電子憑證應用 v1.0
DESCRIPTION
電子憑證應用 v1.0. [email protected] 臺大計中資料管理師 許凱平. http://mis.cc.ntu.edu.tw/pki/. 台大首頁 www.ntu.edu.tw. 教職員資訊服務網 info.ntu.edu.tw/finfo/. mis.cc.ntu.edu.tw/pki/. 大綱. 電子憑證簡介 自然人憑證介紹 在電子郵件的應用 政府服務應用 結合校務行政系統的應用 簡易故障排除. 什麼是電子憑證(電子證書). 簽章過的電子文件 畢業證書:畢業生姓名 校印 日期 文號 學校電子簽章(畢業生姓名 日期 文號) - PowerPoint PPT PresentationTRANSCRIPT
台大首頁www.ntu.edu.tw
教職員資訊服務網info.ntu.edu.tw/finfo/
mis.cc.ntu.edu.tw/pki/
大綱 電子憑證簡介 自然人憑證介紹 在電子郵件的應用 政府服務應用 結合校務行政系統的應用 簡易故障排除
什麼是電子憑證(電子證書) 簽章過的電子文件
畢業證書:畢業生姓名 校印 日期 文號 學校電子簽章(畢業生姓名 日期 文號)
自然人憑證 內政部簽給自然人的電子證書(印鑑證明) 證明此人跟一個數字(公鑰)的特殊關係
電子簽章法:目標與精神 目標
完整:防止資料在傳送過程遭篡改偽造 身分認證:確認交易對象真正身分 不可否認性:避免交易完成事後否認精神:當事人約定
防止數位落差 必須提供人工作業和書面的服務
效益:無紙化 哪一些文件可改用電子文件
書面文件得以電子文件為之 (4) 書面文件之原本或正本得以電子文件為之 (5) 書面文件之法定保存,得以電子文件為之 (6) 簽名或蓋章得以電子簽章為之 (9)
效益 真正的無紙化,不用印出來蓋章了!
什麼是電子簽章 電子簽章:指依附於電子文件並與其相關連,
用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者 [ 電子簽章法第二條第二項 ] 數位簽章:指將電子文件以數學演算法或其他方式運算為
一定長度之數位資料,以簽署人之私密金鑰對其加密,形成電子簽章,並得以公開金鑰加以驗證者 [ 電子簽章法第二條第三項 ]
數位簽章 BobAlice
Bob公鑰7
23
Bob私鑰
[clchen]
簽章請假單
請假單Bob
驗章
請假單Bob
非對稱式加解密系統 Key Pair
公鑰 Public Key + 私鑰 Private Key 知道公鑰無法推出私鑰 加密
公鑰加密,能且只能用私鑰解密 備份私鑰,否則有加密資料無法解開的問題
簽章 私鑰簽章,公鑰驗章 沒有私鑰無法假造可通過公鑰驗證的簽章, x 備份
RSA加密演算法1. 隨意選擇兩個大的質數 p 和 q , p 不等於 q ,計算 N=pq 。 2. 選擇一個大於 1 小於 N 的自然數 e , e必須與 (p-1)(q-1) 互質。 3. 用以下這個公式計算 d : d× e ≡ 1 (mod
(p-1)(q-1)) 4. 將 p 和 q 的記錄銷毀。
Key Gen p=17, q=11, N=187 Phi= (17-1)(11-1)=160 Factor(phi)=25*5 E={3,7,11,…}, let e=7 d*e==1(%phi), 7d=160*i+1 161=7*23, d=23
Public Key PU(7,187) 公布之 Private Key PR(23,187) 妥善保存
磁片 + 軟體保護 晶片卡 +PIN PGP
公鑰加密 / 私鑰解密 M < N, M is message, ex. M=72( 明文 ) C=Enc(72,7,187)= 727%187=30 ( 密文 ) M=Dec(30,23,187)=3023%187=72 ( 明文 )
私鑰簽章 / 公鑰驗章 M < N, M is message, ex. M=72( 明文 ) C=Enc(72,23,187)= 7223%187=183 ( 簽章值 ) M=Dec(183,7,187)=1837%187==72( 驗章 )
