Public Key Infrastructure - PKI

Af Martin Borgen, 7. april 2002

Public Key Infrastructure (PKI) er betegnelsen for den struktur som certifikater i forbindelse med digitale signaturer styres efter. Et certifikat er en verifikation af den offentlige nøgle. Disse certifikater udstedes af en certificeringsudbyder også kaldet et nøglecenter. PKI er således et verifikationssystem eller en infrastruktur, der ligger bag de certifikater, der knyttes til den digitale signatur.

Et nøglecenter eller en certificeringsudbyder er en juridisk eller fysisk person, der påtager sig ansvaret for, at en offentlig nøgle tilhører en bestemt person. Dette gøres ved et certifikat, der verificerer nøgleindehaverens identitet overfor tredjemand. Nøglecentre er en vigtig part i kontrahering, der involverer digitale signaturer, idet nøglecentret som troværdig tredjepart indestår for en kontrahents identitet og således sikrer, at medkontrahenten kan foretage retligt bindende dispositioner i digitale miljøer.

Et nøglecenter udgør en brik i det netværk af nøglecentre, der tilsammen udgør den infrastruktur, der knytter sig til den offentlige-nøgle-kryptering. Denne infrastruktur sikrer, at alle nøgler udstedt med et certifikat fra denne PKI er sikre at anvende. Infrastrukturen er således et gigantisk netværk og en kontrahent har vished om krypteringsnøglernes validitet etc., når en nøgle findes og er gyldig i henhold til oplysninger fra et godkendt nøglecenter.

Certifikater er jf. den danske lovs § 3, stk. 1, nr. 8 en elektronisk attest, som knytter bestemte signaturverificeringsdata (den offentlige nøgle) til underskriveren og bekræfter dennes identitet. Certifikatet bruges af modtageren af en meddelelse i forbindelse med signaturverificeringsprocessen og sikrer således meddelelsens autenticitet.

For at et certifikat kan imødekomme kravet i lovens § 13 skal det være kvalificeret og være udstedt af et kvalificeret  nøglecenter.

Kvalificerede certifikater

Til et kvalificeret certifikat stilles, jf. EU direktivets bilag I, en række krav, der er implementeret i den danske lovs kapitel 3. Det drejer sig om krav, der skal sikre certifikatets validitet. Af certifikatet skal det fremgå, hvilket nøglecenter eller hvilken certificeringsudbyder, der har udstedt det kvalificerede certifikat. Der skal være oplysninger om navn og hjemsted for certificeringsudbyderen. Desuden skal underskriverens navn og identitet fremgå af certifikatet. Derudover kræves oplysninger om certifikatets gyldighedsperiode, og de nøgler der skal anvendes til generering og verificering af digitale signaturer. Endelig skal certifikatet have et unikt ID-nummer, og det skal være forsynet med certificeringsudbyderens avancerede digitale signatur.

Krav til nøglecentre

I § 5 i den danske lov bestemmes en række krav, som et nøglecenter skal efterleve, for at kunne udstede kvalificerede certifikater. Det drejer sig om krav til procedure i virksomheden og i beskæftigelsen af personale, der skal sikre pålidelighed i processerne.

I forbindelse med kvalificerede certifikaters udstedelse skal nøglecentret sikre, at underskriveren er i besiddelse af den private nøgle, der passer til den offentlige nøgler, der knyttes til certifikatet. Nøgleparret skal være unikt. Desuden skal nøglecentret sikre at alle krav, der stilles til et kvalificeret certifikat er opfyldt.

En detaljeret regulering af nøglecentrets virksomhed fremgår desuden af to bekendtgørelser:

• Bekendtgørelse om nøglecentres og systemrevisionens indberetning af oplysninger til Telestyrelsen
• Bekendtgørelse om sikkerhedskrav m.v. til nøglecentre