資訊與網路安全技術 第 七章 數位簽章與數位憑證  上一頁      下一頁

 

7-7 憑證授權中心

內容:

  • 7-7-1 憑證授權中心簡介

  • 7-7-2 CA 的服務項目

  • 7-7-3 憑證的產生與認證

  • 7-7-4 憑證的註銷

7-7-1 憑證授權中心簡介

發出憑證的單位(或公司),便稱為『憑證授權』(Certification Authority, CA中心。CA 中心必須是個可信賴的公正單位(私人或政府),它會依據合法申請者的請求,發出數位憑證。數位憑證裡包含了申請人的辨識資料(姓名、地址、或身份字號)、申請人的公開鑰匙、序號與其他資料,並保證不會造假;並且 CA 中心利用自己的私有鑰匙向上述資料簽署,所得到的數位簽章亦存放於憑證裡。也就是說,每一張數位憑證必須有發行 CA 的數位簽章,而此數位簽章是利用 CA 中心的私有鑰匙簽署保證。任何人,如果懷疑某一張數位憑證的真實性,便可以利用 CA 的公開鑰匙來認證它的正確性。這裡又出現另一個問題,欲取得 CA 的公開鑰匙,必須先拿到該 CA 的數位憑證,再由它的數位憑證取得它的公開鑰匙,但這張數位憑證的真實性如何?亦無法保證;因此,需仰賴另一個較高權威的 CA 來證實它,這就是 CA 中心也需要憑證的理由。

目前台灣較具權威的認證中心有:

  • 政府憑證管理中心 (www.pki.gov.tw)這是官方發行單位,可以針對個人(自然人)或公司行號(法人)發行數位憑證,所發行的憑證較具有權威性,它的用途也較為特殊。譬如,透過網路向政府單位承標各種工程或器材,便需要此 CA 中心所發行的憑證來證明自己的身份。

  • 內政部憑證管理中心(moica.nat.gov.tw):官方發行單位,這是針對個人所發行的憑證,功能就如同個人身分證一樣,又稱為『電子身分證 IC 卡』。個人(或稱自然人)欲透過網路向政府機關申辦任何事項,便以此憑證來確認身份。

  • 工商憑證管理中心(moeaca.nat.gov.tw):官方發行單位,其建置工商憑證管理中心核發事業主體的數位憑證,同時提供可靠、安全及快速的網路申辦系統,提高作業效率及服務品質。

  • 台灣網路認證中心 (www.taica.com.tw)這是民間發行單位(主要是台灣證券交易所),主要用途是使用於透過網路來執行股票交易(下單買賣)時,認證下單者的真正身份、也發行電子錢包;但目前也有許多網路銀行,利用此 CA 所發行的憑證來確認客戶的身份。

  • 儲匯局電子證書認證中心 (ca.prsb.gov.tw)亦屬政府單位所發行的,可透過它來發送數位『存證信函』。

  • 網際威信 (www.hitrust.com.tw)這是民間發行公司,接受個人、公司行號、以及 SSL 伺服器憑證申請,主要是從事一般電子商務上的身份證明。

7-7-2 CA 的服務項目

CA 中心核准申請並產生鑰匙配對之後,便將私鑰與數位憑證儲存於 IC卡上,再交付給申請者。持有者可能會遺失 IC 卡、忘記通行碼、或者對鑰匙配對的安全性感到懷疑時,則可向 CA 中心提出相關的服務請求。CA 中心的服務項目如圖 7-11 所示,說明如下:

