Certificaatautoriteit

Een certificaatautoriteit (CA, certificate authority of ook wel certification authority) is in de cryptografie een entiteit die digitale certificaten verleent aan andere partijen. De bedoeling is dat het digitale certificaat bewijst dat de eigenaar daadwerkelijk degene is die hij beweert te zijn.

Een certificaatautoriteit is een voorbeeld van een vertrouwde derde partij (trusted third party). CA's zijn kenmerkend voor veel schema's met een Public Key Infrastructure (PKI).

Er zijn verschillende commerciële CA's die tegen betaling hun diensten aanbieden, zoals VeriSign. Instellingen en regeringen kunnen hun eigen CA's beheren, en er bestaan gratis CA's, zoals CAcert.

Uitgifte van een certificaat bewerken

Een CA geeft een digitaal certificaat uit, waarin de CA getuigt dat de publieke sleutel gevat in het certificaat toebehoort aan de persoon, organisatie, server of entiteit die in het certificaat vermeld wordt. De taak van de CA is controle van de identiteit van de aanvrager, zodat gebruikers (dit zijn de partijen die op de CA vertrouwen) de informatie in de certificaten van de CA kunnen vertrouwen. De gedachte hierbij is: als de gebruiker de CA vertrouwt en de handtekening van de CA kan verifiëren, dan kan de gebruiker erop vertrouwen dat een bepaalde publieke sleutel daadwerkelijk toebehoort aan diegene die wordt vermeld in het certificaat.

Als de CA ondermijnd kan worden, dan is het systeem niet langer veilig. Stel bijvoorbeeld dat een aanvaller, Mallory, een CA een vals certificaat laat uitgeven, waarin Alice aan een foutieve publieke sleutel (die gekend is door Mallory) gekoppeld wordt. Wanneer Bob vervolgens de publieke sleutel in het certificaat ontvangt en gebruikt, komt door Mallory de veiligheid van zijn communicatie in het gedrang. Bobs boodschappen kunnen bijvoorbeeld ontcijferd worden, of hij kan valse handtekeningen accepteren. Zie hiervoor ook Man-in-the-middle-aanval.