台灣PKI產業何去何從？

從產業層面透視PKI發展的徵結
PKI問題談了很久，一群廠商也很努力在做，卻一直都沒辦法開花結果，究竟台灣PKI發展出了什麼樣的問題呢？從訪談過程中可約略歸納出以下幾項要點，包括基礎建設(Infrastructure)、角色扮演、分工與標準化、憑證費用等問題。

先就基礎建設的部份來看，財政部推動台灣網路認證公司的成立，初期政策的模糊造成後續的發展扭曲變形。台網本身具備官方單位的色彩，但卻又是十足的私人公司，基礎建設初期勢必賠錢建制，對一個自理盈虧的私有公司而言，根本無法承受這種壓力，轉而跨入其他營業範圍，也就不令人意外。

來到用戶層面來看，在政府高度管理的金融相關單位及公司，具官色彩的公司當然容易承攬業務。資源有限狀態下，其他廠商自然注漸式微。

其次是「角色」問題，台灣目前PKI發展存在許多角色混淆的情況，精業公司副總經理陳仁志就指出：「PKI主要問題是出在價值鏈上，也就是Key Player沒有把角色扮演好。」PKI廠商為了獲得客戶青睞，必須增加更多憑證附屬應用，勢必跨足PKI其它領域，這將回到「標案」競爭的狀況，例如CA原本是屬於發憑證的單位，如同保險公司僅需收取保險費和事後理賠的服務，但卻從事標案，不但造成市場殺價問題，更將導致只做案子而不從事研究的狀況。

至於「分工與標準化」方面，PKI互通管理及推動計畫辦公室主任劉中道認為，讓PKI廠商標準化是最重要的課題，PKI建置的目的以及電子化社會對PKI的期待在於信賴，而信賴的建立必須由許多多值得信賴的元件與過程來組合，包含技術元件的開發，軟硬體的配合與應用系統結合的方式，以及結合後的管理機制，整個憑證服務與應用鍊的稽核管理等。這些其實都是PKI廠商可提供的產品與服務，有的可以各自競爭，有的可以分工互為牽制，以構成更健康與高品質的服務。台灣市場的規模以及這兩年的案子來看，我們的確可以試著從提供一個標準的PKI服務與應用環境的前提來思考各角色可能的分工，政府可以扮演的角色以及每一個環節標準化的程度，比如說CA廠商的營運如何被標準化？PKI市場是否容得下這麼多的CA廠商？CA廠商以下的AP廠商如何開展？等問題，許多PKI廠商認為台灣PKI市場並沒有做好合理的展開，是導致目前惡性競爭的源頭。

成功大學電機工程學系賴溪松教授指出，CA廠商在憑證上無法獲取生存的利潤，自然會朝向其它領域發展。關於憑證公司的獲利模式，應該由政府和PKI廠商共同討論，找出一個最合宜的方式。而台灣科技大學資訊管理系吳宗成教授提出另一種值得思考方向：「台灣看不到PKI產業，因為沒有完整供應鏈結構，市場又不明顯，所以目前很難看出PKI具備完整的產業結構，但PKI對企業或政府機構應用系統的實務安全貢獻卻是不容置疑的。」這些都是目前PKI發展的問題所在。

「基礎建設」的責任該由誰主導？
“Infrastructure”的角色該由誰負責一直具有爭議性，目前具備CA憑證機構身份者，包括台灣網路、網際威信、是方電訊等三家公司，至於如何整合，是同時存在，保持競合，還是只保留一家或有其他方式，這是見人見智，劉中道提及：「以目前台灣PKI市場而言，是否能容納那麼多家CA廠商，是不是要將憑證服務廠商收斂到只剩一、二家？」

吳宗成認為：「嚴格說來，PKI應用領域才是廠商獲利所在，基礎建設則應由政府主持，而私人機構要兼做苦工、不賺錢、具備公信力等要件，顯然力有未逮。」 身為發行憑證的是方電訊資深經理李立國提出更具體的建議：「以自由競爭、市場價格合理性來說，必須相互競爭，不能獨大，然而以憑證政策最後應用來看，我們希望最後僅留一家憑證中心，一個標準，一個權責單位，再將所有AP全部套上來，我相信這是大家所要的。」又說：「我們希望把台灣網路公司拱上去，讓台灣網路公司負責去協調所有政府單位、並帶領台灣PKI產業走向國際。」其他CA廠商幫忙推行憑證，而SI、AP…廠商負責從事應用領域，但前提是台灣網路公司的角色要定位清楚，不可把自身的角色模糊了，大家都放在台灣網路公司底下，將台灣網路公司的層次拉高，才不會因角色混淆而造成市場惡性競爭。劉中道表示說：「推動建立稽核與管理機制也是創造市場，提供良好競爭機制與商機的方式，這些都是基礎建設應該妥為定義的項目，相信也是推動產業擴大需求的重要規則。」