M: Message( 明文 ) C: Cipher( 密文 )
與傳統簽章比較 簽章
印鑑證明 簽章:墨水滲透進紙張的纖維,成為文件的一部份 雙正本,正副本,法院公證,存證信函 比對
數位簽章 登錄公鑰 計算簽章值 : 電子文件 * 私鑰 存證 驗章 : 電子文件 * 公鑰
電子簽章 數位簽章應依一定之程序製作始生效力 (10) 憑證機構應製作及公布憑證實務作業基準 (11) 有效的電子簽章
由管理機構認可之憑證機構 CA, Certificate Authority
使用憑證機構簽發的公開金鑰憑證 未超過有效期限及使用範圍 經驗證記載的內容無誤
請假單Bob
報稅Bob
戶籍謄本Bob
Bob
政府機關公開金鑰基礎建設〈 GPKI, Government PKI〉
政府憑證總管理中心
行政院研考會
憑證推行小組
內政部憑證管理中心
PKI & PMI電子化服務的基礎 PKI 公鑰憑證(身分憑證)
Public key Infrastructure 身份證書 身份證 印章 CA, RA 由政府統一負責
PMI 屬性憑證(資格憑證) Privilege Management Infrastructure 屬性證書 在職證明 在學證明 各機關需要做的是 PMI
公務員憑證 ( 準備中… )
認證 (authentication) – 我是誰? 常見機制:帳號密碼
授權 (authorization) – 我能做什麼? 常見機制:多組帳號密碼 改善機制:單一簽入 (single login)
想像成有一個大表格,註明何人能做何事 簽章 (signature) – 事情是我做的
帳號密碼無法有效簽章
認證 授權與簽章
[clchen]
IC 卡 達成讓個人安全保存私鑰之目標 IC 卡的記憶體–儲存金鑰對及相關資訊 IC 卡的 CPU–執行金鑰對相關運算 IC 卡是個人專屬、無法讀出私鑰的電腦 IC 卡不易複製
金鑰對的使用不只是權利 (權力 ) 也是義務
常見的晶片卡 晶片卡
自然人憑證 (Citizen Digital Certificate) 金融卡 信用卡 健保卡 悠遊卡 自行發卡
Software Key: PGP
自然人憑證Field Value RemarkSubject Name
許凱平 unicodeIssuer Name 內政部憑證管理中心2.5.29.9 *3698 Right(idno,4)RFC822 Name
[email protected] emailCert. SN 00A4 363A CAB7 CF06
C7C8 AC22 71EC 67A9 14
idno: Citizen’s ID Number
讀卡機Smart Card
PC
BrowserActiveXControl
Web Server Process
CryptoDLL
Internet
Web AppCSP
Driver
安裝 系統需求
作業系統:Win2000, XP, 2003, and Vista 瀏覽器: IE6, IE7
安裝讀卡機及其所附驅動程式 WinXP 可以讓作業系統自己找
讀卡機選購 價格大約 99~500 元間 附加功能
金融晶片卡WebATM 二代金融卡功能(有鍵盤跟螢幕) 需軟體配合
讀取 iCash 卡餘額 Image from easyatm
Chip & Pin Assumptions Solution Provider’s Responsibility
沒有人可以複製晶片卡 User’s Responsibility
收好自己的晶片卡,不將 PIN 跟別人講 Reasoning
我不跟別人講,別人就不知道我的 PIN 收好自己的晶片卡,不將 PIN 跟別人講就可以確保自己的安全 別人撿到我的晶片卡,不知道我的 PIN ,沒辦法假冒我 別人如果知道了我的 PIN ,沒有我的晶片卡沒辦法假冒我 如果有人有我的晶片卡,又知道我的 PIN ,就可以假冒我
Image from nist
Pin?****
1234
Plz Enter Pin in Card Reader!
1234
Image from easyatm
1234
Pin will not leak!
