PKI的春天何時來？~電子商務、e-Taiwan要起來 有賴PKI打底

在看不見雙方的網路環境中要進行交易或資料的傳輸，該如何確保資料的安全性及雙方的身份辨識，成為安全的一大考驗。PKI(公開金鑰基礎建設)因為能對傳輸的資料做加解密，而確保了資料的完整性(Integrity)，達到了可信度(Confidentiality)；因為交易雙方可藉此對交易資訊做簽章及驗章的動作，而做到了交易雙方的身份確認(Authentication)及交易不可否認性(Non-repudiation)。在電子商務及數位台灣計劃中的多項e化計劃推動下，能完整確保線上安全機制的PKI開始備受矚目。
市場預估樂觀 廠商感受不到
根據資策會(MIC)的資通安全產業報告資料顯示，PKI相關產品在2001年的市場規模為一億六千二百萬元，2002年的市場規模成長至二億八百萬元，成長率為28.4%。預估到2005年，PKI市場將可成長至五億一千萬元，年複合成長率可達34.9%，佔所有資通安全產品市場的比例也可望由2002年的5.5%，成長至2005年的8.1%。

由於市場預估樂觀，再加上網上交易環境確實需要PKI機制來提供最強而有力的安全保護，因此近二、三年眾多廠商紛紛投入PKI市場中。PKI因著重在其應用，而需針對不同的需求、應用做客製化，因此成為資通安全產品市場中，國內自行投入研發廠商最多者。根據資策會的市場統計，約有13家國內廠商投入自行研發，而引進國內的外國知名品牌則有：Baltimore、Entrust、VeriSign、RSA等。

在市場一片看好聲中，多家國內業者自行研發投入，但在投入初期便遇上市場景氣低潮，使得投資廠商回收不易且緩慢；再加上PKI市場仍處於教育推廣期，民眾、企業對其需求、應用仍待強化。小小的一張餅要容納眾家廠商分食，造成有些廠商一開始大手筆的投入，在還未看到PKI真如預測起飛時，便資金耗盡，黯然退出市場。於2000年開始投入PKI市場的欣領航科技，其總經理盧郁中形容PKI市場這幾年是雷聲大雨點小，市場的發展並不如預期的樂觀。宏瞻資訊副總經理陸朝中亦表示，市場預測和實際狀況有蠻大的出入，最主要是出在PKI的「應用」問題上。

「應用」是關鍵 廠商費思量
陸朝中以網路銀行為例，線上交易的情形日多，但未必都需要使用到PKI，而對有些銀行業者而言，仍覺PKI不便宜，且不好用。因此即便是運用PKI最多、對安全需求最大的金融產業，問題仍是出在其「應用」到底為何，且好不好用。陸朝中同時點出這其間的難處，PKI因著重在應用，因此不同產業有不同的需求，差別極大。而問題就出在資訊廠商可能對產業的使用項目不夠了解，很難去替使用者設想；而使用端即使熟悉其使用項目，卻不懂得技術，看似兩者應可互補相成，但這也形成資訊廠商和產業應用間的距離。什麼樣的應用能協助使用者賺錢，是讓資訊廠商頭疼但也必需去設想的。 欣領航總經理盧郁中亦直指PKI的核心問題為如何使其生活化，必需要做到使用者根本沒有察覺。因為PKI是緣自於密碼學，對一般使用者而言，密碼與其並無關聯，因此使用者即便不了解PKI亦無妨，只要覺得使用容易且能保障安全就能讓使用者接受。資通電腦研發部經理吳建東便表示，由於以往的解決方案並不成熟，造成使用者對PKI有不易使用的印象，自然也影響了PKI的發展和推廣。吳建東認為目前PKI正進入第二代革命，要讓使用者覺得PKI容易上手，更具親和力。

市場待教育 政府應努力
要突破PKI目前面臨的兩大困境：「應用」還待開發及市場仍需教育，除了廠商自力救濟、積極開發相關應用外；教育市場的遠大使命，仍有待政府來著力。在挑戰2008國發計劃中的數位台灣(e-Taiwan)計劃中，資通安全扮演著重要的角色，警大林宜隆博士便強調︰e-Taiwan若要推動的話，資通安全最重要；資通安全沒做好的話，寧可不要e化。國家資通安全會報技術服務中心主任辜國隆在資通安全環境建置計劃中提到，國家的資通安全願景之一便是讓每個人可以安心運用網際網路進行各種交易或資訊傳輸；也由於國人普遍對網路安全存有疑慮，因此急需推動PKI基礎建設，以加速我國電子化政府與電子商務的發展。PKI的重要性在此顯露無遺，而針對此願景，政府也有相對應的目標和計劃。

