U toho PGP je právě ten problém, Pepa v tomto příkladě vystupuje v roli certifikační autority. To že Jarda podepsal Pepův veřejný klíč a tím vytvořil svým způsobem cetifikát, říká pouze to, že Jarda tvrdí, že osoba prokazující se jím podepsaným klíčem je Pepa, Pepa ale může podepsat komukoliv cokoliv, to že Jarda ověřil Pepovu totožnost rozhodně neznamená, že budé také věřit všemu co ověří Pepa.
Čili tvrzení by mělo spíše znít: "pokud Jarda podepsal Pepuv certifikat, Pepa podepsal Karluv certifikat a Jarda fakt věří Pepovi, že je to opravdu dobrej kluk a nikdy by nevystavil certifikát nikomu koho nezná, tak pak by Jarda mel verit i Karlovu certifikatu, protoze je podepsan nekym komu on sam veri."
Dále bych chtěl trochu upřesnit použití pojmu certifikát, který je použit způsobem, který může být matoucí. Tedy certifikát je veřejný klíč subjektu ke kterému jsou definovaným způsobem připojena identifikační data subjektu a tento celek je podepsaný certifikační autoritou. Čili pokud si koupím od Certifikační autority certifikát, znamená to, že certifikační autorita vezme můj veřejný klíč a má identifikační data a připojí k nim svůj podpis vytvořený za pomoci svého privátníjo klíče. Tím prohlašuje, že subjekt dostatečným způsobem prokázal svojí totožnost, což certifikační autorita svým podpisem stvrzuje. A spousta různých předpisů od technických norem až po zákony by měla zajistit, že toto tvrzení CA je důvěryhodné. U PGP je nutno důkladně prověřit důvěryhodnost všech článků řetězu.
Názor k článku
Nebojte se elektronického podpisu: Praxe
aura:34
