五、政府凭证管理中心相关规范.

107五、政府憑證管理中心相關規範（一）技術標準政府憑證管理中心(GovernmentCertificateAuthority,GCA)有關電子憑證之命名、加密演算、數位簽章演算、憑證格式、憑證編碼、私密金鑰加密格式等所採用之標準與格式如下：１、命名(Naming)：採X.509命名方式。其他標準包括電子郵件E-mail(RFC822)、網域名稱服務DomainNameServiceName(RFC1035)、Originator/RecipientAddressO/RAddress(X.400,1988)、目錄名稱DirectoryName(X.501,1993)、電子文件交換EDIpartName、全球資訊網網址UniformResourceLocatorURL(RFC1630)、網際網路位址IPaddress(RFC791)及註冊識別碼RegisteredID(X.660)等。２、加密演算法：採TripleDESCBC112bits演算法。３、憑證的數位簽章演算法：採RSA演算法，其金鑰長度為1024bits，並配合雜湊函數SHA-1作訊息摘要，補白(padding)方法採SET規範。４、憑證公佈(CertificateDistribution)：採用HTTP協定。５、憑證格式(CertificateFormat)：採用X.509(V3，1993)標準。６、廢止清冊(CRL)：採用X.509(V2，1993)標準。７、憑證編碼方式。（１）AbstractSyntaxNotationOne(ASN.1)：描述資料欄位的形態與數值(定義在CCITTTX.208,1988)（２）BasicEncodingRule(BER)：描述資料標碼規則(定義在CCITTX.209,1988)（３）DistinguishEncodingRule(DER)：對ASN.1提供唯一編碼方式，DER是BER的Subset(定義在ITU-TX.690,1994)８、個人密鑰:採用PKCS#5(PKCS:PublicKeyCryptographicStandard)公開金鑰密碼標準格式加密格式。９、通信協定：108（１）TCP/IP（２）HTTP（二）政府機關憑證格式有關GCA的憑證格式及其ASN.1的格式如下說明１、GCA憑證格式(X.509v3)憑證管理中心所使用之公開金鑰憑證內容敘述如下：(1)版本：該憑證製作所依據的X.509版序（V3）(2)序號：由憑證管理中心所給定的唯一憑證序號(3)數位簽章演算法：憑證管理中心簽署該憑證所用的演算法憑證格式版本憑證序號簽章演算法簽發者名稱憑證有效期限持有者識別名稱(SubjectName)持有者公鑰簽發者唯一識別碼持有者唯一識別碼(SubjectUniqueID)金鑰用途憑證政策持有者別名基本限制CA簽章擴充欄位109(4)簽發單位名稱：簽署該憑證之憑證管理中心名稱(5)憑證有效期限：該憑證生效日期與截止日期(6)用戶名稱：依據X.500命名方式所命名的用戶名稱(7)公開金鑰資料：公開金鑰的值與演算法名稱(8)簽發者識別號：簽署該憑證之憑證管理中心獨有的識別號碼(9)用戶識別號：用戶獨有唯一識別碼(10)X.509擴充欄位（V3）：憑證管理中心的政策與金鑰名稱補充(11)數位簽章演算法：憑證管理中心簽章所用的演算法(12)數位簽章：憑證管理中心對以上資料作數位簽章公鑰憑證擴充欄位(CertificateExtensions)敘述如下：(1)金鑰的用途(KeyUsage)(2)憑證簽發原則與政策（CertificatePolicies）(3)替代名稱（AlternativeName）(4)基本限制（BasicConstraints）２、憑證的ASN.1格式說明憑證的ASN.1格式詳細如下所列：110Certificate::=SEQUENCE{tbsCertificateTBSCertificate,signatureAlgorithmAlgorithmIdentifier,signatureBITSTRING}TBSCertificate::=SEQUENCE{version[0]EXPLICITVersion,serialNumberCertificateSerialNumber,signatureAlgorithmIdentifier,issuerName,validityValidity,subjectName,subjectPublicKeyInfoSubjectPublicKeyInfo,issuerUniqueID[1]IMPLICITUniqueIdentifierOPTIONAL,SubjectUniqueID[2]IMPLICITUniqueIdentifierOPTIONAL,extensions[3]EXPLICITExtensionsOPTIONAL}Version::=INTEGER{v3(2)}CertificateSerialNumber::=INTEGERValidity::=SEQUENCE{notBeforeTime,notAfterTime}Time