***  如何從聯強e城市下載與安裝驅動程式? 請見 技術諮詢「桌上型電腦」主題        ***    
  行動通訊   數位產品   電腦系統   電腦組件   周邊耗材   軟體網路   維修服務   物流服務   集團動態   聯強EMBA
   
PKI(Public Key Infrastructure)簡介
06 / 23 / 2008

一、什麼是 PKI

PKI 是一種用以強化網路安全的技術,讓使用者透過公眾網路與他人安全且經過驗證地交換資訊,就如同現實世界以簽名、密封文件的方式來保全交換的訊息。

Public 在此指的是公眾的設施、公開的存取,通常是指網際網路之類的公開實體;Key 是一種數位表徵,藉以密碼學的加密與數位簽章的方式達成所要求的安全目標;Infrastructure 則是幾個部分所結合而成的整合系統,這裡最重要的部分是憑證機構(Certificate Authority:CA),將於爾後負起身份驗證與登錄的責任。PKI 整體而言透過網路所要提供給使用者的是:

•保密性(Confidentiality):確保僅有預期的接收者會收到訊息。
•資料完整性(Data Integrity):確保資料在接收前沒有被更改。
•驗證性(Authentication):確保參與資料交易者的身份無誤。
•不可否決性(Non-repudiation):交易資訊具有法律效力,參與交易者無法隨意否認。


二、PKI 組成要素

使用者的一對金鑰:這是提供給每一實體、每一個人,在數學上相關的一對鑰匙,每對鑰匙由私密金鑰(Private Key)與公開金鑰(Public Key)組成。公開金鑰可以發佈到網路或給其他使用者,私密金鑰通常只能存在於使用者的電腦,只有使用者可以存取。

數位憑證:由憑證機構發出,藉以向他人確認您的身分。數位憑證通常包含有持有者的公開金鑰、持有者的電子郵件地址、憑證發行單位、憑證有效期限…等等。

憑證機構(Certificate Authority:CA):發行與驗證憑證的組織,是屬於公正的第三方,要負責證明提出憑證發行的人身分的正確性,要保證包含在憑證裡資訊的正確性,並且需要對憑證作數位簽章。CA 的角色可以比擬成發行駕照的監理單位,當您提供必要的證明文件來證明您身份之後,CA 就發給您憑證,CA 並且會對憑證作簽署以避免憑證被竄改。依據檢核的等級,憑證可以依不同等級來發行,總共可以區分為 3 到 4 種的憑證等級。Class 1 憑證只需透過 E-Mail 就可取得;Class 2 憑證需要額外的個人資訊即可取得;Class 3 的憑證必須提出請求者的身份證明,經檢核過才能取的;Class 4 是用於政府和機關團體,需要非常高等級的檢核。


三、PKI 如何運作

公開金鑰驗證數位簽章:
當使用者 A 想要與使用者 B 溝通時,A先產生一對金鑰再向 CA 註冊申請,A 除了提供 CA 必要的證明文件外,也需要送上公開金鑰的副本,當 A 的身份被驗證無誤之後,CA 將發佈結合 A 使用者公開金鑰的數位憑證,CA 會把此憑證擺在公用資料庫,這就如同是公用電話簿的公開電話一般。

當 A 使用者想要與 B 使用者溝通時,他只需以自己的私密金鑰對文件作簽章,B 使用者這端只需透過 CA 的資料庫取得A使用者的公開金鑰即可驗證文件的確來自A使用者;當由 A 使用者傳送過來的文件內容經過雜湊函數(hash function)所得到的文摘(digest)與A一併傳送過來的簽章經 public key 解密所得到的文摘作比對,若是符合即證明文件確實是 A 使用者所簽署。




公開金鑰加密:
上面例子是用在簽章,若A使用者希望也能傳送加密資料給 B 使用者,必須 B 使用者也使用 PKI。A 此時必須從 CA 取得包含 B 的公開金鑰的憑證,而B的憑證是以 CA 的私密金鑰作數位簽章,因此 A 必須以 CA 的公開金鑰驗證此簽章以取得 B 的公開金鑰,接著用於傳送加密資料。

公開金鑰密碼學是使用在數學上相關連的一對金鑰,如果以其中一把金鑰用來加密訊息,那就只能用另一把金鑰解開訊息;這對金鑰的其中一支稱為 Public Key(公開金鑰),通常被任意散佈;另一把鑰匙稱為 Private Key(私密金鑰),不對公眾公開,通常是放於電腦內部無法取得;由於加密與解密使用不同的一對鑰匙,所以稱為非對稱式密碼學(asymmetric cryptography)。

不過在實際的運作案例中,加密與解密大多是使用同一把鑰匙,也就是對稱式密碼學(asymmetric cryptography),在處理速度上比非對稱式密碼學快。




四、PKI 應用

PKI 在實際上與我們生活比較相關的應用就屬“自然人憑證”,自然人憑證就像是網路身份證,不需要出門就可以透過網路證明我的身份;因此我可以透過網路辦理網路報稅、申請電子戶籍謄本、更改駕照地址,甚至可以用於中華電信e櫃臺。另外台灣網路認證(TWCA)所發送的網路銀行憑證,可以用於證券網路下單、期貨網路下單、電子商務、網路銀行…等等,與我們日常生活也是息息相關。目前國內多數 PKI 的憑證機構仍是屬於政府機關在推動,在民間企業內部其實有諸多應用可以推廣;例如用於員工識別證,可以作為門禁管制、請假、公文傳遞,甚至在家裡辦公,因為電子化憑證的使用,強調的就是突破時空的限制。