其中，包括預訂今年四月上線的自然人憑證發放計劃，及建置營運我國及跨國的PKI互通機制。若說去年四月開始正式施行的電子簽章法為PKI業者帶來一線希望，今年四月要上線的自然人憑證便是相關業者的另一線曙光。自然人憑證標案由中華電信及台灣網路認證公司(以下簡稱台網)共同得標。雖然並非每家廠商皆能得利，但廠商皆看好因自然人憑證的發放讓民眾對PKI、憑證心裡有個譜，讓廠商在推廣PKI時能省些力。

台網總經理特助鄭文燦認為，推動e政府，由自然人憑證帶頭是很好的開始，而台網在此標案中便是扮演著維繫此基礎建設營運的角色。資通電腦研發部經理吳建東亦表示，當國民手上有一張IC卡的時候，也會對PKI更有概念，PKI就有成長的機會。訂在四月上線的自然人憑證，是採非強制性也就是使用者付費的方式，因此民眾需自行吸收IC卡及讀卡機的費用，中華電信表示會控制在七、八百塊之內，讓民眾易於接受。在五月的報稅季節來臨時，民眾就可憑此憑證上網報稅，除了報稅外，尚有電子公路監控、電子公商、電子保健、電子公用事業服務等應用急待開發，唯有提供更多的便民服務誘因，才能吸引民眾使用。

政府將PKI視為e化的基礎建設，許多政府服務會由以往的臨櫃辦理，轉而藉由政府入口網站讓民眾在家上網就可處理；政府內部的公文流程、簽核，也可藉由PKI的安全保障，在線上傳遞，達到無紙化(paperless)的效益。除了政府的推動外，積極推廣網路銀行各項應用的金融單位，因為對安全的高度需求，是目前PKI市場的另一大用戶。

金融最重安全 廠商積極擁抱
宏瞻資訊在去年針對公司營運重心做了調整，將其目標市場鎖定為金融業。宏瞻副總經理陸朝中表示，因為銀行客戶對安全的需求較高，使用的意願也較強。因此針對金融市場的需求，宏瞻提供金融端末系統、貨幣市場的票債券管理系統、安控管理系統，並結合硬體智慧卡，提供金融機構高安全保障。

去年下半年推出i-Security產品的網際威信，亦是將金融機構視為其頭號客戶目標。網際威信產品市場處協理杜宏毅表示，金融業為PKI最大的使用單位，金融業花在安全的預算也較高。網際威信的PKI團隊花了一年多時間，針對金融業常用到的業務應用和PKI做結合，並符合銀行公會的FXML資料交換格式，而研發出i-Security產品，未來其它的應用產品都可根基於此架構而達到安全保障。杜宏毅表示，初期先開發銀行的支付系統，而融資系統是今年的研發重心，包括應收帳款融資、應收帳款承購等。

去年底發表u-PKI解決方案的資通電腦，則是由過往擅長的ERP、CRM系統跨足到安全領域。資通電腦研發部經理吳建東強調，資通做的是PKI-enable，可以針對客戶的需求，跨不同的卡片、憑證，和不同的應用軟體快速結合，真正把PKI應用出來。u-PKI定位為middleware產品，吳建東表示，這樣才能跨所有領域，做不同的應用。

軟體加硬體 網路加實體 安全最高級
目前台灣PKI市場不大，但廠商不少，不過各家廠商的專注領域略有不同，有些專注底層元件的開發，有些著重在結合應用、有的以憑證服務為主。不過PKI需結合應用，並和硬體如智慧卡、Token做結合是許多廠商共同努力的方向。

欣領航便針對企業推出結合了實體門禁、資訊入口網站、網路安控的三合一解決方案。欣領航總經理盧郁中表示，雖然政府、金融是目前PKI主要的使用單位，但能夠導入中小企業，才有更大的市場和獲利來源。因此必需針對企業找出其誘因，譬如結合實體門禁，讓PKI成為一附屬價值。盧郁中指出，50萬以內包含軟硬體的解決方案才較能被中小企業接受。