釐清角色定位是解決PKI問題的關鍵
角色扮演一直都是台灣PKI發展的嚴肅話題，也是所有PKI廠商心中最大的痛處，既然必須面對又該如何解決呢？

陳志仁強調：「最重要的是角色定位必須清楚。」CA廠商做為發行憑證的角色，應該專心研發更可靠的憑證，SI廠商從事系統整合規畫，AP應用廠商則提供應用的技術，彼此分工，且將每個部分的價錢都定好，不要踩到別人的線。但目前CA公司都不只以憑證服務為主，還涉足其它應用領域，對SI廠商來說也不知該如何做？例如台灣網路公司的優勢(具官方色彩)，一旦跨足PKI其它整合領域，將造成公領域擠壓到私領域的結果，陳志仁打了一個有趣的比喻：「SI廠商本來是PKI的營建商，但現在卻連做鑰匙的都來蓋房子…。」這必然會造成混亂的局面。

賴溪松教授也表示：「面對PKI廠商角色混亂的問題，應該儘速將角色扮演做好釐清，主要可分成CA、Component、SI等三種廠商類別。」CA機構與RA可歸納成一類，CA廠商其作用原本屬於PKI的“I”，應該給CA裁判者的角色，並找出CA廠商立基點與價值點。至於怎麼做？是政府補助？還是其它方法？又說：「是不是當憑證發行後，在Client端就解決這類問題，也就是用多少憑證就給多少錢。」CA能儘量去發行憑證，SI也就能儘量去應用，而憑證的使用者越多就會去買讀卡機，PKI廠商就可以有更多的收入，如此可以變成利益共同體，這也才是解決PKI角色問題的首要步驟。

至於Component的問題，這就必須提及硬體方面的密碼模組的問題，目前國內廠商接到訂單多半不在國內製造，是透過大陸廠商做代工，取決在於降低生產費用的考量，但是否適合國內使用值得深思；也由於台灣沒有管制PKI產品的進出口，而大陸卻有採取管制措施，這樣不對等的關係，將使台灣產品減低競爭力，賴溪松建議，因應這類的問題，政府可以結合廠商舉辦公聽會來共同討論。SI方面，SI廠商中懂資安的人卻對資訊應用不熟，懂資訊的人卻對資安不熟悉，這樣的情況將造成很大的鴻溝，政府應該利用標案協助這兩類廠商合作，也要從中讓兩者相互磨合，從上而下相互結合在一起。

訂定標準法則有利PKI未來發展
提及PKI的標準化，相信這是PKI廠商一致的心聲，至於標準化的做法為何？ 陳志仁認為，CA廠商能夠清楚知道改成用「交易保險」的觀念做生意，哪裡有漏洞？如何讓漏洞不致產生？且願意賠償，依PKI廠商的嚴謹度來訂分級標準，例如A級：假若公司有網路安全工程師，在發生狀況時則只需保險理賠80％；B級：如果公司沒有網路安全工程師，在發生狀況時則只需保險理賠70％；以此類推C級則可能只理賠50％。至於Client的做法是不同載具都可以統一在同一平台上，例如PDA、手機、Token等。CA廠商也要讓使用者對憑證有絕對安全感，而不是PKI廠商、政府、學界人士都有各自的想法，都在想究竟該跟誰走才會成功，最後都只是一盤散沙，不會形成商業運作。

劉中道指出：「因應網路服務或應用會與一個以上的憑證中心的往來，及跨國電子商務服務的需求，政府當局建置了橋接管理中心(BCA)，除了提供一個在技術上的解決架構外，也希望透過BCA機制建立標準化規格。」

李立國也表示，政府有BCA機構在運作，嚴格來說，BCA對於推廣憑證仍未顯現功效，但與國外協商制定憑證方面BCA仍有其角色扮演，日前報章雜誌曾報導中華電信對PKI互通的觀點，雖說中華電信指的應該是公領域的互通，例如自然人互通、工商憑證互通等，但至少必須由公領域先互通，私領域再說，因為私領域牽扯服務後面的保險規範和其他應用層面，很難達到一張憑證就可以互通，所以私領域互通可能沒這麼容易。

要求憑證免費，也要讓CA廠商活下去
國外憑證有逐漸走向免費的趨勢，但如果憑證免費，CA憑證公司該如何走下去呢？李立國斬釘截鐵地說：「憑證不可能免費。」因為憑證本身就需要成本，必須給付國際RSA權利金，總不能要CA憑證的發行者來承擔這些成本，否則憑證中心無法存活？所謂憑證免費，應該是說，當憑證應用面帶上來之後，利用憑證應用在每一個服務項目抽出一部分的費用來擔負憑證中心的維運，大家一起來承擔憑證的成本。

