Protoze jsou verejne klice certifikacnich (ca_pub) autorit vseobecne zname, kazdy si muze overit pravost digitalniho certifikatu Pepy Nevinneho (pepa_x509) a tim i pravost jeho verejneho klice (pepa_pub).
Franta Hacker nema tak sanci propasovat do digitalniho certifikatu Pepy Nevinneho svuj falesny verejny klic hack_pub, nez prolomit/ukrast privatni klic certifikacni autority (ca_pri). Jedine s nim muze vytvorit novy falesny digitalni certifikat.
(Zde odmyslim od toho, ze Frantovi Hackerovi vydaji certifikat na jmeno Pepa Nevinny - viz bezpecnostni politiky certifikacnich autorit dale).
Takze se cely problem zuzuje na otazku duvery v certifikacni autoritu (CA) a jeji privatni klic. Z tohoto duvodu se privatni klic certifikacni autority doporucuje minimalne 2048 bitu.
No ale, co delat v pripade, ze verejny klic CA nemam? Musim ziskat digitalni certifikat CA (ca_x509). K nemu se dostanu napriklad tak, ze soucasti jakehokoliv digi
