PKI推手夏漢民：展望2004 冀望解除束縛讓商機起飛

PKI將可促進國內網路應用的活絡，但是目前市場的實際狀況卻是，除了政府規定的金融PKI、以及自然人憑證外，沒有其它的應用，究竟是因為PKI架構尚未建置完成，抑是在推行上遇到了什麼困難，2004年PKI的發展會演變成什麼樣的面貌。以下是資安人專訪NII董事長夏漢民的內容記實：

（記者）問：PKI已推動多年，在台灣一直未見興盛，究竟遇到什麼問題?你曾經成功推動過三年三百萬人上網的經驗，現在再度面臨新的推動計劃，該如何落實?政府以及民間又該如何進行職責的劃分?
（夏漢民）答：台灣PKI推行上有個比較急需解決的問題就是，雖然民營單位在經營及建置，但背後最大的影響層面仍在政府，使得推行自由度不夠開放，破壞了自由市場機制的美意。

以內政部的自然人憑證而言，雖然可提供民眾電子化應用，但由於礙於申請人資料的保密，資料完全不提供商業應用，成為美中不足之處。如果將不涉及個人隱私權的部份提供商業應用，將可促成不少商機。NII在其中就是扮演民間企業和政府的橋樑，希望政府能多聽民間的建議，解除限制開放自由市場，讓商機起飛。

政府在規劃PKI架構的同時，應該同步把民意一併納入，太急著建置，是造成架構無法符合市場需求，推動不易的主因。政府和民間分工應該要各司其職。這樣有助於角色籬清，政府負責制定遊戲規則、並善盡管理的職責，民間機構則自訂適合自由市場機制和標準，結合產、官、學研相關單位，共同商討合宜的PKI應用及架構。舉例就目前金融PKI建置，銀行公會應尋求相關之法律顧問、學者專家共同參與，建立之標準將更具全面性。

PKI的管理哲學，不宜限制太緊，也不得太過鬆，不合宜的地方就要馬上修正廣納意見。其實PKI不只保障網路安全，更是促成電子商務的重要基礎，所以PKI越早普及應用，對電子商務的發展越是有利。

問：國外發展PKI的腳步較台灣成熟，國外成功經驗是否值得台灣借鏡和取經學習?
答：台灣目前PKI所面臨到的問題之一，就是開放度不足，或許可以參考國外PKI成功的經驗模式。以美國為例，美國的PKI標準制定皆非由政府設立，反而是由民間非營利單位OASIS進行建置，由業者共同討論制定而成。且美國非營利機構NPO(None Profit Organization)，像基金會或者公益團體等單位，通常為自發性組織，只要擁有好的想法通常企業都會提供經費等支援。執行的過程中，政府更會善盡嚴格把關的動作，去審查管理應用制度有無缺失，以良性的互動促進更多的交流。

重質的管理精神和原則，使得應用推動相當順利，也證明只有要紀律就可以透過少數人管理好多數人，衷心期盼PKI應用的美好夢想可以早日實現。

國外的PKI機制應用已成熟，有許多地方國內可以借鏡，但也不是所有的機制都適合照單全收，台灣尚要考慮政治、機制、和經營管理、市場與需求等。

問：2004年PKI將會有什麼變化?PKI應用會正式啟動並普及應用嗎?
答：政府在挑戰2008數位台灣計劃中，宣示將推動三年三百萬張憑證計劃，使得PKI再度受到重視。但這幾年PKI在國內預期高過市場狀況，應用並沒有想像中的普及。雖曾經成功推動三年三百萬人上網，現在又再度面對新的使命，要將PKI的應用普及化，我卻有不同的推動看法及詮釋，PKI應用和網路普及應用不同，網路可以用上網普及率去達到普及推動的目的。但是PKI則不同，使用量不是目前推動的首要目標，要促成商業應用的興盛，提供企業以及民眾「誘因」才是目前重點。

問：Web Service成為網路新興應用，裡面也擁有認證機制，未來Web Service與PKI之間的關係如何？Web Service是否會取代PKI，或者兩者具互補性？
答：未來PKI和Web Service將會有截長補短的作用。有些部份需要透過Web Service 才能普及應用、有些則需要透過PKI集中管理的方式進行，兩者是互補的，並不會被彼此取代。舉例像低交易金額的應用就可利用Web Service，而中高等級的交易量及大範圍的安全應用就透過PKI。

估計PKI將會因為Web Service的應用而更為普及 ，兩年之內PKI將會融入Web Service應用當中。

PKI普及有個大問題，就是需建置經費，一套完整而嚴謹的PKI系統，需要耗費不少的經費，就使用便利的角度來看未必適合。建議未來PKI應用可以劃分等級，以交易金額來制定、採「分級付費」的方式進行，例如：每筆交易金額在50元美金以下的，就交由保險公司來付責保障，免用PKI;而交易金額越大者則可使用不同等級PKI，以達到同時保障安全同時兼負成本考量。

實際面上，PKI在台灣推行已行之有年，但是卻遲遲不見成效，除了政府法規、建置成本高等問題外，在企業端也面臨問題。根據NII在91年的調查統計資料指出，企業不願使用PKI「太過複雜」成為位位居第一的問題，其次是「成本過高」，企業寧願自己冒著風險，也不願透過PKI來改善風險問題，這是PKI推動的隱憂。

PKI如何能做到對資訊的保密性、但同時又不能太過限制，絕對具有其一定挑戰性存在。