Některé další informace o CAcert

Jste "tváří pro klienta" CAcertu. Proto byste měli být schopni poskytnout aspoň některé základní údaje o CAcert.

Co je to CAcert?

CAcert je neziskové sdružení, korporace sídlící v Austrálii. Je podporováno rostoucí komunitou zaručovatelů (jako jste Vy), kteří jsou uživateli "webu důvěry (Web-of-Trust)" pro ověřování totožnosti.

Co je cílem CAcert?

CAcert je komunita podobně uvažujících lidí pracujících na zlepšení naší bezpečnosti, zpravidla soustředěné kolem technologie PKI založené na "certifikátech" X.509 a webu důvěry PGP.

CAcert nemá oficiální nebo schválené poslání či cíl. Mohou platit některé z těchto občas diskutovaných cílů:

Více informací - viz Principy Komunity.

Jaký je rozdíl oproti jiným CA?

Arbitráž

Arbitráž je hlavním kanálem CAcertu pro řešení jakýchkoli nečekaných nebo neobvyklých záležitostí, které by mohly uškodit. To zahrnuje stížnosti na nesprávný průběh zaručení, neplatné nebo neodpovídající údaje v jakémkoli účtu Člena, nebo nemístné použití certifikátů, ale také nejasné zásady či praktiky. Skutečně lze mít spor o čemkoli, a dokumenty zásad často odkazují obtížné záležitosti pouhou instrukcí založte/zahajte spor. Takto pracují dokumenty zásad ruku v ruce s arbitráží: Zásady řeší věci očekávané a snadné; arbitráž řeší věci nečekané a obtížné, a obě spolu tvoří základnu veškeré práce CAcert.

Jako část přijetí Dohody komunity CAcert (CCA), přijímá každý Člen arbitráž podle Zásad řešení sporů (DRP) (Dispute Resolution Policy). Kdokoli, kdo má stížnost na cokoli ohledně CAcertu, může založit/zahájit spor odesláním e-mailu na mailto:support@cacert.org. Upozornění na jakýkoli spor, který se Vás týká, dostanete na svou primární e-mailovou adresu, proto ji (podle CCA) musíte udržovat funkční.

Jak arbitráž pracuje?

Jakmile je založen a oznámen spor, vybere CAcert arbitra mezi svými staršími a zkušenými zaručovateli. Arbitři jsou velmi dobře obeznámeni se zásadami, pravidly, principy, zvyky a zvláštnostmi CAcert. Jako zaručovatel byste měl být aspoň trochu seznámen s pravidly a přinejmenším vědět, kde je najít, abyste mohli odpovědět členům na základní otázky.

Proces arbitráže je (v kostce):

  1. arbitr se podívá na situaci z hlediska důkazů,

  2. aplikuje zásady a pravidla, a pokud je třeba, i zákony (státu Nový Jižní Wales - NSW, Austrálie), a
  3. vydá nález / nařízení.

Nařízení je závazné pro Vás, pro všechny Členy a pro samotný CAcert. Obyčejně je publikováno, takže ho celá Komunita může sledovat a změnit systém, a my můžeme časem zlepšit své zásady a praktiky.

Protože používáme arbitráž pro všechny druhy neobvyklých a obtížných dotazů, není samo o sobě špatné být jmenován do arbitráže; podílet se je skutečně známkou zkušenosti. Jednou můžete být požádán(a) zaujmout místo arbitra a to bude pravděpodobně vyžadovat, abyste již byl(a) jmenován(a) arbitrem. Více podrobností a množství odkazů najdete v našem fóru arbitráže.

Základ pro alternativní řešení sporů

CAcert zavedl arbitráž na ochranu svých členů.

Normálně, vyvíjí-li se něco úplně špatně, můžete být pohnán před civilní soud a budete tam čelit soudnímu procesu. Je zvláště pravděpodobné, že soudní proces bude probíhat v nějaké vzdálené zemi, protože CAcert poskytuje certifikáty vytvářením prohlášení o lidech celého světa. Ve vaší zemi může mít soudnictví pověst, že se o Vás stará, ale to neplatí všude. přinejmenším jsou vzdálené soudní systémy pro Vás nákladné, obtížně pochopitelné a neprůchodné, i když jsou třeba spravedlivé. Právě tak jsou nákladní advokáti a Vy můžete být zasažen tvrdým rozsudkem, který plně neoceňuje, co to certifikáty jsou a co jsme my jako Komunita. I když soud rozhodne ve Váš prospěch, může to být Pyrrhovo vítězství, kterého jste si nepřál dosáhnout.

