Certificaatautoriteit: verschil tussen versies

Een certificaatautoriteit (CA, certificate authority of ook wel certification authority is in de cryptografie een entiteit die digitale certificaten verleent aan andere partijen. Het is een voorbeeld van een vertrouwde derde partij (trusted third party). CA's zijn kenmerkend voor veel schema's met een Public Key Infrastructure (PKI).

Er zijn verschillende commerciële CA's die tegen betaling hun diensten aanbieden, zoals VeriSign. Instellingen en regeringen kunnen hun eigen CA's beheren, en er bestaan gratis CA's, zoals CAcert.

Uitgifte van een certificaat

Een CA geeft een digitaal certificaat uit, waarin de CA getuigt dat de publieke sleutel bevat in het certificaat effectief toebehoort aan de persoon, organisatie, server of entiteit die in het certificaat vermeld wordt. De taak van de CA in zo'n schema is de identiteit van de aanvrager te verifiëren, zodat gebruikers (de partijen die op de CA vertrouwen) de informatie in de certificaten van de CA kunnen vertrouwen. Het idee is gewoonlijk dat wanneer de gebruiker de CA vertrouwt, en de handtekening van de CA kan verifiëren, de gebruiker ook kan verifiëren dat een bepaalde publieke sleutel effectief toebehoort aan diegene die wordt vermeld in het certificaat.

Als de CA ondermijnd kan worden, dan valt de veiligheid van het systeem weg. Stel bijvoorbeeld dat een aanvaller, Mallory, erin slaagt een CA een vals certificaat te doen uitgeven, waarin Alice aan een foutieve publieke sleutel, die gekend is door Mallory, gekoppeld wordt. Wanneer Bob vervolgens de publieke sleutel in de certificaat bekomt en gebruikt, komt de veiligheid van zijn communicatie in het gedrang door Mallory - Bob's boodschappen kunnen bijvoorbeeld ontcijferd worden, of hij kan misleid worden zodat hij valse handtekeningen aanneemt.