Certificat

Ett certificat är utgivet av en "Certificate Authority" (CA) och binder den publika nyckeln (se grunder kryptering) till en identitet.

Certifikat är avsett att lösa frågan "Hur vet jag att din publika nyckel är din? " och innehåller :

• Identitet - dvs namn på den som identifieras av certificatet
• Publika nyckeln för denna identitet. (i "grunder kryptering" konstaterades att det var nödvändigt att vara säker på koppling identitet och publik nyckel)
• Publika nyckeln för den instans som gett ut certificatet (för att man ska kunna kolla den digitala signaturen)
• Datum för certificatets giltighet (obs certificat förfaller automatiskt efter en viss tid)
• Övriga data (ja vad kan detta vara? - något kopplat till rollbegrepp?)
• Digitala signaturen för den som gett ut certificatet (CA). Genom att CA:n signerat kan man vara säker på att CA:n informationen i certifikatet kommer från CA:n och att den inte är förvanskad.

Man kan få "kjedjor" av CA:s som garanterar varandra, men högst upp måste det finnas en "Gud" vars certificat man inte ifrågasätter. Man kan likna nystandet via certificat med att man går in i ett rum med en nyckel, där det finns en nyckel som man låser upp nästa dörr, där det finns en nyckel osv.

Saab har fått ett certificat från Verisign. Detta skall användas i Netscapes certificatserver (kingpin) för tester med certificathantering. Kingpin blir således lokal CA inom Saab.

CA och certificathantering.

1. Hur genereras nyckelpar som ska fungera ihop. Är det inte risk att den privata nyckeln kommer på avvägar? .
   Svar: Klienten eller servern (Netscape)genererar nyckelpar. Den hemliga nyckeln lagras hos "genereraren" i väntan på godkännande från CA. Förfrågan om certificat skickas till CA med uppgift om namn, publik nyckel, osv. Det hela signeras med hemliga genererade nyckeln och krypteras med CAns publika nyckel.
2. Hur hanterar CA förfrågan om att ge ut ett certificat och hur hanteras den?
   Svar: CA dekrypterar meddelandet med sin hemliga nyckel. CA kollar sigillet med avsändarens publika nyckel och om kontollsumma stämmer vet CA att avsändaren har en korrekt hemlig nyckel. OBS! CA får aldrig veta avsändarens hemliga nyckel. Om CA finner att han kan godkänna certificatförfrågan skickar CA:n ett signerat certifikat. Jag vet inte om CA:n skickar med alla "överordnade" certificat, så att de kan lagras hos certificatmottagaren.
3. Hur hanteras svaret från CAn hos den lycklige som fått JA på certificatfrågan?
   Svar: Den ivrigt väntande frågeställaren kastar sig över certifikatet, kontrollerar att det är äkta genom att titta på sigillet, och installerar det i den förberedda maskinen (para ihop certifikat med tidigare genererad hemlig nyckel osv). OBS! Den fortsatta hanteringen av nyckelparen är mycket viktig för att säkerställa att information om hemlig nyckel inte sprids.

Det är ju en mycket stor användning man kan ha av nyckelpar (komma åt Webinformation, mail med S-mime, osv). I dimma höljd är fortfarande många "detaljer" som t ex hur man kopplar hantering av certificat och nycklar till Directory Server, hur man i egenskrivna program kan komma åt nyckelinformation, hur koppling till rollbegrepp ska göras .....