Zarówno podpisy cyfrowe, jak i cyfrowe certyfikaty stanowią bardzo istotną część systemu zabezpieczania połączeń internetowych z wykorzystaniem technologii SSL/TSL. Zrozumienie różnic i podobieństw pomiędzy nimi może być pomocne w zobaczeniu tego, w jaki sposób funkcjonuje kryptografia klucza publicznego.
Podpis cyfrowy i certyfikat cyfrowe – do czego służą?
Zacznijmy od podpisu cyfrowego. Jest on w zasadzie niczym więcej, jak ciągiem numerycznym, który może zostać dołączony do maili, dokumentów, certyfikatów itp. Podpisy cyfrowe wykorzystuje się do zwiększenia autentyczności i potwierdzenia tożsamości. Nie są one tym samym co szyfrowanie połączenia, ale doskonale z nim współpracują. Dla przykładu, gdy podpisujesz dokument cyfrowo wykorzystujesz do tego klucz kryptograficzny, który pozostawia na nim ciąg cyfrowy. Stanowi on wtedy integralną część dokumentu i wraz z nim jest przekazywany dalej. Uwierzytelnianie tożsamości osoby, który podpisuje dokument odbywa się w oparciu o certyfikowany identyfikator cyfrowy. Podpis jest łączony z dokumentem przy użyciu mechanizmu szyfrowania. Sprawdzanie poprawności danego podpisu cyfrowego odbywa się we współpracy z dostawcami usług zaufania. Certyfikaty cyfrowe to certyfikaty X.509 służą one do utrzymywania końcowej tożsamości i umożliwiają szyfrowanie połączenia – choćby w kontekście SSL. Są one wykorzystywane do zabezpieczenia serwerów internetowych, połączeń, użytkowników, a nawet poszczególnych urządzeń. Gdy internauta wchodzi na stronę internetową, jego przeglądarka otrzymuje kopię certyfikatu, która zainstalowana jest na serwerze. Wtedy dokonuje sprawdzenia certyfikatu w kontekście jego autentyczności. Certyfikat SSL upewnia przeglądarkę, że serwer jest autentyczny i bezpieczny.
Jakie są różnice pomiędzy technologiami?
Tak, jak już wcześniej wspomnieliśmy, podpis cyfrowy to zwyczajnie ciąg liczbowy, który pozwala potwierdzić tożsamość podpisującego. Natomiast certyfikat cyfrowy jest to plik, który nie tylko potwierdza tożsamość, ale również utrzymuje szyfrowane połączenie.
Certyfikat i podpis cyfrowy współpracują w ramach technologii SSL
Czy zastanawialiście się kiedyś, dlaczego przeglądarka wie, kiedy zaufać danemu certyfikatowi SSL? Działa to następująco. Każda przeglądarka wykorzystuje do tego celu tzw. root store, który zawiera dane na temat zaufanych root. Informacje na ich temat są ściągane na komputer. Wszystkie z nich posiadają profil zaufany i są zapisane jako takie w systemie. Gdy certyfikaty SSL są wydawane, to tak naprawdę niepodpisany certyfikat wędruje do CA, który potwierdza informacje zawarte w certyfikacie poprzez dodanie do niego własnego podpisu cyfrowego. Zatem, aby przeglądarka uznała certyfikat za godny zaufania, a serwis bezpieczny, konieczne jest sprawdzenie przez nią jaki klucz prywatny został wykorzystany do podpisania certyfikatu. Jeśli znajduje ona połączenie pomiędzy rootami, które są ściągnięte na system i widnieją jako zaufane, strona i tym samym certyfikat jest uznany za autentyczny. Również przez przeglądarkę. Jeśli w systemie nie znajduje się powiązanie do certyfikatu, strona uznana jest za niebezpieczną, a użytkownikowi wyświetlony zostaje stosowny komunikat.
Podpis cyfrowy jest zatem krytycznym i niezwykle ważnym elementem dla potwierdzenia autentyczności certyfikatu cyfrowego. Zarówno certyfikat SSL, jak i podpis cyfrowy są konieczne dla skutecznego szyfrowania połączenia oraz zabezpieczenia strony i wrażliwych informacji przepływających przez jej serwery.
Chcesz bezpiecznie podpisywać swoje dokumenty, wiadomości a także szyfrować swoje e-maile? Sprawdź naszą ofertę certyfikatów do cyfrowego podpisywania wiadomości/dokumentów: Certyfikaty SSL Email & Dokumenty