240 likes | 488 Views
自然人憑證的應用. 報告人:嚴文常 內政部憑證管理中心. 政府機關公開金鑰基礎建設 GPKI. 何謂自然人憑證 「自然人憑證」暫以「 網路上的身分證 」或「 網路上的印鑑證明 」稱謂,可用於網路申辦服務時之 身分識別 、保障 資料傳輸安全與隱密性 、確保交易之 完整性與不可否認性 ,是推動電子化政府的基礎建設。. 自然人憑證的主要功能. 自然人憑證. 加解密. 電子簽章. 時戳 服 務. 電子證照. 身分辨認. 自然人憑證身分識別功能. 憑證管理中心. 憑證 公佈. 憑證 申請. 憑證 查詢. 密 鑰. 數 位 簽 章. 使用者.
E N D
自然人憑證的應用 報告人:嚴文常 內政部憑證管理中心
何謂自然人憑證 「自然人憑證」暫以「網路上的身分證」或「網路上的印鑑證明」稱謂,可用於網路申辦服務時之身分識別、保障資料傳輸安全與隱密性、確保交易之完整性與不可否認性,是推動電子化政府的基礎建設。
自然人憑證的主要功能 自然人憑證 加解密 電子簽章 時戳 服 務 電子證照 身分辨認
自然人憑證身分識別功能 憑證管理中心 憑證 公佈 憑證 申請 憑證 查詢 密 鑰 數 位 簽 章 使用者 接收者
自然人憑證加解密功能 • 非對稱式 011101010 10101010101 明 文 密 文 明 文 公鑰 密鑰 • 對稱式 010101010 010101010 明 文 密 文 明 文
雜湊函數的功能 • 輸入任意大小的訊息,輸出固定大小的訊息摘要(Message Digest) • 單向(one-way) • 抗碰撞(collision resistance) • 計算速度快 訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文訊息明文…… 雜湊函數 (Hash Function) 10001000100001010001111010101011011010100000011100000111100001111011111111111 訊息摘要(Message Digest) 訊息原文(Message)
自然人憑證簽章功能 文 件 簽 章 文 件 110111001 文 件 訊息摘要(簽體) 簽 章 雜湊 函數 私 鑰 加 密 101001100 110111001 發 文 者 + 傳送給收文者 訊息摘要(簽體) 雜湊 函數 101001100 收 文 者 如果驗證者兩者一 致表示資料未被竄 改及確認發文者身份 簽 章 公 鑰 解 密 110111001 101001100 訊息摘要(簽體)
時戳服務 • TSA: Timestamp Service Authority • 以公正第三者的角色提供了“某一份資料在某一特定時間點就已經存在”的證明,也就是該資料的時戳(Timestamp) • 不可否認性的證明
自然人憑證時戳服務架構 • 時間來源直接取於國家標準時鐘 • 提供時戳證據儲存、舉證、驗證服務 • 系統回應時間小於5秒 時戳服務中心(TSA) DB TSA戳記 2 Internet (HTTP) 1 線上申請 國家標準時鍾 TSA 伺服器
自然人憑證格式的內容 X.509格式憑證 V3 憑證格式版本 憑證序號 簽章演算法 簽章單位名稱 憑證有效期限 持有人姓名 -- 中文姓名 -- 主體名稱序號 持有人公鑰 簽發者唯一識別碼 持有人唯一識別碼 擴充欄位 -- 身分證後四碼 -- 金鑰用途 -- 憑證政策 -- 憑證主體別名 CA 簽章 16或17位元組 格林威治標準時間 中文以UTF-8編碼 簽章用或加解密用 信賴保證等級--3 E-MAIL address
如何申請自然人憑證安全保密函式庫(API) • 上內政部憑證管理中心網站(http://moica.nat.gov.tw)
如何申請自然人憑證安全保密函式庫(API) • 1.填寫申請表及切結書 • 2.列印後加蓋機關印信 • 3.發文至內政部資訊中心(台北市江路469巷4號)
檢驗的步驟與項目有哪些 公鑰憑證處理安全檢查表
公鑰憑證處理安全檢查表 • 共有十八條,詳見MOICA網站 • 分為可用HiSECURE函式介面解決﹝第二到第十五條﹞與其他方式解決﹝第一條、第十六、十七及十八條﹞ • 主要分為兩個階段的檢查,一為CA端憑證的檢驗;另一為用戶端憑證的檢驗。主要的原因為GPKI為三層式的憑證架構,也因為如此第三到第八條的檢查方式同第九到第十四條
公鑰憑證處理安全檢查表 • 安全取得Root CA(即GRCA)憑證(1) • 系統需設定信賴的憑證保證等級(2) • 驗證憑證內簽章(3,9) • 檢驗憑證內之金鑰使用用途是否正確(4,10) • 檢驗有效期限(5,11) • 使用CRL或OCSP來驗證憑證廢止狀態(6,12) • 檢驗CRL是否為正確且最新的(7,8,13,14)
公鑰憑證處理安全檢查表 • 對傳送之訊息加簽電子簽章以驗證用戶身份(15) • 系統的設計應以Challenge-Response或是Nonce機制來防範重送(replay)攻擊(16) • 對用戶私密資料應以強渡128bits以上的安全通道來保護(17) • 系統應定期校時,以確保系統時間之正確性(18)
結 論 應用系統與憑證管理中心的關係 • 採用CRL OR OCSP ? • CRL:每日夜間批次下載 • OCSP:每次需驗證時即時連線 • 如何取得使用者的公鑰憑證? • 從IC卡中讀出 • 從憑證管理中心經LDAP下載 • 需要使用身分確認服務系統嗎?
報告完畢 敬請指教 內政部憑證管理中心