電子憑證應用 v1.0

1. 電子憑證應用v1.0 kphsu@ntu.edu.tw 臺大計中資料管理師 許凱平 http://mis.cc.ntu.edu.tw/pki/

2. 台大首頁 www.ntu.edu.tw 教職員資訊服務網 info.ntu.edu.tw/finfo/

3. mis.cc.ntu.edu.tw/pki/

4. 大綱 • 電子憑證簡介 • 自然人憑證介紹 • 在電子郵件的應用 • 政府服務應用 • 結合校務行政系統的應用 • 簡易故障排除

5. 什麼是電子憑證（電子證書） • 簽章過的電子文件 • 畢業證書：畢業生姓名 校印 日期 文號 學校電子簽章（畢業生姓名 日期 文號） • 自然人憑證 • 內政部簽給自然人的電子證書（印鑑證明） • 證明此人跟一個數字（公鑰）的特殊關係

6. 電子簽章法：目標與精神 • 目標 • 完整：防止資料在傳送過程遭篡改偽造 • 身分認證：確認交易對象真正身分 • 不可否認性：避免交易完成事後否認精神：當事人約定 • 防止數位落差 • 必須提供人工作業和書面的服務

7. 效益：無紙化 • 哪一些文件可改用電子文件 • 書面文件得以電子文件為之(4) • 書面文件之原本或正本得以電子文件為之(5) • 書面文件之法定保存，得以電子文件為之(6) • 簽名或蓋章得以電子簽章為之(9) • 效益 • 真正的無紙化，不用印出來蓋章了！

8. 什麼是電子簽章 • 電子簽章：指依附於電子文件並與其相關連，用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者[電子簽章法第二條第二項] • 數位簽章：指將電子文件以數學演算法或其他方式運算為一定長度之數位資料，以簽署人之私密金鑰對其加密，形成電子簽章，並得以公開金鑰加以驗證者[電子簽章法第二條第三項]

9. 請假單 請假單 Bob公鑰 Bob私鑰 23 7 Bob Bob Bob Alice 數位簽章 請假單 簽章 驗章 [clchen]

10. 非對稱式加解密系統 • Key Pair • 公鑰 Public Key + 私鑰 Private Key • 知道公鑰無法推出私鑰 • 加密 • 公鑰加密，能且只能用私鑰解密 • 備份私鑰，否則有加密資料無法解開的問題 • 簽章 • 私鑰簽章，公鑰驗章 • 沒有私鑰無法假造可通過公鑰驗證的簽章，x備份

11. RSA加密演算法 • 隨意選擇兩個大的質數p和q，p不等於q，計算N=pq。 • 選擇一個大於1小於N的自然數e，e必須與(p-1)(q-1)互質。 • 用以下這個公式計算d：d× e ≡ 1 (mod (p-1)(q-1)) • 將p和q的記錄銷毀。

12. Key Gen • p=17, q=11, N=187 • Phi= (17-1)(11-1)=160 • Factor(phi)=25*5 • E={3,7,11,…}, let e=7 • d*e==1(%phi), 7d=160*i+1 • 161=7*23, d=23 • Public Key PU(7,187) 公布之 • Private Key PR(23,187) 妥善保存 • 磁片+軟體保護 • 晶片卡+PIN • PGP

13. M: Message(明文) C: Cipher(密文) • 公鑰加密/私鑰解密 • M < N, M is message, ex. M=72(明文) • C=Enc(72,7,187)= 727%187=30 (密文) • M=Dec(30,23,187)=3023%187=72 (明文) • 私鑰簽章/公鑰驗章 • M < N, M is message, ex. M=72(明文) • C=Enc(72,23,187)= 7223%187=183 (簽章值) • M=Dec(183,7,187)=1837%187==72(驗章)

14. 與傳統簽章比較 • 簽章 • 印鑑證明 • 簽章：墨水滲透進紙張的纖維，成為文件的一部份 • 雙正本，正副本，法院公證，存證信函 • 比對 • 數位簽章 • 登錄公鑰 • 計算簽章值: 電子文件*私鑰 • 存證 • 驗章: 電子文件*公鑰

15. 電子簽章 • 數位簽章應依一定之程序製作始生效力(10) • 憑證機構應製作及公布憑證實務作業基準 (11) • 有效的電子簽章 • 由管理機構認可之憑證機構 • CA, Certificate Authority • 使用憑證機構簽發的公開金鑰憑證 • 未超過有效期限及使用範圍 • 經驗證記載的內容無誤

16. 請假單 報稅 戶籍謄本 Bob Bob Bob Bob 行政院 政府機關公開金鑰基礎建設 〈GPKI, Government PKI〉 研考會 憑證推行小組 政府憑證總管理中心 內政部憑證管理中心

17. PKI & PMI電子化服務的基礎 • PKI 公鑰憑證（身分憑證） • Public key Infrastructure • 身份證書 身份證 印章 • CA, RA 由政府統一負責 • PMI 屬性憑證（資格憑證） • Privilege Management Infrastructure • 屬性證書 在職證明 在學證明 • 各機關需要做的是PMI • 公務員憑證 (準備中…)

18. 認證 授權與簽章 • 認證 (authentication) –我是誰？ • 常見機制：帳號密碼 • 授權 (authorization) –我能做什麼？ • 常見機制：多組帳號密碼 • 改善機制：單一簽入 (single login) • 想像成有一個大表格，註明何人能做何事 • 簽章 (signature) –事情是我做的 • 帳號密碼無法有效簽章 [clchen]

19. IC 卡 • 達成讓個人安全保存私鑰之目標 • IC 卡的記憶體–儲存金鑰對及相關資訊 • IC 卡的 CPU–執行金鑰對相關運算 • IC 卡是個人專屬、無法讀出私鑰的電腦 • IC 卡不易複製 • 金鑰對的使用不只是權利 (權力) 也是義務

