PKI neboli infrastruktura veřejného klíče je základní kámen důvěry v digitálním světě. Umožňuje bezpečnou výměnu dat přes nezabezpečené sítě, jako je internet, a zároveň zajišťuje, že komunikace je důvěryhodná, ověřená a neměnná. Bez PKI bychom nemohli bezpečně používat e-maily, online bankovnictví, e-podpisy ani navštěvovat šifrované webové stránky (HTTPS).
Jak PKI funguje?
Základem PKI je párování dvou klíčů – veřejného a soukromého. Tyto klíče se vzájemně doplňují, ale nejsou zaměnitelné. To znamená, že data zašifrovaná jedním klíčem lze dešifrovat pouze tím druhým.
Veřejný klíč je volně dostupný a může ho použít kdokoli k zašifrování zprávy.
Soukromý klíč si držitel pečlivě střeží a slouží k dešifrování zprávy nebo k elektronickému podpisu.
Příklad z praxe: Když navštívíš zabezpečený web, tvůj prohlížeč použije veřejný klíč serveru k zašifrování požadavku. Server pak použije svůj soukromý klíč k dešifrování. Naopak při podepisování dokumentu je použit soukromý klíč autora – příjemce ověřuje pravost pomocí veřejného.
Digitální certifikáty a certifikační autority
Aby bylo možné ověřit, komu veřejný klíč skutečně patří, slouží tzv. digitální certifikáty. Tyto certifikáty obsahují:
Veřejný klíč
Informace o vlastníkovi (např. jméno firmy, doména)
Platnost certifikátu
Digitální podpis certifikační autority
Tyto certifikáty vydávají certifikační autority (CA), které jsou důvěryhodné třetí strany. Nejznámější jsou například Let’s Encrypt, DigiCert, Sectigo či GlobalSign.
Proč je PKI důležitá?
PKI plní několik zásadních funkcí:
Šifrování: Zajišťuje, že data jsou čitelná pouze pro zamýšleného příjemce.
Ověření identity: Umožňuje ověřit, s kým komunikuješ.
Integrita: Zaručuje, že obsah dat nebyl změněn během přenosu.
Neodmítnutelnost (non-repudiation): Elektronický podpis v rámci PKI slouží jako důkaz, že určitá osoba akci provedla.
PKI v reálném světě
HTTPS: Zabezpečení webových stránek pomocí SSL/TLS certifikátů
Elektronický podpis: Podepisování dokumentů v PDF nebo e-mailem
E-government: Identifikace uživatelů v portálech státní správy (např. pomocí eID)
VPN a Wi-Fi sítě: Ověřování zařízení při připojení k síti
Výzvy a hrozby
I PKI má své slabiny. Pokud útočník kompromituje certifikační autoritu, může vydat falešné certifikáty. Stalo se to např. u DigiNotar v roce 2011, kdy útočníci získali přístup k CA a vydali certifikáty pro známé domény jako Google nebo Yahoo. Důvěra v PKI tehdy dostala vážnou trhlinu a CA byla následně zlikvidována.
Důležitým aspektem je také revokace certifikátů – tedy schopnost zneplatnit certifikát, pokud byl kompromitován. To se provádí pomocí CRL (Certificate Revocation List) nebo OCSP (Online Certificate Status Protocol).
PKI je tedy nejen základem důvěryhodného internetu, ale také nástrojem, který spojuje kryptografii s ověřením identity v praxi. Je to nenápadná, ale naprosto klíčová součást každodenní digitální bezpečnosti.
