資訊與網路安全技術 第 七章 數位簽章與數位憑證  上一頁      下一頁

 

7-5 憑證與私鑰的儲存

內容:

  • 7-5-1 憑證與私鑰的儲存元件

  • 7-5-2 智慧卡儲存 - IC 卡

  • 7-5-3 智慧卡運作

7-5-1 憑證與私鑰的儲存元件

既然數位憑證是由一串列的電子資料所表示,如何儲存這些電子資料並且能隨時攜帶於身上,正是儲存媒體(或元件)所考量的地方。儲存電子資料的媒體可由兩個方向來思考,一者僅具儲存資料的功能,此類大多屬於被動元件,必須透過讀取設備程式的管理及操控;另一者需具有管理功能的主動元件,大多有特殊的作業系統管理儲存媒體與讀取設備之間的通訊。我們用一個簡單的範例來說明兩者之間的差異點。譬如,磁卡(如信用卡)僅具有儲存卡號及簡單的數據,讀卡機讀取資料之後,再與主機通訊來判斷該磁卡上的訊息是否正確。由此可見,磁卡內所儲存的資料可任意被讀取,甚至偽造另一片磁卡。IC 卡(如 Smart Card具有管理功能,當讀取設備需要取資料時,IC 卡會與讀取設備之間執行某些關鍵性的詢問與確認(如通行碼),可以確定讀取設備的身份之後,IC 卡才會將自己的資料傳送給讀取設備,如此一來,IC 卡上的資料便較不容易被詐騙取得,也較不容易被竄改偽造。另一方面,儲存媒體大多不僅存放數位憑證而已,通常會將私有鑰匙一併存放在裡面,否則私有鑰匙僅是一連串無意義的電子資料,無論要記憶或書寫它都有困難,因此,還是主動式的儲存媒體較為安全一點。

簡單的說,具有管理功能的儲存媒體才能達到持卡者與讀取設備之間的相互認證身份(容後介紹),然而僅具有儲存功能的媒體大多不具有這些功能。這方面對於數位憑證而言是非常重要的,我們希望在虛擬環境之下交易,至少必須能單向或相互認證對方身份,才不至於被冒名詐騙得逞。無論如何,我們還是將可能儲存數位憑證的媒體歸納如下:

  • 磁碟片:這是早期所使用的儲存媒體,其具有較高的容量(1.44 MByte),但不具有管理功能是屬於被動式元件。磁碟片可以任意拷貝並讀取,因此容易被偽造竄改,目前已很少使用。

  • 隨身碟:其功能大都與磁碟片相同,只是具有更大的儲存空間(32 Mbyte 以上)。目前電腦大多配備有 USB 介面,不需特殊軟體(Windows XP 以上)便可以讀取隨身碟上的資料,雖然方便但他的安全性是可慮的。

  • USB Token其裝置大多與隨身碟相似,但在隨身碟上安裝有特殊管理功能(如 COS 作業系統,容後介紹),可以和讀取設備之間作符記(Token)協定的交談,如此便具有較高的安全效果。

  • IC 卡:具有管理功能的 IC 卡又稱之為『智慧卡』(Smart Card,卡片上的 ICIntegrated Circuit)可包含著 CPU(如 8051)及相關記憶體單元。基本上,IC 卡就具有簡單電腦系統的功能,不但有獨立的處理單元、作業系統(COS)、輸入/輸出介面,它與讀取設備(讀卡機)之間可從於較嚴謹的通訊協定(如 PKCS #11),來管理並認證對方身份的工作(第八章介紹),因此他的安全性可以說是最高的,也是目前最普遍採用的儲存元件。

7-5-2 智慧卡儲存 – IC

IC 卡(或智慧卡,存放私有鑰匙數位憑證)如同一般名片大小,裡面主要包含著一個 IC 晶片。晶片裡的主要模組包含中央處理單元(如 8051 CPU)、隨機存取記憶體(RAM)、快閃記憶體(FLASH)、以及一般輸入/輸出介面。為了加速 IC 卡的處理能力,除了嵌入(硬體或軟體)各種對稱式演算法(如 DESTriple DES AES)外,也具備了 RSA DSA 數位簽章演算法。整體上,IC 卡是一個整合型的『單晶片系統電路』(System-On-Chip Circuit, SOC),並由『智慧卡作業系統』(Card Operating System, COS)負責管理整個卡片的運作程序。CA 中心將申請人的『私有鑰匙』及『數位憑證』燒錄於 IC 卡上,並保證其內容不至於遭受竄改或複製。持有人必須透過通行碼的認證才可以取出私有鑰匙;另外,IC 卡與讀卡機之間也會經由『盤問/回應』協定確定對方身分;至於亂數或憑證內訊息的加密,或者處理數位簽章的簽署與驗證工作,亦可以在 IC 卡內完成即可,而不需仰賴外部的輔助設備(如個人電腦)。

7-5-3 智慧卡運作

既然數位憑證儲存於某一媒體上,而此媒體是一個獨立的元件(譬如 IC 卡),也許他人可以盜取此儲存媒體來從事網路交易。因此,最起碼必須有一個通行碼來作第一道關卡的保護;也就是說,當使用者想要由儲存媒體上讀出資料(如私有鑰匙)時,必須經過通行碼的認證,才可以讀出資料並從事網路交易,而且驗證通行碼的訊息必須儲存於媒體上(如 IC 卡),其運作如圖 7-8 所示。

  • 重點:私有鑰匙不可離開 IC 卡

  • 步驟 1: 主機將明文送入 IC 卡(讀卡機內)。

  • 步驟 2 : 使用者輸入通行碼。

  • 步驟 3: IC 卡向明文簽署或加密。

  • 步驟 4: IC 卡在將簽署碼或密文輸出給主機。

7-8 儲存媒體驗證通行碼

主講人:粘添壽博士

 

資訊與網路安全技術