總網頁瀏覽量

2010年6月7日 星期一

何謂PKI?

何謂PKI?

隨著網路資訊的腳步愈來愈快,建立安全及可信賴的電子認證機制,確保資訊在網路傳輸及儲存過程中之安全性,是電子交易能否普及應用的關鍵。在電子商 務逐步改變經濟體系及商業模式的同時,網路安全問題成為最大隱憂。如果不能推出一個可供大眾信賴的交易安全模式,電子商務仍是小眾市場,無法推廣出去,更 遑論要替代現行的交易模式。公開金鑰基礎建設(Public Key Infrastructure,PKI)是電子認證的最基本架構,而這項基本架構正是擴展全球電子商務市場及電子化政府服務的根本要素。鑑於資訊系統安全 的重要性,歐、美等先進國家早已積極投入在安全技術的研究上,並廣泛地在推廣及使用。


一,何謂PKI?


公開金鑰基礎建設(Public Key Infrastructure,PKI)是以公開金鑰密碼學為基礎而衍生的架構,在電子訊息傳遞與交換過程中,PKI是唯一可以符合下列五項數位安全要求 的機制:身分認證(Authentication)、不可否認性(Non Repudiation)、資料完整性(Integrity)、資料機密性(Private)及存取控制,為了符合這些安全需求, PKI 是一項非常有效的工具,提供在 Intranet、Extranet 及 Internet網路環境間交換資訊的信任基礎。

PKI包含了 一支公開金鑰(Public Key)與一支私密金鑰(Private Key);前者公諸於大眾,而後者由使用者獨自持有保管。這一對金鑰是具相對應關係的數位密碼,其中一把對訊息進行「加密」後,進行訊息傳輸,使傳輸過程 中訊息不會落入他人之手而遭到破解或修改;另一支金鑰則作為「解密」用途,以獲得原始訊息內容。PKI應用系統至少應具有以下部分:

l 公開金鑰(Public Key)的密碼認證管理。
l 黑名單的發布和管理。
l 私密金鑰(Private Key)的備份和恢復。
l 自動更新私密金鑰。
l 自動管理歷史私密金鑰。
l 支持交叉認證。

PKI 架構中包含了憑證機構(Certificate Authority, CA)、註冊中心(Register Authority, RA)、目錄服務(Directory Service, DS)伺服器、身份認證 (Authentication) 伺服器或認證模組等等。其運作流程,簡單敘述如下:

l 由RA(註冊中心)統籌、審核使用者的「憑證」申請 。
l 將「憑證」申請送至CA(憑證機構)處理 。
l 由CA(憑證機構)發出憑證,並將發出憑證資訊公告於DS(目錄服務)。
l 「 憑證」就像是個人護照,代表申請使用者的電子身分辨別證件,其內容包括了憑證序號、使用者名稱、公開金鑰以及有效期限等資訊。

而負責 PKI相關標準的制訂,就是「PKI論壇(PKI Forum),網址 http://www.pkiforum.org/」了。PKI論壇(PKI Forum)是一個在1999年12月成立的國際性非營利廠商與使用者聯盟,其目的是要加速以標準為基礎,且具互通性之PKI的應用。PKI Forum向來致力於產業的合作(multi-vender interoperability)、市場推廣(market awareness)、技術中立的環境、強化PKI對客戶與商業夥伴的價值、增進客戶與軟體供應商(ISVs,Independent Software Vendors)在應用上的信心,來讓各種組織都能了解與利用PKI在電子商業應用中的價值。

由於PKI基礎設施是目前比較成熟、完善 的Internet網絡安全解決方案,國外的一些大的網絡安全公司紛紛推出一系列PKI相關的網路安全產品,例如:美國的Verisign、IBM;加拿 大的Entrust、SUN等安全產品供應商為用戶提供了一系列的客戶端(Clients)和伺服器端(Server)的安全產品,為電子商務的發展、 EDI以及企業內部Intranet等提供了安全保証。

我國在2001年十一月十四日公布之「電子簽章法」裡面,也規範了PKI(公開金 鑰)架構,以DES、RSA及SHA之技術進行資料加解密,以保障傳輸過程中資料之安全性,並藉數位簽章之使用,達到雙方事後的不可否認性。

