觀點

PKI應用Step by Step

2004 / 10 / 06
劉中道
PKI應用Step by Step

PKI是什麼?
PKI代表Public Key Infrastructure,公開金鑰基礎架構,公開金鑰(Public Key)是一種非對稱式的加解密技術,這個技術的特性使得在網路上建立身分識別變成可能。那PKI中的“I”基礎建設(Infrastructure)又是哪一檔子事呢?它所代表的是一個完整的管理架構,作業標準,技術標準與法制環境,因而衍生了大家所熟知的CA(Certificate Authority)—憑證管理中心,RA(Registration Authroity)—註冊中心,以及PKCS系列技術標準以及法規建設,像電子簽章法等。

憑證與簽章
如果講印鑑與印鑑證明,大家就立即可以明瞭其間的關係,PKI中那一對金鑰就好像實體印鑑一樣,是隨處可以產製的,為了證明金鑰與某人或某公司的關係,必須要有一個具有公信力的單位來發行證明(數位憑證),也就是印鑑證明一樣的連結您與該金鑰對應的關係,以及未來應用該金鑰對簽署電子文件的驗證基礎。

因此,在應用電子簽章的過程中,必須要驗證憑證是否是由具有公信力或您所信賴、知悉的憑證管理中心所核發,同時檢查其效期,以及黑名單等。

一個完整的驗證過程必須要被準確的執行,企業與個人都應該要確認整個簽章,驗證甚至文件包裝的程序是嚴謹完全的;您應該跟您的系統整合商、PKI解決方案提供商,以及對個人來說,要跟您的服務提供商詳細討論或透過閱讀以了解PKI應用建制過程及在此應用下的責任與義務,來確保您的電子商務或網路服務得到PKI應發揮的功能與保障。

我的公司需要PKI嗎?
我們可以從PKI的重要特性來想想,PKI的四個特性包含不可否認(non-repudiation)、資料完整性(Integrity)、資料機密性(Confidentiality )以及認證(Authentication),您的企業資訊與相關網路服務應用如果有以上需求,基本上,PKI就是一個強而有效的解決方案。

電子商務,包含各式網路交易、公司內外的電子化工作流程、重要系統的登入管理,甚至於個人電腦設備資料的管理,都有一個很重要的作業項目,就是「確定您是誰」—確定您在登入系統後的動作是您作的,沒有這一個動作的完成與保證,這些應用通通都動彈不得;或者是,您願意暴露在較高的風險以及接受糾紛處理的成本以及損失。

PKI在上述的應用中並不是唯一的解決方案,但卻是一個目前最強、最有效且被廣為驗證與採用的機制。有了PKI,解決原來紙本簽核,簽章的問題,使得您公司的電子工作流程不再是兩段式;有了PKI來解決身分認證問題,讓使用者跟銀行間的網路付款相關業務,或公司間的電子採購都變得可行。可以預見,未來不但B2B的網路應用與連結會更有效率,一般大眾網路上的電子消費也會因此信賴機制的廣泛使用而蓬勃發展。

所以,PKI的價值該如何考量?您心中應該有新的認識,想像電影回到未來的畫面,沒有一個強有力的方案來解決信賴的問題,電子商務、政府的電子化服務,通通都會消失。目前來說,就是PKI了,PKI是啟動這些網路應用的關鍵。

我該選用誰的憑證服務還是自建?
回到前面“PKI是什麼?”,我們特別提到了管理架構,一個值得信賴的憑證服務需要完善的憑證政策、作業標準和嚴格的管理。包含機房的安全、人員的管控、資料的安全,您可以參照 經濟部於民國91年1月25日發佈的「憑證實務作業基準應載明事項」中看到相關的營運規範與安全控管規定,這些在憑證中心營運上反映出的是相當高的成本。話題轉回到使用的企業,您可以衡量您規劃的PKI使用位置,其所擔負的風險及成本來決定您在憑證服務的採用方式。

當然,您的應用模式,與既有的上下游間的系統整合與協調、或公司內的相關資訊規格也是一個重要的考量環節。

無論如何,一個完善、有系統的憑證管理是PKI建置與應用成功的關鍵因素。所以無論是自建或使用其他憑證中心的服務,您都應該確認這一點。

關於已經得到經濟部審核通過的憑證中心,您可以拜訪下面網址取得最新資訊︰ http://www.moea.gov.tw/~meco/doc/ndoc/s5_p07_p03.htm

系統的擴充性
您的服務未來有可能信賴一個以上的憑證管理中心所核發的憑證,因此,在簽章以及認驗證的程序上應採用標準的憑證鏈建構及驗證方式,ITU-T X.509:2000/ ISO/IEC 9594-8:2001(含)以上及PKIX Certificate and CRL Profile (IETF RFC 3280或更新版),可以讓您在對應不同的憑證管理中心時,保有良好的擴充性,而且無須重複的花費在憑證相關的系統整合上。

BCA是什麼?
BCA是Bridge Certificate Authority的縮寫,也就是一般所說的橋接憑證中心,它是不同的憑證領域溝通的方式之一。延續上節,為了因應各式網路服務或應用在未來會與一個以上的憑證中心的往來,以及跨國電子商務服務的需求,經濟部建置了橋接管理中心BCA,以溝通不同PKI領域,只要您的建置是符合上述的標準,您就可以很快透過BCA機制來接受不同憑證中心的憑證,不過,前提是您信賴的憑證中心必須加入BCA。