Nothing at all
“dummy” card reader
“smart” card reader
TEMPSET
CSP:Cryptographic Service Provider 安裝 SafeSign CSPhttp://moica.nat.gov.tw/html/download_1.htm 開始 / 程式集 /SafeSign Version 1.0.8/
(1) Certificate Registration Utility(2) Intstall SafeSign in Netscape(3) Token Management
匯入憑證 從自然人憑證晶片卡取得
插入自然人憑證 如果沒有自動匯入的話
執行SafeSign/Certificate Registration Utility 同一張卡在同一台電腦上只要做一次
檢查安裝狀態 IE6 工具 / 網際網路選項 / 內容 /憑證 / 個人
2x2
Key Usage Digital Signature(80) Key Encipherment, Data Encipherment(30)
3081 8902 8181 00B0 E693 6B27 3E76 BBFC 9DED 9C9D 5370 C2DD 8113 ED59 0DD0 A5A8 FFF5 8FD3 4CB1 333B 9FE2 CF61 E708 61C7 D02F 9D31 A810 2ABE 888E A76F 21CD A85B 7799 3828 1A82 8E1C 677A 8A13 6DBD 15E5 3457 F821 AD21 72BA 6FF3 ABF0 A93C CAAB 8B90 2C80 3FEF 268D 165B F641 6EA4 94FA 5C38 9A2B 6F20 E001 7187 E03D DE05 66C4 9EBD F305 2F11 6502 0301 0001
公鑰
OU = 內政部憑證管理中心O = 行政院C = TW
Issuer
Issuer
Subject序號 = 0000000111638893CN = 許凱平C = TW
O = Government Root Certification AuthorityC = TW409
6
1024
2048
在電子郵件的應用 請參考中華電信安全電子郵件介紹的講義
Outlook Express, Outlook2003, ThunderBird and Notes Mail 精簡版
Step1 取得憑證 Step2 匯入至Outlook Express Step3 送加密信給 kphsu, kphsu. 公鑰 Step4 kphsu 簽章 kphsu. 晶片卡
Step1 取得連絡人的電子憑證 連線至 http://moica.nat.gov.tw/ 選擇中文版 憑證作業 / 查詢憑證簽發情形 /輸入姓名(全名)或電子郵件位址 / 查詢 下載憑證
一個是簽章用 一個是加密用
1
2
3
4
下載憑證
匯入憑證
通訊錄搜尋 /找到人數位識別碼 /匯入憑證
補充資料一
沒有插入晶片卡的,可以看到寄件人,主旨,但無法閱讀內容加密
應該是解密
插入自然人憑證晶片卡
輸入 PIN
看不到
解密
拔出晶片卡23
kphsu 私鑰
kphsu 發信
工讀生收信
輸入 PIN 23
kphsu 私鑰
可以不用先取得 kphsu 的公鑰
小結論 先寄一封簽章過的信給對方 (工讀生 ) (工讀生 ) 對方打開你的信,驗章的過程中可以取得你的公鑰 (工讀生 )就可以使用你的公鑰加密信件 工程師用私鑰解密
工讀生
用私鑰解密驗章
kphsu 公鑰723
kphsu 私鑰secrete
secrete
用私鑰簽章
尚未取得 kphsu 公鑰卻要寄加密的信給他產生的錯誤訊息
政府服務應用 MOICA網站介紹
【MOICA網站安全性元件】。 憑證作業
憑證作業:更改憑證公佈狀態、取得(查詢)憑證、停用、復用與廢止 密碼(PIN):更改PIN碼、鎖卡或忘了PIN碼(需有申請時的用戶代碼)
應用服務 連線moica\選取應用服務 (19項 ) 較常用的
報稅 戶籍謄本 勞保資料 中華電信帳單 /簡訊 郵局帳戶改地址
與校務系統結合 認證
結合單一簽入 簽章
電子表單系統 試辦
自然人憑證簽到退系統 公文傳閱 電子表單設計系統
臺灣大學電子憑證推動網 提供電子憑證相關資訊 功能
憑證上傳 憑證應用 工作時程 常問詢答 (安全檢查表 ) 諮詢窗口 工作團隊
連結 台大首頁 電子簽章法 MOICA 台大行事曆 網上論壇
工作時程 2007-01 : ie7 與 vista 相容性測試、應用推廣、安全驗證原則確立與技術交流 2007-03 :電子憑證應用教育訓練 2007-06 :全校試行自然人憑證簽到退系統,試行期間原有簽到方式(職員證號 + 密碼)仍可使用 2007-07 :檢討與改進 2007-08 :電子表單系統開發 2007-09 :電子表單系統內部測試
Components PKI Architecture
Government In House CA
PKI Modules Crypto API ActiveX Control to Access Local Device
