Digital signatur for begyndere, del 2

Digital signatur for begyndere, del 1.

Alle de andre

Men det bliver straks noget mere vanskeligt, når du skal til at kommunikere med nogen, som du ikke kender.

Du kan jo ikke ringe og verificere min nøgles fingeraftryk, hvis du ikke kan være sikker på, om du har talt med den rigtige Jesper Laisen, eller om du taler med svindleren, der blot bekræfter, at Jesper Laisens nøgles fingeraftryk er identisk med det fingeraftryk, som er på signaturen på et brev. Du har altså brug en smart måde at verificere, at et brev rent faktisk er signeret med en gyldig signatur.

Tillid til signaturen

Hvis jeg skal stole på, at det, som jeg tror, er din signatur, rent faktisk også er din signatur, så er det overordentlig meget nemmere, hvis nogen som jeg i forvejen stoler på, er parat til at sige god for din signatur. Hvis du og jeg har en fælles ven, som kender os begge særdeles godt, så vil han måske være parat til at sige god for dig overfor mig ved at signere din offentlige nøgle med sin egen private nøgle. Jeg har i forvejen telefonisk verificeret vores vens signatur, så hvis jeg får din offentlige nøgle signeret med vores vens signatur, stoler jeg på, at det er din offentlige nøgle. Og du gør selvfølgelig det samme med min nøgle.

Vi kan altså bruge en tredjepart, som vi begge stoler på, til at sige god for vores signaturer.

Nøglecentre

Dermed kommer vi til brugen af nøglecentre. I praksis kan man ikke regne med, at alle har fælles venner, som kan sige god for deres signaturer. Derfor er det praktisk med et såkaldt nøglecenter, som udsteder certifikater, der garanterer en signaturs oprindelse.

Et nøglecenter udsteder et certifikat, som bekræfter at et bestemt nøglepar tilhører en bestemt person. Nøgleparret kan i princippet være genereret af såvel brugeren som af nøglecentret. Det centrale ved denne operation er, at vi som brugere kan stole på, at nøglecentret har verificeret en bestemt persons identitet i forbindelse med personens nøglepar.

Certifikatet

Et certifikat er i virkeligheden en elektronisk fil, som indeholder de nødvendige oplysninger om dig. På mange måder minder et certifikat om et almindeligt pas.

Når jeg sender en krypteret e-mail til dig, vedhæfter jeg altså mit certifikat fra en tredjepart, som vi begge stoler på. Nu kan du altid være sikker på, at min signatur svarer til min identitet. Hvis certifikatet siger, at det er min signatur, så er det min signatur. Du verificerer mit certifikat hos nøglecentret ? typisk ved at installere et rod-certifikat.

Bedre sikkerhed

Som du sikkert allerede ved, er der intet, som er sikkert i denne verden. Sikkerheden i et certifikat er aldrig bedre, end udbyderen af certifikatet. Nøglecentret er du nødt til at stole på.

Men hvis du bruger et nøglecenter, kan du i princippet være sikker på, at signaturen er gyldig. Desværre er det ikke altid nok. Du kan jo ikke være sikker på, at den hemmelige besked er skrevet af mig, blot fordi den er signeret med min gyldige signatur. Hvad nu hvis det er lykkes nogen at installere en trojansk hest på min computer? Hvis nogen har kontrol over min maskine, kan de faktisk sende beskeder i mit navn med min gyldige signatur uden, at jeg ved noget om det.