https://www.informationsecurity.com.tw/seminar/2024_Business/
https://www.informationsecurity.com.tw/seminar/2024_Business/

觀點

憑證「第三者」 信任是基礎

2011 / 06 / 03
邱詩琁
憑證「第三者」  信任是基礎

90年11月14日由總統府公告,自91年4月1日正式施行的電子簽章法,讓電子簽章有法源依據,也讓相關的憑證機構有法可循,從電子簽章法第十一條至第十五條,便明訂了憑證機構應製作及公布其憑證實務作業基準、及相關的罰則、終止服務措施、賠償義務等。並且在「憑證實務作業基準應載明事項」中針對憑證機構的營運規範,技術性、非技術性安全控管等事項做了明確之規定。

電子簽章法實施預料會帶動PKI的應用及認證市場的成長,在資策會我國資通安全產業發展趨勢報告中便指出,認證服務市場2002年的市場規模為新台幣一億2,900萬元,較2001年的9,100萬元,成長了41.76%,預估至2005年會成長至3億五千四百萬元,其年複合成長率達到40%,次於專業服務的43.7%。

報告中將認證服務的市場區分為:身份認證、交易認證、及企業信任標章認證等服務。目前認證服務市場中,主要經營者為行政院研考會委由中華電信所建置的政府憑證管理中心(Government Certification Authority,簡稱GCA)、台灣網路認證、網際威信與博訊科技等,關貿網路則是負責通關自動化關稅轉帳業務認證中心。

角色特殊  「信任」為首

而認證服務業者所採取的技術與規格是否符合適當的安全程度標準?及運作程序是否足以保障使用大眾?由於認證服務機構扮演著可信賴第三者(Trust Third Party)的角色,因此如何贏得民眾的信任最為重要。普華資安專案經理李凱文認為,在此方面,有政府、金融背景的台灣網路認證公司確有其優勢,而中華電信是受行政院研考會所委託,亦相當於政府的角色。欣領航總經理盧郁中也表示,帶有官方色彩,本來就較能讓民眾相信。

行政院研考會資訊管理處副處長何全德則認為,憑證機構角色不同於一般的商業機構,「信任」確實最為重要,但未必非要具官方色彩才能獲得民眾的信任。而民營業者要如何獲得民眾信賴?何全德表示,業者若是通過世界知名稽核機構的認證,如獲得ISO認證等,都是證明其可信賴、安全的表徵。國外知名憑證機構VeriSign的在台合作夥伴網際威信便表示,其在香港的機房便由世界知名會計公司KPMG做稽核,且通過香港政府的嚴格審查。

小字典:電子簽章法第十一條
憑證機構應製作憑證實務作業基準,載明憑證機構經營或提供認證服務之相關作業程序,送經主管機關核定後,並將其公布在憑證機構設立之公開網站供公眾查詢,始得對外提供簽發憑證服務。其憑證實務作業基準變更時,亦同。憑證實務作業基準應載明事項如下:
一、足以影響憑證機構所簽發憑證之可靠性或其業務執行之重要資訊。
二、憑證機構逕行廢止憑證之事由。
三、驗證憑證內容相關資料之留存。
四、保護當事人個人資料之方法及程序。
五、其他經主管機關訂定之重要事項。
本法施行前,憑證機構已進行簽發憑證服務者,應於本法施行後六個月內,將憑證實務作業基準送交主管機關核定。但主管機關未完成核定前,其仍得繼續對外提供簽發憑證服務。

要營運一個認證服務機構,除了基本的軟硬體機房設備外,還有相關的營運規劃、制度,如憑證的作業流程等。台灣網路認證總經理特助鄭文燦便表示,憑證機構的門檻相當高,包括機房的作業管理、金鑰生命週期管理、憑證生命週期管理等,都必需按照資訊安全的作業準則,並符合國際通用的安全標準。

機房問題  掀起風波

同樣肇因於安全、信任的問題,前陣子認證機構機房是否應置於國內引起了一陣討論。台網方面的看法為,欲提供金融認證服務的憑證機構應在我國境內設置本土機房,以保障金融交易的安全,若將憑證資料置於國外機房,所在地政府可藉由其管轄權力而取得資料。

在國內並未擁有機房的網際威信,則表示在網路無疆界的概念下,機房設在何處並不重要,最重要的是機房的安全性,是否符合標準、通過稽核。不過網際威信亦允諾既然銀行公會開出兩年內在國內建置機房的要求,網際威信亦會遵照辦理。網際威信大中華區行銷企劃協理李秋萍表示,銀行公會開出兩年期限便代表著希望有不同廠商加入金融UCA之列,兩年時間已是綽綽有餘,若不包括規劃時間,從機房建置到測試時間大概為半年。

