X.509

Certum na podstawie decyzji Ministra Gospodarki będzie mogło wystawiać kwalifikowane certyfikaty atrybutów.

Kryterium używalności jest często traktowane przez speców od bezpieczeństwa po macoszemu. Niesłusznie, bo jeśli jakieś zabezpieczenie jest mało używalne to użytkownicy go... nie używają. Wynikowe bezpieczeństwo jest więc mniejsze, a koszt - rośnie. Niestety, przykładem takiego wysoce bezpiecznego i wysoce nieużywalnego mechanizmu staje się powoli podpis elektroniczny.

extendedKeyUsage

Trzeba pamiętać, że omawiane wcześniej rozszerzenie X.509 keyUsage określa zastosowania klucza bądź certyfikatu na wysokim poziomie abstrakcji, bez precyzowania konkretnych protokołów lub produktów. Nie zawsze jest to wystarczające - na przykład wystawiając certyfikat z keyUsage=digitalSignature na potrzeby podpisywania maili S/MIME niekoniecznie naszą intencją musi być również wykorzystanie go do podpisywania aplikacji.

Jednym z podstawowych rozszerzeń certyfikatu (certificate extension) wprowadzonych przez standard X.509v3 było rozszerzenie keyUsage. Przypomnijmy, że w X.509v1 certyfikat był - w skrócie - po prostu kluczem publicznym podmiotu (subjectPublicKeyInfo) z jego opisem (Subject) oraz podpisem wystawcy (signatureValue). Tak opisany klucz mógł być więc wykorzystywany do dowolnego celu niezależnie od intencji wystawcy lub właściciela. A to jest niebezpieczne...

Polska Ustawa o podpisie i towarzyszące rozporządzenia były opracowywane głównie na podstawie roboczych draftów unijnych zaleceń. Wersje finalne tych zmieniły się od 2001, w wielu miejscach znacząco. Poniżej opis aktualnej wersji zaleceń unijnych, wraz ze wskazaniem kilku "punktów zapalnych".