簡 言之,PKI公開金鑰基礎設施就是「提供公開金鑰加密和電子數位簽章服務的系統,目的是為了管理私密金鑰和認證,保證網路上資料傳輸的機密性、真實性、完 整性和不可否認性」。只要對「資料身份識別」、「交易資料完整」、「交易不可否認」或「保密」等其中之一有所需求,就可以使用PKI。


二,PKI與資料加密/解密


PKI採用的加密與解密的技術,大致上是 利用Key值來跟原本的資料進行運算(加密),再利用他Key來解開,還原成原始的資料。根據中央研究院計算中心 曾士熊先生的說法:實用上Key越長越好,如果Key夠長的話,電腦甚至要花上數年的時間才能破解密碼。不論多長,只要有Key,電腦就能輕易做好加密和 解密的工作。

除了方法簡單、保密性高之外,這項加密技術還有另一項優點:不論是文字、語音或圖像,只要數位化之後都變成字元串,都能加 密。被廣泛使用的DES(Data Encryption Standard)就是以這種技術為基礎所發展出來的。DES雖然好用,卻有個嚴重缺點:加密和解密都使用相同的Key。換句話說,當我們把加密文件的電 子檔傳送給收件人時,必須同時給對方Key,否則無法解密。如何安全無虞的把Key送交對方,於是成為DES的一大難題。

1976 年,Diffie和Hellman提出公開金鑰加密系統(Public Key Cryptosystems)的構想:讓文件加密和解密用的Key變的不同,一舉解決了多年來Key保管與傳送的難題。PK加密系統需要兩個經過特別計算 所得出的字元串,稱為公開金鑰和私密金鑰。

資料經過公開金鑰加密之後,必須用私密金鑰才能解密,反之亦然。1978年,Rivest、 Shamir和Adleman共同發表了第一個實現PK加密系統的數學方程式,稱為RSA密碼。中央研究院的PKI的Key長度共有512bit、 1024bit、2048bit等,可由使用者自選,較美國政府限制PK軟體出口的512bit更具保密性。

PK(金鑰加密系 統,Public Key Cryptosystems)的作用包括「資料保密」和「身份認證」兩方面。當你需要寄送加密檔案給某人(假設為A君)時,需先向PK伺服器查詢A君的公 開金鑰,再以取得的公開金鑰進行資料加密。由於檔案是用A君的公開金鑰加密的,因此只有A君的私密金鑰才能解密。只要A君妥善保管好自己的私密金鑰,就能 確保檔案的隱密性。至於身份確認方面,你需要事先透過適當的安全管道把代表自己身份的電子簽章檔送給A君,電子簽章檔可以是文字檔或簽名、印章的影像檔。 當你把利用A君公開金鑰加密的資料檔Email給對方時,可以附加上利用自己私密金鑰加密的電子簽章檔。

A君收到你寄送去的資料檔和電子 簽章檔之後,可以使用他自己的私密金鑰對資料檔解密,同時向PK伺服器查詢你的公開金鑰,再利用取得的公開金鑰對電子簽章檔解密。比對解密後的電子簽章檔 和你事先交付的電子簽章檔無誤之後,A君就能確認資料檔確實是你寄送給他的。PK登記手續只需辦理一次,之後就可以透過網路隨時更換寄存在PK伺服器裡的 公開金鑰。使用者只要勤於更換公開金鑰和私密金鑰,甚至每一對公開金鑰和私密金鑰只用一次,用過即換,即可保障通訊內容安全無虞。

PK加 密機制可說是有史以來最安全可靠的資料加密技術,其重要性與需求必將隨著網路的發展而日增。未來的發展趨勢將是由各業務主管機構(例如金融資訊中心、證券 交易中心、網路主管機構等)各自依業務需求設置PK伺服器,並透過協議簽約彼此提供公開金鑰查詢服務。(以上資料來 源:http://www.sinica.edu.tw/cc/netsrv/security/pki.html 中央研究院計算中心,「PKI:資料保密與身份認證的機制」,作者:曾士熊)


