Tento článek vám v krátkosti vysvětlí základní princip asymetrické kryptografie. Představí její největší problém a jeho řešení a na závěr řekne pár slov o novém nařízení EU, eIDAS.
Základní princip
Pro vysvětlení asymetrické kryptografie si vypůjčím figuranty, kteří se k tomuto účelu používají téměř půl století, Alici a Boba. Na začátku má každý z nich pár klíčů, veřejný a soukromý. Tyto klíče byly vygenerovány složitým matematickým algoritmem, jako jsou eliptické křivky. Soukromý neboli privátní klíč slouží k podepsání nebo rozšifrování zprávy. Tento klíč zná jen uživatel, potažmo jeho počítač a s nikým jej nesdílí. Na druhou stranu veřejný klíč zná každý kdo chce s uživatelem komunikovat. Když chce tedy Bob poslat zprávu Alici, vezme Alicin veřejný klíč a zašifruje s ním zprávu. Tuto zprávu už ani samotný Bob nemůže rozšifrovat. Pošle ji Alici a ta ji svým privátním klíčem rozšifruje. Bob může zároveň svým privátním klíčem zprávu před odesláním podepsat. Zpráva je tedy zašifrovaná veřejným klíčem od Alice a zároveň podepsaná Bobovým privátním klíčem. Když zpráva přijde Alici, svým soukromým klíčem ji rozšifruje a zároveň pomocí Bobova veřejného klíče ověří, že zprávu skutečně poslal Bob.
![Schéma pro znázornění příkladné komunikace mezi Bobem a Alicí při využití asymetrické kryptografie](https://studuj.digital/wp-content/uploads/2021/10/Asymetricka_kryptografie.svg_.png)
Certifikáty
Problém ale nastává hned na začátku, když chce Bob zašifrovat zprávu. Jak bezpečně získá Alicin klíč? Kdyby při stahování veřejného klíče Alice komunikaci někdo narušil a klíč vyměnil za svůj, Bob by potom komunikoval s ním a ne s Alicí. Řešením tohoto problému jsou takzvané certifikáty, které vystavují certifikační autority. Alice se u certifikační autority zaregistruje. Registrace probíhá tak, že autoritě pošle svůj veřejný klíč a s ním metadata jako je její jméno, nebo emailová adresa. Certifikační autorita si žádost ověří. Způsob ověření záleží na certifikační autoritě. Může jít o doložení průkazu totožnosti, nebo pouze ověření emailové adresy. Jakmile certifikační autorita certifikát schválí, podepíše ho svým soukromým klíčem a pošle jí ho zpět. Nyní má Alice vlastní certifikát, neboli svůj veřejný klíč se svými údaji podepsaný certifikační autoritou, která se za něj zaručuje. Teď kdyby Bob chtěl komunikovat a Alicí, tak mu Alice rovnou pošle tento certifikát s veřejným klíčem. Díky tomu Bob ví, že komunikuje opravdu s Alicí a komunikace může pokračovat dál.
![Příklad certifikátu vystavený certifikační autoritou Adobe Intermediate CA 10-3](https://studuj.digital/wp-content/uploads/2021/10/certifikat-ve-windows.png)
Rozdíly oproti symetrické kryptografii
Dalším druhem kryptografie je kryptografie symetrická. Ta funguje na principu jednoho klíče, který slouží k zašifrování i dešifrování. Kvůli tomu, že se používá jeden sdílený klíč, musí mít každé nové spojení svůj vlastní klíč. Oproti asymetrické je méně bezpečná, ale díky jednodušším algoritmům je rychlejší. Proto si i symetrická kryptografie najde svá využití.
Symetrická kryptografie | Asymetrická kryptografie |
Stejný klíč pro zašifrování i dešifrování | Rozdílné klíče pro zašifrování a dešifrování |
Jednodušší a rychlejší | Náročnější a pomalejší |
Počet klíčů roste s uživateli exponenciálně | Počet klíčů roste s uživateli lineárně |
Protokoly využívající asymetrickou kryptografii
Asymetrická kryptografie je hojně používaná metoda zabezpečení komunikace, která je využívána hned několika protokoly. Zde jsou příklady některých z nich:
- TLS/SSL – Umožnují HTTPS (zabezpečenou komunikaci po internetu)
- SSH – Protokol umožňující vzdálený přístup k počítači
- PGP – Program na šifrování a podepisování
- IKE – Protokol ze sady IPsec umožňující zabezpečené připojení VPN
eIDAS
V roce 2014 vydala EU nařízení o elektronické identifikaci a důvěryhodných službách pro elektronické transakce na vnitřním evropském trhu, zkráceně eIDAS. eIDAS platí ve všech státech EU a jeho cílem je zajistit konzistentní právní rámec pro používání a uznávání elektronických identit, podpisů a zavádí používání digitálních pečetí. eIDAS najde uplatnění například při komunikaci s e-Government, neboli elektronické komunikaci s veřejnou správou.
Závěr
Oproti symetrické kryptografii, která pro zašifrování i rozšifrování používá tentýž klíč, je asymetrická kryptografie mnohem bezpečnější. S rozvojem e-Government a jasným právním rámcem díky eIDAS se s asymetrickou kryptografií a hlavně certifikáty všeho druhu budeme setkávat čím dál častěji, proto je dobré o nich něco vědět.
Jestli se vám tento článek líbil, můžete si přečíst i můj minulý na téma Azure Stack.