Proto, namísto použití soudů, souhlasíme zabývat se všemi svými spory interně. Máme k tomu oprávnění podle Zákona o rozhodčím (smírčím, arbitrážním) řízení (Arbitration Act) každé země a také v klausuli uvedené v Dohodě komunity CAcert (CCA):

3.2 Arbitráž jako fórum řešení sporů

Souhlasíte s CAcertem a celou Komunitou, že všechny spory vzniklé v souvislosti s naším použitím služeb CAcert, i mimo tuto souvislost, mají být nahlášeny a s konečnou platností rozřešeny Arbitráží podle pravidel uvedených v „Pravidlech řešení sporů v CACert (Dispute Resolution Policy of CAcert)“ (DRP => COD7). Pravidla volí jediného Arbitra vybraného CAcertem ze starších Členů Komunity. Arbitrovo rozhodnutí je konečné a závazné jak pro Členy, tak také pro CAcert.

Tuto klausuli byste měli znát a a dokázat ji vysvětlit novým a perspektivním Členům.

Většina zemí má arbitráže zařazené do zákonů (například německý arbitrážní zákon), které povolují a dokonce nabádají k interním arbitrážím, jako jsou naše. To má smysl tam. kde může mít místní nebo specializovaná komunita lepší pochopení svých vlastních zvyklostí a pravidel, kde mezinárodní aféry činí volbu neutrálního nebo rentabilního soudu nepraktickou a kde skutečná povaha sporů neopravňuje k výdajům na soudy (a zvláště na advokáty).

Tato hlediska jsou přirozenou doménou CAcert, protože jsme ve složitém mezinárodním prostředí zaručování, Internetu a certifikátů. Arbitrážní zákon nám poskytuje způsob, jak se vypořádat s jakýmikoli spory interně a nechodit s nimi k soudu, který by se pravděpodobně konal ve vzdálených zemích, vyžadoval by nákladné advokáty a měl by jen málo znalostí o zpracování certifikátů. Takto dosahujeme vyváženého a rentabilního právního přístupu v celé komunitě, což platí pro Vás, každého jiného Člena, i pro samotný CAcert.

V případě, že je proti Vám veden nějaký proces ve vztahu k Vašim aktivitám spojeným s CAcert, měl(a) byste požádat soud, aby předal případ zpět arbitráži, podle výše uvedené klausule a zákona. Není zde sice záruka, že s případem bude naloženo takto, a kriminální případy se také nepředávají, ale ve věcech veřejné politiky budou soudy rutinně vracet případy arbitráži tam, kde existuje taková dohoda.

Naším úmyslem je ochránit Vás a všechny ostatní Členy. To znamená, že za účelem ochrany ostatních členů může arbitrářní případ vyústit do určité pokuty Vám vyměřené, zjistí-li arbitr, že jste jednal(a) proti zásadám, pravidlům a/nebo principům! Viz sekce 3.6. Zásad řešení sporů (DRP) o opravných opatřeních (Remedies), kde najdete více podrobností.

Jak je chráněno soukromí?

Podrobněji v zásadách ochrany soukromí a také v poslední sekci Zásad zaručování (Assurance Policy) 7. Ochrana soukromí.

Je CAcert standardně zařazen do prohlížečů?

Kolik lidí využívá CAcert?

Některé technické aspekty

Když zaručujete, mohou se Vás lidé zeptat na některou věc technické povahy. Abychom Vám pomohli vystupovat jako opravdový znalec, dáme Vám zde základní údaje. ;-)

Co jsou to privátní a veřejné klíče?

"Kryptografie veřejných klíčů" pracuje s páry klíčů: jeden pár obsahuje veřejný a privátní klíč. Každý z obou klíčů páru lze použít k zašifrování dat, která pak mohou být dešifrována pouze tím, kdo má ten druhý klíč páru. Podle konvence je jeden klíč páru označen "veřejný klíč" a druhý je "privátní klíč".

Privátní klíč je držen v tajnosti a je chráněn. Nikdy není sdílen. [Nemá se ani přenášet po síti.]

Veřejný klíč je naopak dostupný a rozšířen co nejvíce, protože to je ten, jehož lze použít k zašifrování dat, která pak může dešifrovat pouze vlastník privátního klíče. Umožňuje také dešifrovat data, která byla zašifrována privátním klíčem.

Takže - chcete-li někomu poslat zašifrovanou zprávu, potřebujete mít jeho veřejný klíč. A ztratíte-li svůj privátní klíč, nebudete už moci dešifrovat zprávy určené Vám.

Zašifrováním haše dokumentu svým privátním klíčem vytvoříte digitální podpis, který může každý ověřit pomocí Vašeho veřejného klíče. [Haš (hash) je číselná hodnota vytvořená ze souboru (dokumentu) speciálním algoritmem, pro nějž je důležité:

  1. z výsledné haše nelze rekonstruovat soubor, jeho název ani jinou část;
  2. i velmi malá změna souboru znamená velkou změnu haše.]

Veřejnou část páru klíčů [tedy veřejný klíč] nelze vytvořit z části privátní [privátního klíče] a veřejná část nikomu neumožňuje uhodnout odpovídající privátní klíč. Lépe řečeno, je opravdu velmi, velmi těžké uhodnout privátní klíč z veřejného, je-li privátní klíč "dostatečně velký".