三,PKI的應用層面


以目前大家常見的B2C電子商務而言(例 如:拍賣網站),倘若有人出面競標,事後卻反悔不付款,該怎麼辦呢?循會員資料來搜查這名會員,他當初也不見得留下真實資料啊。

這時候, 我們便可以藉由PKI的機制,確保每一次交易的有效性。除了最基本的資料傳輸安全之外,利用電子數位簽章相關的功能(資料身份識別),來確保交易雙方的 「交易資料完整」及「交易不可否認」,對於交易雙方都是一項保障。

PKI可以使用在各式繳費系統上,業者與消費者因為PKI提供的交易安 全機制,可以獲得互利互信的交易環境。對於網路上的各式交易與電子商務(B2C或B2B),PKI是不可或缺的重要環節。

除了電子商務的 應用之外,公司內部的文件與流程,也可以利用PKI來達成分層負責的效用。不管是公文的批示與保密,一般員工上下班的簽到打卡等等。有了PKI的安全機 制,將提供更有保障的作法。利用電子數位簽章,保密性與資料的確認將更具公信力。

OA(辦公室自動化)推行已久,但仍無法真正達到「無紙 化」的境界,原因是--「紙本」本身就是一項證據,利用E-Mail或FAX傳遞資料,因證據力薄弱導致大眾仍對紙本有著高度需求。現在出現了PKI的安 全機制,OA才能真正落實到無紙化的境界!因為PKI提供的安全認證,已經獲得國家法令的認可。


四,PKI的系統建制或系統外包


資策會MIC的報告指出:一套PKI的 建置費用並不便宜,撇開專業人員的投入不談,一台認證伺服器至少要新台幣300萬以上,而在用戶端(client)的憑證部分,目前主要的三種型式為IC 卡、磁片、及可直接插入電腦USB埠的設備(如iKey等),而一套IC卡配合讀卡機的花費約為2,000元,再加上相關應用軟體的開發,若以1,000 人的規模來看,企業至少要投入近千萬的預算。

根據CNET的一份報導,針對美國的Medepass公司(醫療專業人員的線上身份認證單位 以及認證授權機構)提出建議:建構 PKI 系統的花費,有很大一部份來自於必須建置一套高度安全的資料中心,用來產生數位認證。畢竟如果認證授權單位的系統被破解入侵,那麼未經正當授權的使用者便 可以取得病患的個人私密資料。

「將PKI系統建置工作外包出去,牽涉到許多技術能力的問題」,Gartner的研究員指出。「建立一個安 全的資料中心、確保系統安全性、進行系統管理甚至建立一個問題解決中心負責處理認證產生過程中發生的問題,這些都是非常複雜且耗費時間的工作」。

將 PKI 系統部署工作外包出去的好處是顯而易見的。建立認證信任模式的複雜性、整合內部應用程式的困難度以及管理數位認證的繁複工作,這些因素在在都吸引著缺乏自 有專業人才以及執行時間緊迫的機構,將 PKI 系統部署工作外包出去。而且正如同其他制度健全的基礎建設服務那樣,將這些工作外包出去也讓各公司節省大量時間、金錢與心力,不需要自己去實作與操作這些 基礎建設系統。

PKI 部署工作到底有多困難?Gartner 估計有百分之八十的 PKI 部署計畫仍舊處於先導階段。此外根據艾迪西公司(International Data Corp.,IDC)的估計,到了二零零四年,PKI 廠商的營收將會有三分之二來自於提供管理服務,而非軟體販售。根據Datamonitor的預估,隨著PKI技術及電子商務的迅速發展,再加上各國制定相 關電子簽章法律的進程來看,PKI產品的需求將呈現快速的成長,預期1999-2003年全球PKI產品市場規模將達到56%的年複合成長率。


五,我國在PKI的應用層面


根據資策會MIC的報告,PKI在國內的 應用層面如下:

(一) 政府面

行政院為了 提昇行政效率及加強便民服務,於1997年9月開始推動電子化/網路化政府計畫,並在「電子認證機制子計畫」中致力於PKI的實現,做為電子化/網路化社 會安全的基礎。