詳閱憑證政策以及作業基準
無論是企業選擇憑證服務者或是個人應用者在網路上收到憑證的同時,都必須仔細審視憑證機構的憑證政策及其作業基準 ,以了解憑證機構對於簽發憑證所採行之立場與程序,也藉此對憑證機構有所了解,進而選擇是否信賴該憑證內容。所以,憑證機構的信賴性基礎,除了企業形象外,最主要的就是憑證政策與作業基準的相關說明內容,這也是消費者必須仔細審閱比較的地方。

您必須注意憑證政策或憑證實務作業基準所規範的憑證使用範圍,因為依據電子簽章法的規定,如果憑證的應用逾越憑證的使用範圍,憑證機構將不負賠償責任。在一些情形下,如法令規定應簽名或蓋章,如擬以數位簽章來代替簽名或蓋章,該數位簽章必須由憑證機構簽發憑證,而且憑證必須在有效期內及未逾越憑證的使用範圍,否則將無法發生法律效力。

憑證載具的選擇

憑證的載具,包含一般的磁片、光碟片、晶片卡以及USB形式的儲存裝置等,也有直接放置於硬碟上或瀏覽器內建功能的。

各有其優缺點,要考慮的則包含該載具是否有產製金鑰的功能及是否有RSA計算能力,以確保金鑰的產生與簽章的過程中,私鑰不必離開該裝置,不會被竊取;再來是該載具是否容易被複製;像一般磁片,光碟以及硬碟中的資料都可以被輕易的複製,增加憑證在使用者端管理上的困難,換句話說,便是增加了整個憑證使用過程的可能風險缺口。

舉例來說,政府憑證體系包含「自然人憑證」與「工商管理憑證」都是使用RSA晶片卡,金鑰的產製與簽章都在卡片上完成,而且不易複製。這樣的憑證載具就具備了相當高的安全等級,同時使用者的安全管理會比較容易。

一個完整安全的PKI是從頭到尾每一個環節都要妥善管理的,無論是憑證管理端、應用系統驗證或是使用者端出了問題,在整個電子商務過程中都會發生損失,而這是電子商務與網路服務一直急欲避免的。因此,在PKI中的每一個角色都應該負起嚴謹的管理責任。

總而言之,不同的載具有不同的成本,您可以根據您的需求、業務風險和未來的系統之擴充考量來決定載具的形式。

電子簽章法使得PKI在電子商務的應用上有法可據

電子商務活動應用PKI究竟有什麼樣的法律保障?業者提供PKI憑證服務應該受到什麼規範?這些基礎環境架構上的議題,就是要透過電子簽章法塑造法治環境,以提供更具信賴性與法律保障的電子商務環境。

基本上,電子簽章法除了讓電子文件更明確取得法律地位外,也讓電子簽章的簽名或蓋章之法律關係獲得釐清,也就是企業在應用電子文件之際,必須徵得對方同意,始得作為雙方傳遞訊息的工具,在電子文件上簽署電子簽章將能取代法律規定書面形式之要求;此外,針對法律規定應簽名或蓋章的法律行為,也可以利用電子簽章來完成。因此,企業在應用電子文件或電子簽章之際,將獲得一定程度的法律保障,並取得法律效力。

至於規範憑證服務業者,也是電子簽章法的要角。為了讓電子簽章的持有人有身分證明,在憑證機構確認電子簽章持有人身分真實性後,即由憑證機構簽發憑證予電子簽章持有人,藉以讓電子簽章持有人可以向網路交易的相對人出示憑證,以讓相對人信賴電子簽章持有人的身分真實性。為了讓網路交易的相對人信賴憑證機構簽發的憑證具有信賴基礎,電子簽章法規範憑證機構必須將簽發憑證的作業基準(CPS)送主管機關審核並公佈查詢,目的就是希望憑證機構的憑證讓網路交易的相對人有信賴基礎,讓其能安心信賴憑證所記載的身分,以此建立網路交易的信賴鏈。

關於電子簽章法,您可以拜訪推動電子簽章法計畫網站http://www.esign.org.tw/default.asp
以獲取更多的資訊與協助。

結語

應用系統結合PKI的機制除圓滿了網路世界缺乏信賴性的缺憾外,事實上也克服了許多網路服務因為缺乏信賴機制而不能大力推廣使用的障礙,同時也間接的提升了網路應該帶來的效益提升。

我所看到的PKI,是開啟通往美麗的網路世界的金鑰,使得人們可以安心的享受網路帶來的便利與更美好的生活。

上面提到的幾項議題是多數企業在思考PKI應用時會遇到的,希望對正在考慮建置的企業能有所幫助,同時對於已經建置的企業能夠提供一個檢視的機會。 您也可以與經濟部PKI互通管理及推動計畫辦公室聯絡,就PKI相關的問題作進一部的諮詢與討論。

本文作者劉中道
任職於PKI互通管理及推動計畫辦公室主任