Co je to digitální podpis?

Digitální podpis je druh "pečeti" připojené k dokumentu, zaručující, že podepsaný dokument nebyl od vytvoření podpisu změněn, což také zaručuje, že byl vytvořen někým, kdo má přístup k odpovídajícímu privátnímu klíči.

Technicky řečeno: je to hodnota haše dokumentu, zašifrovaná privátním klíčem signatáře. Je mnoho různých způsobů, jak to lze implementovat.

Co je to certifikát?

Certifikát je v tomto kontextu "dokument" obsahující veřejný klíč, určité údaje o majiteli toho klíče a podpis certifikační autority ("CA").

Certifikáty podle standardu (normy) X509 (včetně těch vydaných CAcert) obsahují datum vydání a datum konce platnosti, haše (čili kryptografické otisky - "otisky prstů") používané k ověření certifikátů a jedinečné pořadové číslo. Certifikáty dále obvykle obsahují některé údaje o uživateli [držiteli certifikátu], jako jméno nebo e-mailovou adresu.

Co mohu s certifikátem dělat?

Typický certifikát představuje "názor" certifikační autority na "předmět" certifikátu, například na jednotlivce nebo organizaci. Certifikační autorita definuje přesný význam certifikátu v jeho dokumentaci. Například: kdo ho může získat, jaké kontroly jsou provedeny, co můžete dělat s touto informací. Abyste věděli, co dělat s certifikátem, pečlivě prostudujte dokumentaci:

e-e-e... certifikát certifikuje (zaručuje) něco, a to "předmět" certifikátu. Zpravidla je to e-mailová adresa majitele a jeho jméno, má-li dostatek bodů zaručení, nebo adresa webu/domény webového serveru. Poslední věta předchozího odstavce [asi jde o odstavec před odrážkami] sugeruje, že jak e-mailová adresa, tak jméno jsou v klientském certifikátu nepovinné, ale ve skutečnosti by měl být uveden aspoň jeden z těch údajů, co by jinak certifikát certifikoval?

[iang]... předpoklad, že certifikát něco "certifikuje", by měl být brán s reservou. Co to znamená, a kdo se na to může spolehnout? Zkusil jsem to rozluštit z obsahu certifikátu výše. Jiná otázka je, zda je to k užitku "nulový certifikát" nebo certifikát bez jména nebo e-mailové adresy... pak je snazší s ním pracovat. V případě CAcert je to trochu nepodstatné, což by byla dobrá otázka do testovacího systému pro zaručovatele (CATS) :-)

Co mohu udělat s certifikátem vydaným CAcert

Bezpečné webové servery

Můžete vygenerovat certifikáty pro servery HTTPS [secure HTTP, bezpečný protokol webu]. Ačkoli v současnosti není kořenový certifikát CAcert obsažen ve standardní Mozille a Internet Exploreru, je již obsažen v několika Unixu podobných distribucích.

A je snadné instalovat kořenové certifikáty CAcert manuálně.

Klientské certifikáty X509

Tyto certifikáty lze použít k zašifrování a/nebo digitálnímu podepsání e-mailů. Viz Klientské certifikáty, náš rostoucí seznam možností, jak můžete použít své klientské certifikáty. Mohou být také použity pro identifikaci na webových serverech, jako je přihlášení (login) certifikátem k webu CAcert nebo k VPN serverům. [VPN = Virtual Private Network, virtuální privátní síť.]

Podepisování kódu a certifikáty IDN

Jste-li zaručovatel, můžete získat certifikáty podepsané/vydané CAcert pro podepisování kódu a IDN (International Domain Names, mezinárodních doménových jmen).

Kvůli rostoucím možnostem zneužití mají tyto certifikáty přídavné požadavky. CPS (Certification Practise Statement, přehled postupů certifikace) stanoví, aby se vyžadovala úroveň zaručovatele, s kterou se můžete setkat, čtete-li tuto příručku. Avšak upozorňujeme, že od 06.11.2009 je tendence redukovat tyto požadavky. Sledujte toto místo.

Podpisy OpenPGP

Získejte své klíče PGP podepsané klíčem CAcertu. To by mělo výrazně zvýšit důvěru k Vašemu PGP klíči, protože mnoho lidí věří podpisu CAcert.

Používá CAcert OCSP?

CAcert nabízí certifikační ověření on-line pomocí On-line protokol stavu certifikátu (Online Certification Status Protocol, OCSP). Zda ho Vaše aplikace skutečně používá, je už jiná otázka.

Kde mohu získat další pomoc s technickými problémy

Nejlepší místa pro technickou pomoc jsou wiki a IRC, viz následující příloha níže.

Příloha

Pomoc a podpora

Abyste mohl(a) poradit uživatelům s možnostmi, musíte o nich vědět:



AssuranceHandbook2/SomeMoreInformation/CZ (last edited 2015-09-02 17:50:10 by AlesKastner)