https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

PKI推手夏漢民:展望2004 冀望解除束縛讓商機起飛

2004 / 06 / 25
陳貞璆
PKI推手夏漢民:展望2004 冀望解除束縛讓商機起飛

PKI將可促進國內網路應用的活絡,但是目前市場的實際狀況卻是,除了政府規定的金融PKI、以及自然人憑證外,沒有其它的應用,究竟是因為PKI架構尚未建置完成,抑是在推行上遇到了什麼困難,2004年PKI的發展會演變成什麼樣的面貌。以下是資安人專訪NII董事長夏漢民的內容記實:

(記者)問:PKI已推動多年,在台灣一直未見興盛,究竟遇到什麼問題?你曾經成功推動過三年三百萬人上網的經驗,現在再度面臨新的推動計劃,該如何落實?政府以及民間又該如何進行職責的劃分?
(夏漢民)答:台灣PKI推行上有個比較急需解決的問題就是,雖然民營單位在經營及建置,但背後最大的影響層面仍在政府,使得推行自由度不夠開放,破壞了自由市場機制的美意。

以內政部的自然人憑證而言,雖然可提供民眾電子化應用,但由於礙於申請人資料的保密,資料完全不提供商業應用,成為美中不足之處。如果將不涉及個人隱私權的部份提供商業應用,將可促成不少商機。NII在其中就是扮演民間企業和政府的橋樑,希望政府能多聽民間的建議,解除限制開放自由市場,讓商機起飛。

政府在規劃PKI架構的同時,應該同步把民意一併納入,太急著建置,是造成架構無法符合市場需求,推動不易的主因。政府和民間分工應該要各司其職。這樣有助於角色籬清,政府負責制定遊戲規則、並善盡管理的職責,民間機構則自訂適合自由市場機制和標準,結合產、官、學研相關單位,共同商討合宜的PKI應用及架構。舉例就目前金融PKI建置,銀行公會應尋求相關之法律顧問、學者專家共同參與,建立之標準將更具全面性。

PKI的管理哲學,不宜限制太緊,也不得太過鬆,不合宜的地方就要馬上修正廣納意見。其實PKI不只保障網路安全,更是促成電子商務的重要基礎,所以PKI越早普及應用,對電子商務的發展越是有利。

問:國外發展PKI的腳步較台灣成熟,國外成功經驗是否值得台灣借鏡和取經學習?
答:台灣目前PKI所面臨到的問題之一,就是開放度不足,或許可以參考國外PKI成功的經驗模式。以美國為例,美國的PKI標準制定皆非由政府設立,反而是由民間非營利單位OASIS進行建置,由業者共同討論制定而成。且美國非營利機構NPO(None Profit Organization),像基金會或者公益團體等單位,通常為自發性組織,只要擁有好的想法通常企業都會提供經費等支援。執行的過程中,政府更會善盡嚴格把關的動作,去審查管理應用制度有無缺失,以良性的互動促進更多的交流。

重質的管理精神和原則,使得應用推動相當順利,也證明只有要紀律就可以透過少數人管理好多數人,衷心期盼PKI應用的美好夢想可以早日實現。

國外的PKI機制應用已成熟,有許多地方國內可以借鏡,但也不是所有的機制都適合照單全收,台灣尚要考慮政治、機制、和經營管理、市場與需求等。

問:2004年PKI將會有什麼變化?PKI應用會正式啟動並普及應用嗎?
答:政府在挑戰2008數位台灣計劃中,宣示將推動三年三百萬張憑證計劃,使得PKI再度受到重視。但這幾年PKI在國內預期高過市場狀況,應用並沒有想像中的普及。雖曾經成功推動三年三百萬人上網,現在又再度面對新的使命,要將PKI的應用普及化,我卻有不同的推動看法及詮釋,PKI應用和網路普及應用不同,網路可以用上網普及率去達到普及推動的目的。但是PKI則不同,使用量不是目前推動的首要目標,要促成商業應用的興盛,提供企業以及民眾「誘因」才是目前重點。

問:Web Service成為網路新興應用,裡面也擁有認證機制,未來Web Service與PKI之間的關係如何?Web Service是否會取代PKI,或者兩者具互補性?
答:未來PKI和Web Service將會有截長補短的作用。有些部份需要透過Web Service 才能普及應用、有些則需要透過PKI集中管理的方式進行,兩者是互補的,並不會被彼此取代。舉例像低交易金額的應用就可利用Web Service,而中高等級的交易量及大範圍的安全應用就透過PKI。

估計PKI將會因為Web Service的應用而更為普及 ,兩年之內PKI將會融入Web Service應用當中。

PKI普及有個大問題,就是需建置經費,一套完整而嚴謹的PKI系統,需要耗費不少的經費,就使用便利的角度來看未必適合。建議未來PKI應用可以劃分等級,以交易金額來制定、採「分級付費」的方式進行,例如:每筆交易金額在50元美金以下的,就交由保險公司來付責保障,免用PKI;而交易金額越大者則可使用不同等級PKI,以達到同時保障安全同時兼負成本考量。

實際面上,PKI在台灣推行已行之有年,但是卻遲遲不見成效,除了政府法規、建置成本高等問題外,在企業端也面臨問題。根據NII在91年的調查統計資料指出,企業不願使用PKI「太過複雜」成為位位居第一的問題,其次是「成本過高」,企業寧願自己冒著風險,也不願透過PKI來改善風險問題,這是PKI推動的隱憂。

PKI如何能做到對資訊的保密性、但同時又不能太過限制,絕對具有其一定挑戰性存在。