20. 常見的晶片卡 • 晶片卡 • 自然人憑證(Citizen Digital Certificate) • 金融卡 信用卡 • 健保卡 • 悠遊卡 • 自行發卡 • Software Key: PGP

21. 自然人憑證 • idno: Citizen’s ID Number

22. PC Browser ActiveXControl Web Server Process Internet Web App CSP CryptoDLL Driver 讀卡機 Smart Card

23. 安裝 • 系統需求 • 作業系統：Win2000, XP, 2003, and Vista • 瀏覽器：IE6, IE7 • 安裝讀卡機及其所附驅動程式 • WinXP可以讓作業系統自己找

24. 讀卡機選購 • 價格大約 99~500元間 • 附加功能 • 金融晶片卡WebATM • 二代金融卡功能（有鍵盤跟螢幕） • 需軟體配合 • 讀取iCash卡餘額 Image from easyatm

25. Chip & Pin Assumptions • Solution Provider’s Responsibility • 沒有人可以複製晶片卡 • User’s Responsibility • 收好自己的晶片卡，不將PIN跟別人講 • Reasoning • 我不跟別人講，別人就不知道我的PIN • 收好自己的晶片卡，不將PIN跟別人講就可以確保自己的安全 • 別人撿到我的晶片卡，不知道我的PIN，沒辦法假冒我 • 別人如果知道了我的PIN，沒有我的晶片卡沒辦法假冒我 • 如果有人有我的晶片卡，又知道我的PIN，就可以假冒我

26. Pin? **** 1234 1234 Plz Enter Pin in Card Reader! Nothing at all “dummy” card reader “smart” card reader 1234 Pin will not leak! TEMPSET Image from easyatm Image from nist

27. CSP:Cryptographic Service Provider • 安裝SafeSign CSP http://moica.nat.gov.tw/html/download_1.htm • 開始/程式集/SafeSign Version 1.0.8/ (1) Certificate Registration Utility (2) Intstall SafeSign in Netscape (3) Token Management

28. 匯入憑證 • 從自然人憑證晶片卡取得 • 插入自然人憑證 • 如果沒有自動匯入的話 • 執行SafeSign/Certificate Registration Utility • 同一張卡在同一台電腦上只要做一次 • 檢查安裝狀態 • IE6 工具/網際網路選項/內容/憑證/個人

29. 2x2 • Key Usage • Digital Signature(80) • Key Encipherment, Data Encipherment(30)

31. 公鑰

32. O = Government Root Certification Authority C = TW 4096 Subject 序號 = 0000000111638893 CN = 許凱平 C = TW Issuer OU = 內政部憑證管理中心 O = 行政院 C = TW 2048 1024 Issuer

33. 在電子郵件的應用 • 請參考中華電信安全電子郵件介紹的講義 • Outlook Express, Outlook2003, ThunderBird and Notes Mail • 精簡版 • Step1 取得憑證 • Step2 匯入至Outlook Express • Step3 送加密信給kphsu, kphsu.公鑰 • Step4 kphsu簽章kphsu.晶片卡

34. kphsu公鑰 kphsu私鑰 23 7 取得kphsu的公鑰 工讀生 secrete kphsu@ntu.edu.tw 用私鑰解密 secrete 驗章

35. Step1 取得連絡人的電子憑證 • 連線至http://moica.nat.gov.tw/ • 選擇中文版 • 憑證作業/查詢憑證簽發情形/輸入姓名（全名）或電子郵件位址/查詢 • 下載憑證 • 一個是簽章用 • 一個是加密用

36. 1 3 2 4

37. 下載憑證

38. 匯入憑證 通訊錄 搜尋/找到人 數位識別碼/匯入憑證

39. 補充資料一

40. 加密 沒有插入晶片卡的，可以看到寄件人，主旨，但無法閱讀內容 應該是解密

41. kphsu私鑰 23 插入自然人憑證晶片卡 看不到 拔出晶片卡 輸入 PIN 解密

42. kphsu私鑰 23 kphsu發信 輸入 PIN 工讀生收信 可以不用先取得kphsu的公鑰

43. 小結論 • 先寄一封簽章過的信給對方(工讀生) • (工讀生)對方打開你的信，驗章的過程中可以取得你的公鑰 • (工讀生)就可以使用你的公鑰加密信件 • 工程師用私鑰解密

44. kphsu公鑰 kphsu私鑰 23 7 用私鑰簽章 工讀生 驗章 secrete 用私鑰解密 secrete

46. 尚未取得kphsu公鑰 卻要寄加密的信給他 產生的錯誤訊息

47. 政府服務應用 • MOICA網站介紹 • 【MOICA網站安全性元件】。 • 憑證作業 • 憑證作業：更改憑證公佈狀態、取得（查詢）憑證、停用、復用與廢止 • 密碼（PIN）：更改PIN碼、鎖卡或忘了PIN碼（需有申請時的用戶代碼）

48. 應用服務 • 連線moica\選取應用服務(19項) • 較常用的 • 報稅 • 戶籍謄本 • 勞保資料 • 中華電信帳單/簡訊 • 郵局帳戶改地址

49. 與校務系統結合 • 認證 • 結合單一簽入 • 簽章 • 電子表單系統 • 試辦 • 自然人憑證簽到退系統 • 公文傳閱 • 電子表單設計系統

50. 臺灣大學電子憑證推動網 • 提供電子憑證相關資訊 • 功能 • 憑證上傳 憑證應用 工作時程 • 常問詢答(安全檢查表) • 諮詢窗口 工作團隊 • 連結 • 台大首頁 電子簽章法 MOICA • 台大行事曆 網上論壇