Jste zde

Kryptografie s veřejným klíčem

Kryptografie s veřejným klíčem (public–key cryptography) je založena na asymetrickém šifrovaní, tedy používá dva klíče. Jeden klíč se používá k šifrování, druhý k dešifrování, což je zásadní rozdíl oproti symetrickému šifrování, které používá jeden tajný klíč pro šifrování i dešifrování.

U symetrického šifrování je třeba zajistit utajenou distribuci klíčů dvěma komunikačním stranám, proces výměny šifrovaných dat může začít až tehdy, kdy je ukončena distribuce tajného klíče. Distribuce tajných klíčů v symetrickém šifrování přináší v praktickém používání značné problémy,zejména z důvodu bezpečné distribuce klíčů utajenými kanály, které představovaly slabá místa v koncepci symetrického šifrování a z hlediska pohotovosti komunikace. ovali slabé miesta v koncepcii symetrického šifrovania a z hľadiska pohotovosti komunikácie.

Nový přístup v distribuci klíčů přinesl algoritmus Diffie–Hellman, který umožnil realizovat výměnu tajných klíčů přes veřejný přenosový kanál. Uvedený algoritmus později znamenal počátek kryptografie s veřejným klíčem, ale stále ještě vyžadoval posloupnost interaktivních kroků mezi účastníky. 
Velkou výhodou kryptografie s veřejným klíčem je to, že nevyžaduje žádnou interakci mezi účastníky před výměnou zašifrovaného textu, resp. dat. Každý účastník v kryptografickém systému s veřejným klíčem vlastní dva klíče. Jeden klíč, který se označuje jako soukromý klíč (private key), druhý se označuje jako veřejný klíč(public key). Soukromý klíč se utajuje a veřejný klíč se může zveřejnit. Použití dvou klíčů ovlivňuje stupeň bezpečnosti, způsob distribuce klíčů a autentizaci uživatelů. Kryptografie s veřejným klíčem je univerzální a umožňuje realizovat základní funkce, jako jsou utajení obsahu zprávy a autentizace uživatelů, resp. autentizace dat.

Kryptografie s veřejným klíčem zahrnuje 6 složek:

  • otevřený text
  • šifrovací algoritmus
  • soukromý klíč
  • veřejný klíč
  • zašifrovaný text
  • dešifrovací algoritmus

a) 

b)

Obr. 0.1 Kryptografie s veřejným klíčem, a) šifrování, b) autentizace

Kryptografie s veřejným klíčem zajišťuje funkce šifrování i autentizaci. Obě funkce jsou založeny na skutečnosti, že každý účastník komunikace vlastní svůj soukromý klíč a veřejný klíč. Dva klíče vytvářejí pár, přičemž soukromý klíč každý účastník utajuje a veřejný klíč je dostupný každému účastníkovi.

Šifrování v kryptografii s veřejným klíčem se realizuje veřejným klíčem adresáta. Pokud např. odesílatel A chce zaslat zašifrovanou zprávu (text) adresátovi B, k šifrování použije veřejný klíč B. Dešifrování se realizuje soukromým klíčem B, který vlastní pouze adresát B.

Autentizace v kryptografii s veřejným klíčem se řeší inverzně. Pokud otevřený text zašifruje odesílatel A svým soukromým klíčem, dešifrování lze realizovat pouze veřejným klíčem A, což znamená, že zprávu zašifroval účastník A.

Je třeba poznamenat, že autentizace nezajišťuje důvěrnost, tedy šifrování přenášených zpráv. Existuje mnoho algoritmů kryptografie s veřejným klíčem, které umožnily komunikovat zašifrované zprávy, např. elektronickou poštu s velkým počtem uživatelů. To umožnilo masové použití kryptografie. 
 