對於傾向憑證免費的廠商而言，也不是一味要求憑證免費，而是有配套措施，陳志仁就表示：「憑證要免費使用，必須在其他應用層面讓CA廠商抽取利潤，例如千分之一。」但也要訂好賠償標準，把整合模式做好，不要因為每個案子不同而造成AP廠商需將既有整合模組做大幅改變，這樣會讓AP廠商無所適從，如果能透過相互討論，相信只要CA廠商登高一呼，其他PKI廠商也會配合，例如：一般廠商都會希望在導入PKI機制時可以採用公司原來的平台，但為了安全性考量，其實CA廠商可以要求客戶要買PKI Server，亦或可以負責將規格開出，並提供較好的SI、AP廠商來整合應用系統(CA廠商不要去做整合，只要做規畫和協調的角色，賺取憑證費用和規劃費用，而SI、AP廠商則賺取應用整合費用，而每個PKI廠商就都可賺取其合理的利潤。

賴溪松認為，憑證免費的走向是有問題的，讓CA廠商如何活下去呢？如果真要實行，可考慮以查「黑名單」方式依次計費，或藉由推廣公證業務收取簽證。

政府推動PKI應用擴大需求
從規畫台灣PKI產業的發展，政府就是最有力的推手，如何讓PKI導入更健全領域，相信是政府責無旁貸的工作。身為發展PKI計畫的政府執行機構的劉中道主任強調：「為了推廣PKI發展，除了舉辦會議進行研討，這兩年PKI辦公室輔助金額已達8000萬以上，去年申請輔助的60多家廠商，共有28家通過申請案，今年在41家廠商中也有14家獲得輔助，目的就是要透過補助企業方式，積極將PKI產業推展出去，同時也希望在不同的應用案例與模式中找到最適合的發展策略，終極目標還是建立一個信賴的網路環境支持電子商務的發展。」 PKI辦公室會秉持中立角色來輔導國內PKI廠商，未來更將加強PKI互通運用與國際合作層面。

至於其它廠商的看法，陳仁志則認為，5、6年前大家在談論PKI發展時，焦點都直指以色列、澳洲，而且每件PKI案子的金額都是以千萬計算，可是現在已經沒有這種前景了。台灣雖然只是2300萬人口的小島，只有將好的模式建立起來，如此才會賺錢。又說：「政府應該出面協調PKI廠商找出正確的遊戲規則，讓PKI廠商的定位能夠清楚，否則以目前網路消費僅需ID、Password的情況，那為何需要PKI使用呢？」

李立國表示：「政策推廣應該更新，也要加入更多的產、官、學來一起研討，相關配套措施也要擬定，最重要的是基礎要建立好。」對企業來說，政府也必須要求企業增加資安成本，來穩固安全，政府其實可以做很多事，但目前對於憑證中心和使用者的法律規範、政策面要持續宣導等動作都太慢，政策沒有統一標準。賴溪松也指出：「政府也要鼓勵系統廠商對要進行策略聯盟，因為各自為政將很難走下去。」

網際威信公司副總經理何鈺威強調：「只要求公平的市場競爭原則，希望財政部下轄單位要公平的把PKI市場開放，讓所有銀行、政府單位、企業都能有所選擇。」

最後，吳宗成教授強調：「PKI相關技術是中立的，不分進口或國產技術，只要是經過認證且可信賴的產品，都可以加以運用於各種應用系統中，政府應該鼓勵或協助具備國際競爭力的PKI廠商，將一些在台灣已儼然形成的PKI應用範例推展至世界舞台，開拓國際市場。」又說：「不同的產、官、學界可以跨平台合作，決不可單打獨鬥。」因為台灣原本就資源不足，需透過多方合作整合，才能凝聚能量。但目前台灣產業都只看到眼前的利益，廠商都會等到有案子之後才匆忙找人合作，這樣是無法形成有效的支援，以國外為例，企業都會提供給經費給學術單位做為研究資源。

後記
台灣PKI產業雖然存有許多問題，當中也隱含不同立場與自身生存因素的考量，但是經歷專訪不同廠商、學者、政府機構後，不難發現，廠商們對於PKI的發展其實都是非常關注的，更令人振奮的是，大家都有共識，有機會都願意坐下來談談台灣PKI的問題，希望把所有的問題都攤在桌上說，把遊戲規則講清楚，該往哪邊走？該扮演什麼角色？如何把標準建立清楚？相信只要大家有心，未來台灣PKI的發展將更為健全。