針對企業內部的PKI應用，企業可將其運用在虛擬私有網路(VPN)、電子郵件安全、及企業入口網站(EIP)等網路應用，做為員工的權限控管工具。宏碁資訊整合事業處設有一資訊安全整合部，去年年中代理了新加坡商i-Sprint的權限控管系統，員工可經由單一登錄(Single Sign-On)，便可從各跨平台業務應用軟體及系統存取資訊，也就是員工無需記一堆密碼；藉由一次登錄、身份辨識後，便依不同的權限而能讀取、存取不同資訊。宏碁資訊整合事業處資訊安全整合部產品技術顧問蔣興志表示，目前公司內部亦率先採用，不過憑證仍是儲存在硬碟或磁片中，若改為IC卡或Token成本仍然過高。

憑證若存放在硬碟或磁片中，仍有被盜被拷貝的疑慮，宏瞻副總陸朝中表示，PKI要和智慧卡結合，更能看出其效益。不過其導入成本不低，資通電腦研發部經理吳建東認為，公司內部有100人以上，或是和上下游客戶加總起來超過百人，才具有一定的規模，適合導入；不過較小規模的公司，若是跨兩岸三地、或對安全需求較高，也值得評估。

企業要導入PKI，除了需先評估自身的需求、應用何在，導入的成本及時間都在衡量之列。為了縮短導入的時間，如何讓必需要客製化的PKI應用更快導入，是廠商目前努力的方向。網際威信產品市場處協理杜宏毅以台積電製程為例，表示晶圓製程都一樣，但能針客戶需求客製化，這也正是網際威信PKI的發展方向。宏瞻副總陸朝中亦提到，目前其銀行客戶導入約需半年至一年的時間，正著手將客製化的時程縮短，也就是加快導入的時間。

春天總會到來 PKI業者期待 擁有客製化的彈性，卻還能兼顧產品化的速度，讓使用者覺得好用又安全，甚至感受不到PKI的存在，是眾家PKI廠商的終極目標，亦是PKI真正成熟的時候。

僅管PKI的春天看似未到，不過在政府、金融的帶頭領軍下，廠商皆看好明年企業市場會起來。網際威信產品市場處協理杜宏毅便提到，希望藉由C計劃的銀行客戶和企業端間接。台網總經理特助鄭宏璨也指出，台灣的市場胃納量小，不要因為幾家業者的倒閉，就認為市場不會起來。PKI的春天究竟何時會來？套句欣領航總經理盧郁中所說的：當媒體對PKI議題都已不感興趣的時候，就是PKI市場真正成熟的時刻了。 PKI(Public Key Infrastructure)公開金鑰基礎建設是以公開金鑰密碼學技術為基礎而衍生的架構，在電子訊息傳遞與交換過程中，提供訊息的身分鑑別（Authentication）、資料完整（Integrity）、不可否認性（Non Repudiation）與保密性（Confidentiality）等資訊安全四大需求功能。

PKI包含了一支公開金鑰與一支私密金鑰；前者公諸於大眾，而後者由使用者持有保管。這一對金鑰是具相對應關係的數位密碼，其中一把對訊息進行加密後進行訊息傳輸，使傳輸過程中訊息本身無法輕易由非收取者解讀；另一支金鑰則作為解密用途，以獲得原始訊息內容。依安全程度不同，目前私密金鑰儲存型態或方式有：電腦軟硬碟、加密運算卡、智慧卡（Smart Card）或Token等元件。 PKI架構中包含了憑證機構（Certificate Authority, CA）、註冊中心（Register Authority, RA）、目錄服務（Directory Service, DS）伺服器等；其運作流程可簡述為：
1. 由 RA 統籌、審核使用者的憑證申請
2. 將憑證申請送至CA處理
3. 由CA發出憑證，並將發出憑證資 訊公告於DS中。
4. 憑證就像是個人護照，代表申請使用者的電子身分辨別證件，其內容包括了憑證序號、使用者名稱、公開金鑰以及有效期限等資訊。

(資料提供：NII產業發展協進會/PKI中華台北推動委員會)

資安人的叮嚀…
美商凱創系統台灣區總經理 林吳極：
國家應多培養從事資訊安全的人才。
美商凱創系統技術協理 鄭可強：
有了好的工具，還要懂得善用才行。
IBM資訊服務部協理 陳長榮：
資訊安全預算應佔IT預算的1/10~1/15。
敦陽科技行銷協理 劉守元：
國內企業可參考國外設置資訊長，統籌資安管理工作。
數位聯合電信公司產品經理 邱吳進琪：
資料外流常因員工不小心，所以應加強員工資安教育。
騰蒙科技市場行銷經理 楊厚仁：
資訊安全的漏洞太容易產生了，因此政策很重要。真正非常重要的資料一定是在獨立、封閉的環境內。