Bezpečnost autentizace a identifikace osob 

Podstatnou oblastí kryptografie pro oblast autentizace a identifikace osob je elektronická identifikační karta (eID), která nahrazuje existující průkazy totožnosti osob. Hovoříme zde o aplikaci kryptografie s veřejným klíčem. 
Je to elektronická verze průkazu osob s elektronickým kontaktním čipem, jejíž vlastnosti jsou:

  • vizuální identifikace osob - držitel elektronické identifikační karty je vizuálně identifikován pomocí fotografie na fyzické formě eID
  • digitální forma dat v eID - specifická forma dat, která zahrnuje digitální fotografii držitele karty a identifikační soubor eID, který obsahuje personální data (zejména jméno, zemi, datum narození) a další údaje, týkající se držitele eID. Dále obsahuje transformační kód fotografie držitele karty a specifické údaje, týkající se čísla a doby platnosti karty, resp. kterou autoritou byla elektronická identifikační karta eID vydána
  • autentizace držitelů eID je proces jejich autentizace a verifikace elektronicky a v reálném čase, tedy verifikace držitele eID

Elektronická identifikační karta umožňuje i vytvoření elektronického podpisu v digitální formě - zaručeného elektronického podpisu (ZEP). 
 

Kryptografická bezpečnost v eID

Základní požadavky na bezpečnost pro elektronické identifikační karty se kladou hlavně na autentizaci dat, schopnost poskytovat služby pro autentizaci dat a schopnost poskytovat služby pro ochranu proti odmítnutí dat. 
Kryptografická bezpečnost v eID stojí hlavně na:

  • použití kryptografie s veřejným klíčem
  • použití potřebných postupů a prostředků pro digitální podpisy v eID
  • vytvoření veřejně známých postupů pro kryptografickou bezpečnost v eID

Ovšem elektronické identifikační karty neumožňují prioritně šifrování a dešifrování dat eID.

Identifikační karta

Elektronická identifikační karta (eID) s elektronickým kontaktním čipem může vytvářet i občanský průkaz obyvatel země. Například eID na Slovensku se vydává od roku 2013. Na čipu eID jsou uloženy identifikační údaje, certifikáty pro kvalifikovaný elektronický podpis (KEP), certifikáty pro šifrování komunikace s eID a jiné údaje. 
Elektronický čip rozšiřuje další možnosti použití občanského průkazu k elektronické komunikaci prostřednictvím internetu a je i prostředkem k vytváření zaručeného elektronického podpisu (ZEP). V současnosti se elektronický podpis ZEP transformoval na KEP. 
Bezpečnost v kartách eID se dosahuje několika opatřeními. Je to zejména bezpečnostní osobní kód (BOK), který spolu s kartou eID slouží k potvrzení totožnosti držitele eID jiným fyzickým nebo právnickým osobám. 
Bezpečnostní osobní kód BOK je kombinací šesti číslic, které si zvolí držitel eID při podání žádosti o vystavení průkazu totožnosti. 
 

Nedostatky v eID

V eID průkazech byly v roce 2017 odhaleny některé nedostatky, z nichž hlavní se týkal klíčů RSA, generovaných čipy Infineon. (RSA je založen na principu kryptografie s veřejným klíčem. Nedostatky odhalili výzkumníci z Masarykovy univerzity. Generovaným RSA klíčem je totiž možné zjistit jeho soukromý klíč. Útočník, kterému by se podařilo získat soukromý klíč, by dostal při přístupu k elektrickému podpisu majitele eID přístup k podpisu libovolného dokumentu bez vědomí pravého majitele eID.

Mezi čtyřmi zeměmi, které používají čipy společnosti Infineon jsou i Slovensko a Estonsko. Kromě občanských průkazů jsou zasaženi i majitelé zabezpečených počítačů se šifrovacími moduly TPM, které slouží například k identifikaci při přístupu do chráněných systémů. Technologie se ve verzi 1.2 používá také ve Windows v rámci funkce BitLocker pro šifrování pevných disků.

Článek byl publikován na webu SOS electronic: https://www.sos.sk/articles/no-name/kryptografia-s-verejnym-klucom-2157

Hodnocení článku: 

Kontaktujte svého distributora

* Hvězdičkou (*) označené údaje jsou povinné.

CAPTCHA
Toto je ochrana před spamem.