為配合政府落實電子化網路化政府計畫,行政院研究發展考核委員會便於1997年委託中華電信建設政府憑證管理中心 (Government Certification Authority,簡稱GCA),並於1998年開始提供相關應用如所得稅網路報稅、交通部公路監理系統、全國行政院一級單位公文電子化、中華電信行動 電話通話明細申請等業務。

(二)金融面

1. 網路銀行

目前財政部對銀行辦理網路銀行業務之立場乃採逐案報審原則,審核基礎以1998年5月頒佈的「金融機構辦理電子銀行業務安全控 管作業基準」及1999年5月「個人電腦銀行業務及網路銀行業務服務契約範本」,作為銀行辦理該項業務之最低安全標準及保障消費者權益,策略上完全開放電 子銀行業務,但在「金融機構辦理電子銀行業務安全控管作業基準」中對金融機構專屬網路、加值網路、網際網路等三種傳輸途徑,在電子轉帳及交易指示類對交易 訊息相關安全需求規範相當嚴謹。

2.網路券商

以往許多券商所採用的電子交易機制多為SSL加密技術,只能確保傳輸過 程中資料不會外洩,但卻無法保證執行指令的人是否為合法的使用者本人;為保障民眾網路下單交易的安全,台灣證券交易所在2000年8月大幅修正營業細則中 有關網路交易的項目,不僅增加要求記錄委託下單者的「數位簽章」,更要求該「數位簽章」應由認證機構所簽發。

(三)其他

目前企業或學校大多將PKI架構應用在公文系統、登入系統、 網路教學或企業間供應鏈的報價及出貨等服務上。

另外2000年9月,中華電信亦利用PKI架構,發表一卡多功能的HiCard信用卡, 並透過中華電信憑證管理中心(Electronic Certificate Authority,簡稱eCA)提供認證服務,目前eCA已應用於政府採購案網路公告投領標系統,提供網路消費者隨身安全支付和身份辨認的工具。 HiCard電子商務安全平台相關規格由中華電信制訂,目前已發展出的2套解決方案,一為2000年9月由獨家通訊和宏瞻資訊共同建置,並與萬通銀行合作 發行具HiCard機制的Mastercard信用卡,另一個則是2001年8月由聯合電通與第一銀行合作推出的Visa信用卡。


六,結 語


由台北市消費者電子商務協會(SOSA)所舉辦的電子化交 易安全趨勢及對策研討會當中,資策會董事長黃河明即指出,安全的對策是促使電子商務發展蓬勃之根本,應盡速成立公正中立的組織提供PKI及CA認證的服 務;Mondex電子現金發行公司萬碁董事長黃少華則表示,系統、連線、交易機制、管理環境是安全對策的四個重要因素,並以預防勝於治療的觀念為網路安全 把關。

黃河明表示,電子商務發展有賴完備的基礎建設以及電子化交易安全對策配合,電子商務投資才會有實質效益。根據資策會統計,台灣網際 網路用戶數已突破八百萬人,上網普及率相當高,加上以總體的電子商務表現,預估至2002年底全球營收將達一兆規模,顯示未來電子商務的潛力仍看好。

而 PKI的技術提供了完善的技術層面,用以解決電子商務交易之間的五項數位安全要求的機制:身分認證(Authentication)、不可否認性(Non Repudiation)、資料完整性(Integrity)、資料機密性(Private)及存取控制,PKI將是未來網路交易安全的關鍵性因素。



資 料來源:
l http://www.pki.org.tw/Resource/glossory.asp
l http://www.sinica.edu.tw/cc/netsrv/security/pki.html中央研究院計算中心 PKI:資料保密與身份認證的機制 曾士熊
l http://taiwan.cnet.com/enterprise/casestudy/story /0,2000040297,20030702,00.htm
l http://www.nst.com.tw/PKI/PKI03.htm
l http://www.sysage.com.tw/Gst/Solution/GSolOne.asp?nPK=18
l http://www.arconet.com.tw/pj30pg211.asp?tag=8152
l 資策會 MIC http://mic.iii.org.tw

摘錄自:http://fly.to/mis

沒有留言:

張貼留言