PKI-Enabled Applications
1. CA2. Directory3. PKI-enabled
Application4. Security Policy
建置 硬體
卡片 讀卡機 安裝,相容性問題排除 軟體
CrptoAPI 資料完備 ( 人員資料 組織架構 ) 整合進校務系統的改寫成本 教育訓練
管理 CA@ntu: 計中 or 人事室 RA@ntu: 人事室 or 計中
基礎建設 憑證與身份之繫結
利用計中 email 帳號登入,上傳憑證 有效性判斷
時間伺服器 時戳服務 存證服務 簽章服務 職員證號
計中 email帳號
自然人憑證
身分認證與資格認證 用晶片卡登入者
檢查 CRL(憑證廢止清冊)或 OCSP 由憑證發放單位提供 列出所有有效期限未到卻因其它事故被 CA 吊銷的數位憑證
檢查該憑證所繫結的對象 ( 教職員編號 ) 檢查該員的狀況 ( 在職、離職、退休 )
憑證有效且在職者才能登入使用 系統安全有賴於正確即時的資料
Cert.SN00A4 363A CAB7 CF06 C7C8 AC22 71EC 67A9 14
網路簽到系統 (mis) 的優點 資訊可取用性高
使用者可以簽到後就知道自己的簽到時間 主管可迅速了解屬下的到勤狀況 洽公人員可以掌握業務承辦人的狀況
容易開發附加價值 SARS 體溫填報 訊息公布: [ v ] 我已閱讀
確認每個職員知道校內重要訊息
網路簽到系統的問題 ( 一 ) P1. 使用者需基本的電腦使用能力
會使用鍵盤 會使用瀏覽器
P2. 簽到的爭議 我記得我有簽到 伺服器沒有紀錄 伺服器時間太快 /太慢
網路簽到系統的問題 ( 二 ) P3. 時間的同步問題
使用者的電腦 伺服器(網頁、資料庫)
P4. 網路不通的問題 提供 Offline 簽到程式
P5. 資料庫伺服器故障 P6. 網頁伺服器故障 P7. 開機需要時間,不關機又浪費電
自然人憑證簽到系統 優點
較能防弊 缺點
簽章花費時間較久 (15sec~30sec) 晶片卡接觸不良 忘記 PIN
91年採購之元件對新 OS, 瀏覽器的問題 XP sp2會當掉 ie6 , ie7 及 vista 不能使用 改用微軟 CAPICOM
時間的認定 生活上 117 為準 網路上以網頁伺服器時間為準
每個禮拜與 117 校時一次 每天與網路原子鐘校時一次 保留 Client端時間作為參考 提供 Server時間供使用者對時
台大官方 ntp.ntu.edu.tw http://ccnet.ntu.edu.tw/ntp/index.html
網頁伺服器 time 用網頁提供伺服器上的時間供參考 測量 Client到 Server 的時間差 測量 Client到 Server 的 delay NTP 原理
時間的同步問題 ( 一 ) Win XP, Win 2003
控制台 / 日期和時間 / 網際網路時間 時間伺服器
ntp.ntu.edu.tw (140.112.2.189) 140.113.1.1 time.windows.com time.chttl.com.tw
時間的同步問題 ( 二 ) 校時軟體
Net time 中華電信研究所時間與頻率國家標準實驗室
V2.1 中文版 http://www.stdtime.gov.tw/chinese/EXE/NTPClock.exe
原子鐘 http://www.worldtimeserver.com/atomic-clock/ 英文介面
簽到時間的秒差 使用者進入簽到首頁 login.asp
threshold t0= Server.getTime() t1= Client.getTime() if t1-t0>threshold
要求使用者使用校時軟體 sign.asp
簽到時間為 t0, 並紀錄 t1 作為參考
「簽到證明」:解決簽到的爭議 由伺服器簽「簽到證明」給使用者 簽到證明
簽到時間 簽到者 簽到者簽章 伺服器簽章
驗證「簽到證明」服務 解析並驗證
簽到時間 簽到者 簽到者簽章 伺服器簽章
簽到更正 簽到時間 (signin) 簽退時間 (signout) 申請人簽章 收件時間 , 伺服器簽章 , 通知證明人 簽章時間 , 證明人簽章 , 通知主管 簽章時間 , 主管簽章
簡易故障排除 晶片卡
重插一次 是否插反了
讀卡機 確認讀卡機「實體上」跟電腦連接 安裝驅動程式
SafeSign CSP 是否安裝? CA 憑證是否匯入?
Reference [clchen]
台大資工陳俊良老師 , 台大醫院 PKI財委會說明 , 093-04-08 [ 電子簽章法 ]
90-11-14總統府公告, 91-04-01 開始施行 http://www.moea.gov.tw/~meco/doc/ndoc/s5_p05.htm
電子簽章及電子憑證應用介紹 , Link 中華電信 謝東明博士
Q&A http://grca.nat.gov.tw/qanda2.htm
[Gutmann] http://www.cryptoapps.com/~peter/part2a.pdf
補充資料一olexpress6\工具 \選項 \安全性 \進階