公開金鑰基礎建設 Public Key Infrastructure (PKI)

資管 4B

9422076B

陳冠伯

前言 公開金鑰基礎建設 (PKI) 技術目前已廣

受重視，且已成為當前網際網路運作上的核心安全機制。

PKI 與非對稱性金鑰密碼學的概念非常接近，主要包括訊息摘要、數位簽章和加密服務。

要實現這些服務的首要條件是數位憑證技術。

前言 金鑰交換或金鑰協議的問題也因此十分嚴重，

事實上，也是在設計任何基於電腦密碼學解決方案中最困難的挑戰。在許多考慮之後，這個問題被一個革命性的構想──數位憑證所解決。

數位憑證的概念 數位憑證是一個小型的電腦檔案。

憑證管理中心 一個憑證管理中心是可以發行數位憑證的信

譽機構。

數位憑證的建立1. 牽涉個體 RA 通常會提供下列服務：

接受和驗證新使用者的註冊資訊 在終端使用者端產生金鑰 接受和批准金鑰備份和覆蓋的要求 接受和批准憑證廢止的要求

2. 憑證建立步驟

主體產生自己的金鑰對

RA 代替主體產生一組金鑰對

主體寄出公開金鑰和證明給 RA

RA 如何檢查公鑰與私鑰成對 ? RA 要求使用者使用秘密金鑰數位簽署憑證簽章要求

RA 建立隨機數字，使用收到的公鑰加密，要求使用者解密

RA 先產生虛擬憑證，使用收到的公鑰加密，要求使用者解密

為什麼我們應該相信數位憑證 ? 藉由簽署這個憑證來擔保這個使用者擁有此特定公開金鑰

憑證廢止 什麼理由可以廢止數位憑證？

該數位憑證的持有者回報，數位憑證中對應於公開金鑰的私密金鑰被破壞（例如被盜取）。1. CA 發現在發行憑證時發生錯誤。2.某憑證為該憑證持有者在職時所發行的，而該持有者將離開此工作。

離線憑證廢止狀態檢查 當希望知道是否應該相信憑證時，應該依序進行下列動作：

憑證有效檢查 簽章檢查 憑證廢止檢查

私密金鑰管理 保護私密金鑰

我國政府公開金鑰基礎建設之我國政府公開金鑰基礎建設之架構架構

自然人憑證簡介自然人憑證簡介 自然人憑證是自然人憑證是內政部憑證管理中心內政部憑證管理中心 (MOICA)(MOICA) 對對

我國我國滿滿 1818 歲以上國民歲以上國民所核發的公開公鑰數位所核發的公開公鑰數位憑證，是我國電子化政府資訊安全基礎建設計憑證，是我國電子化政府資訊安全基礎建設計劃之一，以提供電子化政府應用服務網路通訊劃之一，以提供電子化政府應用服務網路通訊的安全基礎。的安全基礎。

內政部所建置的自然人憑證管理中心，有兩大內政部所建置的自然人憑證管理中心，有兩大目標：目標： - - 建立可信賴之資訊安全機制建立可信賴之資訊安全機制 - - 帶動電子化政府應用發展，提升國家競爭力帶動電子化政府應用發展，提升國家競爭力

自然人憑證的運作機制自然人憑證的運作機制• 自然人在合法申請後均會獲得一組公開自然人在合法申請後均會獲得一組公開 \\ 私密金私密金

鑰對，這一組密碼對在經憑證管理中心認證過後，鑰對，這一組密碼對在經憑證管理中心認證過後，便會核發此公開金鑰的電子憑證，憑證內容包含：便會核發此公開金鑰的電子憑證，憑證內容包含：(1)(1) 用戶名稱 用戶名稱 (2)(2) 用戶公開金鑰 用戶公開金鑰 (3)(3) 憑證有效期限 憑證有效期限 (4)(4) 憑證序號及 憑證序號及 (5)(5) 憑證管理中心的數位簽憑證管理中心的數位簽章等 可做為網路上身份驗證之使用。章等 可做為網路上身份驗證之使用。

憑證管理系統憑證管理系統 內政部自然人憑證內政部自然人憑證

管理中心提供使用管理中心提供使用者一個憑證管理系者一個憑證管理系統，並提供下列功統，並提供下列功能：能：

11 憑證的申請憑證的申請 22 憑證的廢止憑證的廢止 33 暫時停用憑證暫時停用憑證 44 憑證的復用憑證的復用 55 憑證內容的更改憑證內容的更改 6 6 密碼的更改密碼的更改 77 憑證的下載憑證的下載

目前內政部自然人憑證所提供目前內政部自然人憑證所提供的服務的服務

GRCA 政府憑證總管理中心 http://grca.nat.gov.tw/

內政部憑證管理中心 http://moica.nat.gov.tw/html/index.htm

中華電信股份有限公司「政府憑證管理中心」(GCA ） http://www.pki.gov.tw

網際威信股份有限公司（ HiTRUST），代理美國 VeriSign 公司（全球首位電子認證服務領導廠商）之電子認證產品及技術，並提供電子認證服務及電子商務服務。參考網址 http://www.hitrust.com.tw/home.htm