Certifiering och certifikat

En sådan koppling görs av en instans som intygar att en koppling finns. En person som vill ha ett sådant intyg, ett certifikat, lämnar sin offentliga nyckel och utfärdaren av intyget kan verifiera att en koppling finns.

Certificate Authority

En instans som utfärdar certifikat kallas certificate authority, eller kort och gott "CA". Det kan vara en intern enhet i ett företag eller en myndighet, eller en tjänst hos ett externt företag.

Det viktiga är att företaget som utför tjänsterna har förtroende hos användarna. Det är inte lätt att uppnå en sådan status.

Certifierings-policy, CPS

En CA verifierar koppling mellan en publik nyckel och en fysisk eller juridisk person. Hur verifiering sker, vilka rutiner man har och hur man hanterar nycklar beskrivs i en certifieringsrutin, eller på engelska "certificate policy statement", "cps".  Det här är ett mycket viktigt dokument när det gäller att avgöra värdet av en CAs tjänster.

En CA kan ha flera olika typer av certifiering, som har olika värde. En typ av certifiering kan intyga koppling mellan en specifik e-postadress och en nyckel, vilket inte har samma vikt som den certifiering som intygar koppling mellan en fysisk person (som visat ID) och en nyckel.

En typ av tjänst är utfärdande av certifikat för webbservrar, certifikat som intygar att en nyckel som en viss server använder verkligen hör till den servern och till ett speciellt företag. Nyckeln används sedan för att upprätta säker webbkommunikation med protokollet SSL (https).

Certifikat med standardformat

Själva intyget som utfärdas av en CA innehåller ett par olika uppgifter. Eftersom det är fråga om en elektronisk handling är den väl specificerad och standardiserad. Standarden som används oftast idag definieras av ISO-standarden X.509v3. Det finns dock andra format, både på Internet och i andra sammanhang.

Uppgifterna omfattar namn och adressuppgifter och andra nödvändiga administrativa data. Till detta läggs den publika nyckeln som tillhör användaren. CAn uppger egna administrativa data, bland annat hur man kan nå CA för kontroll av intyget, hur länge intyget är giltigt och pekare till webbservrar.

Allt detta signeras sedan med CAs eget nyckelpar. Resultatet utgör ett certifikat som man kan sprida fritt för att koppla en nyckel till en fysisk eller juridisk person, både företaget och funktion eller tjänsteman hos juridisk person.

Certifikatet är basen, själva kopplingen, mellan ett nyckelpar som kan användas för säker e-post, kryptering eller identifiering och ett juridiskt objekt. Därför är certifikatets värde väldigt viktigt. Mottagaren av ett certifikat måste fråga sig om han eller hon har förtroende för den utfärdande CAns tjänster innan man accepterar användning av den publika nyckeln i certifikatet för kommunikation.

En del av en kedja

En användares certifikat är utfärdat av en CA som med sin egen nyckel signerat själva certifikatet. Då har mottagaren en metod avgöra att det är rätt nyckel man erhållit. För att kunna avgöra detta, måste mottagaren fråga sig om CAns nyckel är den rätta - har signering utförts med CA-tjänstens privata nyckel? Även CA har ett certifikat, utfärdat antingen av CA själv, ett självsignerat certifikat, eller av annan CA-tjänst.

På det här sättet byggs CA-kedjor upp. Någonstans måste en mottagare av certifikat för en användare hitta en stark länk, ett certifikat utfärdat av en CA-tjänst man litar på.

Interna och externa CA

CA kan vara en intern funktion i ett företag. Banker kan till exempel ha en egen CA-tjänst för signering av nycklar tillhörande kunder som vill använda Internet-tjänster. Ett företag kan utfärda certifikat för nycklar anställda ska använda i tjänsten.

CA kan också skapas av branschorganisationer eller myndigheter. Tullverket är en egen CA för hanteringen av elektroniska tullhandlingar.

Som tredje alternativ kan man anlita en extern CA, ett företag med certifieringstjänster. Det används främst för webbservercertifikat (för SSL-kryptering), men också för S/MIME-certifikat (för e-post).

Stora CA-företag är Verisign/RSA och Thawte. I Sverige bygger Posten upp CA-tjänster i kombination med smarta kort, kort som samtidigt fungerar som ID-kort. Telia har lanserat servercertifikat-tjänster.

Teorin låter bra, men i praktiken är det mer komplicerat

I teorin låter det här hemskt bra. I början av en sådan här kedja skulle man kunna ha en förtroendefull instans i ett land, till exempel staten. Staten utfärdar sedan certifikat för CA som utfärdar certifikat för användare.

Problemet är tiden det tar att kontrollera alla certifikat och signeringar. De är utförda med stark kryptering. Att få tillgång till certifikat över nätet tar också tid. Vid en omfattande EDI-transaktion kanske man har tid.

När det är fråga om nättransaktioner som ska utföras på kort tid har man inte tid att utföra en sådan omfattande kontroll. Kontrollen tar längre tid än hela den tid man har på sig att utföra hela transaktionen.

Även om man löser problemet med tiden så hamnar man i nästa fälla, vilket är omfattningen. Om varje transaktion ska kontrolleras i flera led, så blir det till slut väldigt många accesser. Tänk dig ett nationellt system som används för flera olika tillämpningar, från banktransaktioner till nättransaktioner. Väntetiden för att komma åt kontrollservrarna skulle bli olidlig. Ungefär som den tid man får vänta i affären om man handlar med kreditkort dagarna före jul.

Därför är det svårt att tro att ett enda nationellt system skulle fungera. Ingen har ett sådant system i funktion och att satsa på ett sådant utan praktisk erfarenhet verkar väldigt riskabelt.

Än mindre är det troligt att ett sammanhängande internationellt CA-system, en PKI, tas i bruk. Det lär bli många parallella system av olika karaktär och med olika applikationsområden.

Därför växer nu flera olika CA-system upp. De fungerar tillsammans, men i olika tillämpningsområden och i olika nischer.

Mer om sådana här system står att finna i nästa kapitel, som handlar om PKI, infrastrukturen för hantering av offentliga nycklar.