https://www.informationsecurity.com.tw/seminar/2025_Digicentre/
https://secutech.tw.messefrankfurt.com/taipei/zh-tw/programme-events/AIoT_SecurityForum.html

觀點

多用途憑證應用PKI發展添動力

2005 / 01 / 31
徐國祥
多用途憑證應用PKI發展添動力

PKI重點在應用不在infrastructure
大家都知道台灣PKI的發展有許多問題,但究竟有哪些根本的問題呢?除了台灣網路認證公司總經理陳鴻榮提及:「政府應該扮演PKI的Infrastructure和安全把關者角色,而不是去主導CA,所以只需強化PKI的安控系統和黑名單即可…。」至於另一關鍵問題就是現在憑證應用的推廣不足,如申請自然人憑證只能用在報稅(對使用者而言可能一年只用一次),如果以這樣的使用效果來說,怎能刺激消費者的使用,所以政府在推動全面e化的過程中,必須強化PKI應用的效用,否則不論如何積極推廣PKI,在沒有足夠應用層面的情況下,將無法提高使用PKI的願意。

台灣網路認證公司協理陳俊秀也提出另一種觀點,雖然政府積極推動PKI的使用,卻仍無法引起消費者注意,其根本原因在於消費者對於PKI的認知不清楚,當然也要歸究於PKI應用不足,大家都只知道網路交易非常不安全,可是又不知有何其他管道來保障自身安全,所以必須持續推動PKI應用做為使用動力,且藉由教育宣導讓使用者可以更明瞭PKI的功用,否則如果民眾不明瞭何謂PKI機制,又怎能期待PKI的發展呢?

掌握趨勢讓PKI發展充滿機會
既然台灣PKI的發展有隱藏問題,又該有何相關配做法套來解決呢?這也將觸動2005年台灣PKI的發展趨勢,可由以下陳俊秀的談話來略知一二。 一、強化PKI憑證應用是首要的工作, 2005年台灣PKI市場必須增加憑證應用,在原本憑證用途裡增加其它用途,如同陳鴻榮強調,目前網路購物有所謂B2B、B2C、C2C等三類,B2C是要由C使用憑證進來購買商品,至於C2C則是要由兩個C使用憑證進來購買商品,但如何要求兩個C使用憑證?舊有系統仍需運行,而新系統則可加入安全機制,更可確保消費者的權利,當然業者可採折扣方式促銷,只要有些許利潤就能降低成本,如此就能逐步鼓勵轉換成新系統;又如陳鴻榮提及,韓國去年大約有13%金融憑證兼做網路購物,金額大約是150億元,其成功最主要的原因就是憑證加值應用。可見PKI的應用是充滿商機的,台灣必須朝此趨勢前進,而應用層面就可由網路報稅開始。

二、從PKI技術的觀點來看,隨著網路交易情況日漸普及,交易管道也將變多,相對的載具的使用勢必要更符合使用者的便利要求,所以未來PKI的載具將更多元化,除了硬碟、磁碟片、IC卡等傳統載具外,以目前人手一機的情況下,新型態手機功能與PKI結合將是一大趨勢,當然研發更多PKI載具也將成為未來潮流。

三、過去銀行之間的文件交往多會利用傳真方式,但由於資料較為機密,因此逐漸改採相關軟體進行加解密的文件傳送,可是過程仍常出現安全問題,陳鴻榮強調:「台灣PKI應用技術在亞洲可說屬一、二的,但在相關法令不足情況下已阻礙PKI發展,如網路銀行的業務方面,台灣規定五萬元以上才需使用憑證,而韓國不論金額都要使用憑證,就連查詢網路資料都要憑證,而台灣金融資料最多半只用ID、Password,導致容易遭到破解,相較之下就可以看出韓國對安全重視的程度。」對此,PKI發展趨勢也可朝此方向推廣,尤其目前大企業多有分公司的情況下,相互之間的資料傳輸如能採用較具保障的PKI機制,就能更確保資料的安全。

四、面對國際競爭的壓力,台灣PKI發展也需加快國際化腳步,如APEC下轄的PAA(泛亞電子商務聯盟)將於2006年推出新版本的巴賽爾協定特別針對金融資訊羅列安全規定,這將牽涉到PKI層面,所以世界各國都加速這方面訊息的交換。目前台灣許多銀行已進行整併,可是在未合併前,每家銀行都存有各自的安全機制,但一經整併,由於系統不同往往產生許多安全的問題,此時PKI機制就可扮演極佳的整合角色,所以PKI將成為整合銀行不同系統的首要選擇。

後記
陳俊秀重申,除了推廣PKI的使用認知,PKI的整合與應用也將成為未來的必然趨勢,才不致造成僅有少數企業和購物網站使用PKI的應用而已。或許推展PKI的契機可從金融憑證著手,因為民眾與銀行的接觸較為頻繁,而民眾使用PKI絕對不會只針對安全看待PKI使用,更重要的是以方便使用的觀點出發,若能逐步擴增金融憑證的應用層面,不失為拉大台灣PKI應用的層面。