Hlavním účelem PKI je zabezpečit elektronický přenos rozmanitých druhů dat - hypertextových souborů (webových stránek), dat elektronického bankovnictví, citlivých emailů apod. dat háklivých na změnu či vyzrazení.
V kryptografii se o PKI přemýšlí jako o mechanismu, který váže veřejné klíče k identitám (osob a organizací). K navazování dochází skrze proces registrace a vydání certifikátů certifikační autoritou (CA). V závislosti na úrovni ověření (analogicky ve službě MojeID fungují tzv. "Stupně ověření totožnosti") může být certifikát (osvědčení) vydán automatizovaně nebo pod lidským dohledem.
Role, kterou může CA v rámci PKI delegovat pro zajištění oprávněnosti a správnosti registrace je tzv. registrační autorita (RA). Registrační autorita je zodpovědná za přijímání požadavků na digitální certifikáty a ověřováním identity (tj. jestli osoba nebo organizace, která požaduje certifikát nefalšuje něčí identitu). Komise pro technickou stránku internetu (IETF) definuje v RFC 3647 registrační autoritu jako "Entitu, která je zodpovědná za jednu nebo více následujících funkcí: identifikace a autentikace žadatelů o certifikát, přijmutí nebo zamítnutí žádostí o certifikát, zahajovat procesy zneplatňování certifikátů (např. při jejich krádeži nebo vyzrazení nebo na žádost vlastníka certifikátu) a přijímat nebo zamítat žádosti o prodloužení nebo znovuvydání certifikátů.
Způsob ověřování pomocí certifikační autority spočívá v přísně hierarchické struktuře. Spočívá v důvěřování certifikační autoritě, tj. uživatelé i provozovatelé důvěřují dané organizaci (CA) ve věcech vydávání certifikátů, jejich chránění proti zneužití nebo krádeži a v tom, že CA nevydá certifikát nikomu jinému, než komu by měla.
Technicky je jejím úkolem digitálně podepsat a vydat veřejný klíč vázaný na uživatele (nebo organizaci), tj. žadatele. CA k podpisu použije svůj soukromý klíč, takže důvěřování klíčům uživatele závisí na důvěře vůči klíčům CA. Jestliže je CA vůči žadateli třetí stranou, pak se CA nazývá registrační autoritou (RA), která může (ale nemusí) být oddělená od CA[1].
Pro certifikační autoritu může být taktéž použit pojem "Důvěryhodná třetí strana". K tomu je navíc termín PKI často používán jako synonymum pro implementaci CA.
Jiným přístupem k problematice veřejného ověřování je tzv. síť důvěry (Web of Trust). Ta používá certifikáty podepsané sama sebou(certifikát, který podepsal sám jeho tvůrce a stal se tak zároveň certifikační autoritou, v angličtině self-signed certificates). To v podstatě znamená, že každá osoba je důvěryhodnou. Vytváří se tak sítě důvěry a vztahů lidí, kteří si mohou nastavit své prahy pro důvěru, například tak, že "budu důvěřovat všem certifikátům, které podepsali alespoň dva lidi, kterým věřím". Toto schéma se nejčastěji používá pro PGP, které je velmi populárním nástrojem pro podepisování a/nebo šifrování emailů.
Silnou stránkou sítě důvěry je její teoretická jednoduchost a odolnost vůči kompromitaci jakýmkoliv jejím členem (oproti tomu může mnoho certifikačních autorit prakticky vydat certifikát pro novinky.cz americké nebo čínské vládě). Avšak její závislost na dodržování správných postupů lidmi (tj. jejími členy) a postrádání centrální správy činí z katalogování certifikátů a zejména pak jejich zneplatnění velmi složitou záležitost.
Reference
↑SKLAVOS, Nicolas. Book Review: Samuelle, T.J. Mike Meyers’ CompTIA Security + Certification Passport (Exam SY0-301). Information Security Journal: A Global Perspective. 2014-01-02, roč. 23, čís. 1–2, s. 47–48. Dostupné online [cit. 2024-07-03]. ISSN1939-3555. DOI10.1080/19393555.2014.897402.
