-tjänster. Ett företag kan utfärda certifikat för nycklar anställda ska använda i tjänsten.
CA kan också skapas av branschorganisationer eller myndigheter. Tullverket är en egen CA för hanteringen av elektroniska tullhandlingar.
Som tredje alternativ kan man anlita en extern CA, ett företag med certifieringstjänster. Det används främst för webbservercertifikat (för SSL-kryptering), men också för S/MIME-certifikat (för e-post).
Stora CA-företag är Geotrust, Verisign och AddTrust. I Sverige driver Posten CA-tjänster i kombination med smarta kort, kort som samtidigt fungerar som ID-kort.