  • 憑證簽發、更新與終止:CA 中心負責用戶身份的審核及憑證簽發、更新、以及終止用戶的憑證。

  • 憑證保存:CA 中心必須紀錄所有的有效憑證、過期憑證、以及註銷憑證的清單,並提供相關憑證變動資料給用戶。

  • 憑證查詢與分送:除了保存各種憑證資料外,還必須供應客戶的查詢,或者分送憑證給客戶。

  • 公正仲裁:當交易發生爭執時,CA 必須提供如用戶的身份及公鑰等公正資料,給相關仲裁單位(如法院)。

7-11 CA 的服務項目

7-7-3 憑證的產生與認證

如果想要在 Internet 網路上從事各種交易(或電子商務),那就必須向一家較具有權威的 CA 中心申請數位憑證。但隨著交易行為不同,或許會有不同的數位憑證,這種現象就如同一個人(或組織)持有各種不同的證照一樣。譬如,志明想要透過網路申報綜合所得稅,因此他可以選擇向台灣網路認證中心taica)申請數位憑證,其步驟如下:(如圖 7-12 所示)

  • 志明 taica 提出申請數位憑證的請求,並將個人相關資料傳送給(或親自辦理)taica

  • taica 查核志明的相關資料後,便製造志明個人的公鑰與私鑰配對;也製作志明的數位憑證,其中包含志明的個人資料(姓名、地址、E-mail 位址等等)、公鑰、以及 taica 公司的數位簽章;其中數位簽章是表示 taica 對這張憑證的證實資料(如同印章一樣)。並將志明的數位憑證登錄到資料庫系統內(LDAP 系統,第九章介紹)以供查詢。

  •  taica 公司將數位憑證與私有鑰匙分別傳送給志明,其可能儲存於不同的磁片上,或者一起燒錄於 IC 卡上。

  • 志明便可利用 taica 公司所發行的數位憑證與私鑰,向稅捐處申報綜合所得稅。

  • 稅捐處收到志明的數位憑證,由數位憑證的標頭上可以觀察出是出自 taica 公司所發行,便利用 taica 公司的公開鑰匙來認證此憑證的真偽。認證方法是,首先利用 taica 的公鑰來向憑證內的數位簽章解密,再利用憑證上所敘述的雜湊演算法來向憑證內的資料做計算,如果兩者結果相同的話,則表示憑證是正確的,而且內容也沒有被竄改過。

7-12 憑證產生與驗證的程序

CA 中心收到客戶端的申請時,如何去過濾及查核申請人的資料,這真是一件繁複的工作。如果權威性較高的 CA,它期望所發出的憑證不會重複,亦是,針對每一個人(或法人)只能發給一張憑證;另外,也許會有冒名或相同名字的申請者,當然必須詳加調查清楚,通常查核的工作可能要 2 天到一個星期的時間。

7-7-4 憑證的註銷

每一張數位憑證都有一個有效期間的限制,即使有效期間內,憑證也有可能被註銷,註銷原因有:

  • 用戶的私鑰遺失、或公鑰被破解,而需要修改私鑰與公鑰時。

  • 用戶的私鑰被盜竊使用,而需要重新修改私鑰與公鑰。

  • CA 中心發現憑證發給錯誤的個人或團體、或發現原申請資料不正確。

  • 用戶不再使用此憑證,而申請註銷。

CA 中心必須隨時備有這些已註銷的資料,讓一般客戶查詢。一般 CA 都會使用『憑證註銷序列』(Certificate Revocation List, CRL)來記錄所有已被註銷的憑證。當客戶收到某一張憑證之後,除了觀察憑證上所紀錄的有效期間是否過期外,也可以透過網路向 CA 中心查詢,該憑證是否過期。然而,當 CA 的申請者愈多時,可能的註銷憑證也會快速的成長;另一方面,為了安全起見,CA 中心還提供各種憑證資料的查詢,因此,CA 除了需要一個快速的資料庫系統來儲存,也需要有一個共通的通訊協定來制定查詢的運作程序與語法,這些都是 PKI 系統所需制定的標準。目前 PKI 大多採用 LDAP 協定來制定客戶端與伺服端之間的查詢動作,並以 X.509 標準來制定數位憑證的格式,我們將在第九章再詳細介紹相關的技術。

主講人:粘添壽博士

 

資訊與網路安全技術