https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

一張憑證行遍網路世界

2003 / 01 / 20
一張憑證行遍網路世界

文/邱詩琁

目前用戶在線上使用網路銀行的各種交易時,可能會遇到一個問題,不同的銀行發給你不同的憑證,不同的銀行業務可能還用不一樣的憑證,因此即便網路銀行提供隨時隨地24小時的便利服務,卻帶了來了管理一堆憑證的困擾。憑證間要如何互通,如何做到一個憑證行遍各家網路銀行,關係著網路銀行是否真正便民,也影響了網路銀行的發展前景。
金融PKI架構



放大圖


為了解決憑證互通的問題,中華民國銀行公會(簡稱銀行公會)分別制定了「金融機構辦理電子銀行業務安全控管作業基準」、「金融憑證共通性規範」及「金融評證載具共通性技術規範」做為憑證互通的參考依據。

而為了使負責發放憑證的認證機構CA(Certificate Authentication)所發的憑證能夠互通,銀行公會採用階層式的架構(註一),將各金融機構所核發的憑證整合到單一金融最高憑證管理機構之下;並於今年4月通過委由台灣網路認證公司(以下簡稱台網)擔任此金融最高層憑證管理機構(Taiwan Financial RootCA,簡稱TFCA),以建立金融PKI認證架構。
(PT):圖一

金融PKI架構的最上層為憑證政策管理組織PMA (Policy Management Authority),負責欲加入成為UCA(User CA)認證單位的資格擬定及審核,目前由銀行公會另外成立一工作小組負責;而台灣金融最高憑證管理機構(Taiwan Financial Root CA,TFCA)及台灣金融政策憑證機構(Taiwan Financial Policy CA,TFPCA)則是由台網擔任,協助銀行公會整合PKI的政策擬定,及相關憑證的簽發及管理金融交易的安控需求。

因此,在此架構底下,PMA將負責申請成為UCA者的資格審核,若其申請書送審通過,便可與負責技術面的台網相互測試,若互通成功,便可成為UCA;而擔任RA角色者,即為發給線上交易使用者憑證的金融機構。因為能擔任UCA者代表其和TFCA憑證能夠互通,因此也就代表各家UCA所發的憑證能夠互通,所以網路銀行使用者只要申請一張憑證便可以跨行使用。

而目前銀行公會所訂的憑證互通時程是計劃明年2001年1月1日經濟部金流C(Cash)計劃的九家銀行廠商能率先達成憑證互通;其餘有建置網路銀行之會員銀行則於2003年底上線;其他其銀行公會的會員銀行則接續於2004年底要完成互通。




註一:

PKI架構可分為階層式架構、網狀式架構及混合式架構,各種架構自成一個信賴領域,每一個信賴領域由一個政策管理機構及數個CA所組成,政策管理機構負責制訂該領域之憑證政策(Certificate Policy,CP),並監督及審查所有憑證機構之安全與運作。所有領域內之CA均遵循該憑證政策,制定個別憑證實務作業基準(Certification Practice Statement,CPS),公示於網站上,作為該CA之營運方針。憑證政策包括憑證之適用範圍、管理規範、技術規範、以及安全需求等。(資料來源:2001中華民國電子商務年鑑)



目前作業進度
負責擔任TFCA的台網,本身亦是UCA的角色,台網業務部產品企劃處副理陳韻如表示,目前TFCA及UCA的互通技術已經測試通過,只要PMA將審核作業標準發佈,台網即會立即遞件,因此台網有可能成為金融PKI架構下的第一家獲銀行公會認可的UCA。


台網同時身兼TFCA及UCA的角色,難免另外界有球員兼裁判的疑慮,針對這點,陳韻如表示,在此認證架構底下,台網主要是負責技術方面的測試互通,可以說是銀行公會將技術部份委外交由他們處理,台網也是經過銀行公會的審核才能獲此標案而擔任TFCA;而規範UCA應具備的資格等審查內容都是由PMA主導,要成為UCA需先經過PMA審查相關文件通過,才會
交由台網來做技術方面的測試。


目前PMA會在12月初將相關的組織規章送交銀行公會審核,針對UCA的申請資格仍然在做更細部的討論。網際威信副總何鈺威表示,網際威信目前的技術和送交文件都已齊備,只要PMA開放申請,網際威信有信心成為另一家UCA。目前這兩家民間最大的認證機構,都表示技術方面不是問題,只等相關的規章、政策出爐,即可協助銀行客戶達到跨行憑證的互通。

和國際接軌




放大圖


國內金融PKI架構的建立,為同一領域間的憑證互通提供了參考的範例,下一步便要走向讓跨領域及跨國憑證得以互通,才能加速我國與國際間金流、貿易的往來,加速和國際接軌。

目前電子簽章法之主管機關正委託相關單位進行「我國公開金鑰認證體系管理與整合之研究」研究案,其中對於跨國憑證機構之交互認證機制建議採用橋接式憑證中心(Bridge CA,BCA)的方式來達到互通的目的;並藉由BCA提供國內外憑證機構交互認證服務,以解決不同體系憑證機構之間憑證政策與技術互通的問題;此專案計劃目前委由工研院電通所負責研擬規劃。

工研院電通所負責訂定BCA互通規範、BCA憑證政策、BCA憑證實務作業原則、BCA系統功能及軟硬體需求、BCA系統建置之招標文件及BCA營運計劃書等。並訂於12月20日將此份規劃書送交經濟部商業司審核,審核通過再發標給認證公司,進入建置階段。

該計劃的預期效益是希望藉此計劃讓台灣的電子憑證在兩年內突破兩百萬;在開始建置後一年內,最少與一家國外憑證機構完成互通測試,並讓參與互通機制之憑證總數達到40萬張之以上。

目前憑證互通的現況,在技術上並沒有太大的困難,且相關的學會、團體也藉由國際研討會了解他國建置經驗,並和其他國家做測試互通,如11月中在台北舉行的第二屆Asia PKI Forum,便有來自多國的PKI專家組成工作小組,針對跨國技術互通舉行工作會議。但在相關的法規及政策的研擬上則較為複雜,為了避免往後問題發生卻無法可管的窘困,在這一部份需要花費更多的時間做詳盡的討論和研擬。

憑證的互通對加速電子商務金流有極大的助益,也因為有了電子憑證的識別,而保障了線上交易的安全性。建構國內PKI的應用環境及跨國憑證互通機制,已成提升我國國際競爭力的利器,也是政府及相關部門、單位正努力推動的基礎建設,相關的PKI及認證廠商亦嗅得此商機,而投入了極大的費用進行產品的研發及機房的建置,一張憑證跨行、甚至跨國交易的時代值得期待。