網際威信產品市場處協理杜宏毅建議,憑證機構之角色特殊,應將政策擬定和營運執行明確劃開,由國家控制,但對其產業發展不應過度保護,就如同電信、石油產業一般。

民眾辦憑證  誘因需豐富

預訂四月份上線的自然人憑證,為推動電子化政府建立網路安全的認證基礎。其目標為三年三百萬張,讓民眾自願申辦,因此採使用者付費,民眾需自行負擔卡片及讀卡機的費用。普華資安專案經理李凱文表示,去年網路報稅人口約為37萬,政府必需多提供誘因,否則三年三百萬的目標,確實有些困難。

負責自然人憑證營運及行銷的台網,其總經理特助鄭文燦表示,行銷的門檻確實很高,要推動民眾自願申辦,除了報稅外,必需要有更多的應用作為誘因,且使用介面需友善。去年網路報稅成效不彰,民眾不易了解、使用是主要原因。中華電信表示除了報繳稅外,目前尚有中華電信通話明細、查詢公路監理資訊等相關應用。商業司亦將針對此研擬更多的應用,達到一千五百項應用的目標。

小字典:什麼是公開金鑰憑證?

公開金鑰憑證(簡稱憑證),為一經由憑證管理中心認證之公開金鑰。此憑證內容包括:憑證序號、用戶名稱、公開金鑰、憑證有效期限及憑證管理中心之數位簽章等。憑證管理中心經必要流程,驗證申請者之身分與其公開金鑰後,發給此憑證作為其公開金鑰之有效證明依據。

普華資安專案經理李凱文將憑證和應用比喻為媽媽牽女兒的密切關係。必需要應用夠多、夠便民,才能吸引民眾申辦,也才能帶起憑證的數量。李凱文同時也指出,賣憑證並沒有太多的利潤,因應用大而帶來的憑證量或是抽取應用的手續費才是較大的獲利所在。

憑證待推廣  業者需自強

除了自然人憑證上線外,台網亦於去年獲銀行公會委託擔任台灣金融最高憑證管理中心(Taiwan Financial Root CA;TFCA),台網表示,當初為了投入此標案花了許多相關的軟硬體費用,可以說是賠錢在做。而C計劃九家銀行憑證互通後,台網總經理特助鄭文燦預期網路銀行會有一波的成長,今年會看到其效益。鄭文燦同時表示今年可謂網路下單的決戰年,證券、期貨會有極大的成長。

在市場還待推廣、憑證獲利亦不豐的情況下,認證廠商的營收重心自然另有所指。網際威信大中華區公關企劃處協理李秋萍表示,憑證部份佔其總營收不到30%,網際威信的其它營收來自於電子付款與電子帳務服務、金融電子化系統服務、應用平台服務等相關業務。並針對憑證大戶金融單位推出電子票據系統 (eChecX)、金融XML全球收付款系統(FXML Payment)、金融XML交易平台(FinaX Server)、應收帳款承購系統 (Factoring)等應用。

而台網去年的一半營收來自於憑證收入,一半為憑證應用軟硬體的收入。台網總經理特助鄭文燦表示,今年預估憑證收入會佔總營收的1/4,其他的3/4來自於相關的軟硬體。網路下單憑證的增多會是憑證收入提升的主要來源;另外,由於政府推動電子公文,會帶出相關軟硬體建置需求。

目前因電子公文交換的推動,許多公家機關、單位已導入憑證並將其存放在IC卡中,是否好用?行政院研考會資訊管理處副處長何全德覺得,沒有好用不好用的問題,每天都需使用,自然就會上手。再看看上線前風波不斷的悠遊卡,上線後迅速突破百萬張,看來如何找到民眾非用不可、多使用自然就會上手的「應用」,政府單位、相關業者不妨多花些巧思、多來點創意。

小字典:什麼是憑證管理中心?

憑證管理中心(Certification Authority,CA)為具公信力第三者(Trusted Third Party) ,對個人及機關團體提供認證及憑證簽發管理等服務,以建立具有機密性(Confidentiality)、鑑別(Authentication)、完整性(Integrity)、不可否認性(Non-repudiation)、接取控制(Access control)及可用性(Availability)的資訊通信安全環境與機制。在建置營運憑證管理中心時,須依憑證管理中心之營運政策及策略,制訂憑證政策(Certification Policy,CP)與憑證實作準則(Certificate Practice Statement,CPS) ,規範其運作規定與作法,一方面讓用戶瞭解在使用上的作業規定,另一方面則藉此表明其在安全及公證性上的信賴度。