::=CHOICE{utcTimeUTCTime,generalTimeGerneralizedTime}UniqueIdentifier::=BITSTRINGSubjectPublicKeyInfo::=SEQUENCE{algorithmAlgorithmIdentifier,111subjectPublicKeyBITSTRING}Extensions::=SEQUENCESIZE(1..MAX)OFEXTENSIONExtension::=SEQUENCE{exnIDOBJECTIDENTIFIER,criticalBOOLEANDEFAULTFALSE,extnValueOCTETSTRING}AlgorithmIdentifier::=SEQUENCE{algorithmOBJECTIDENTIFIER,parametersANYDEFINEDBYalgorithmOPTIONAL}Name::=CHOICE{RDNSequence}RDNSequence::=SEQUENCEOFRelativeDistinguishedNameRelativeDistinguishedName::=SETOFAttributeTypeAndValueAttributeTypeAndValue::=SEQUENCE{typeAttributeType,valueAttributeValue}AttributeTypeOBJECTIDENTIFIER::={joint-iso-ccitt(2)ds(5)attributeType(4)}AttributeValue::=ANYDEFINEDBYAttribeType--countrytypecountryNameATTRIBUTEWITHATTRIBUTE-SYNTAXPrintableString(SIZE(2))--IS3166codesonly112MATCHESFOREQUALITYSINGLEVALUE::={attributeType6}--organizationtypeorganizationNameATTRIBUTEWITHATTRIBUTE-SYNTAXcaseIgnoreStringSyntax(SIZE(1..ub-organization-Name))::={attributeType10}--organizationunittypeorganizationUnitNameATTRIBUTEWITHATTRIBUTE-SYNTAXcaseIgnoreStringSyntax(SIZE(1..ub-organizational-unit-Name))::={attributeType11}--commonnametypecommonNameATTRIBUTEWITHATTRIBUTE-SYNTAXcaseIgnoreStringSyntax(SIZE(1..ub-common-Name))::={attributeType3}--extensions--keyusageextensionid-ce-keyUsageOBJECTIDENTIFIER::={id-ce15}KeyUsage::=BITSTRING{DigitalSignature(0)NonRepudiation(1)keyEncipherment(2)dataEncryption(3)keyAgreement(4)113keyCertSign(5)cRLSign(6)encipherOnly(7)decipherOnly(8)}--policyextensionid-ce-certificatePoliciesOBJECTIDENTIFIER::={id-ce32}certificatePolicies::=SEQUENCESIZE(1..MAX)OFPolicyInformationPolicyInformation::=SEQUENCE{policyIdentifierCertPolicyId,policyQualifiersSEQUENCESIZE(1..MAX)OFPolicyQualifierInfoOPTIONAL}CertPolicyIdOBJECTIDENTIFIERid-cht-cp-1OBJECTIDENTIFIER::={12tw(886)cht(1)cp(2)policy-1(1)}PolicyQualifierInfo::=SEQUENCE{policyQualifierIdPolicyQualifierId,qualifierANYDEFUNEDBYpolicyQualifierId}--subjectalternativenameextensionid-ce-subjectAltNameOBJECTIDENTIFIER::={id-ce17}SubjectAltName::=GeneralNamesGeneralNames::=SEQUENCESIZE(1..MAX)OFGernalNameGernalName::=CHOICE{otherName[0]OtherName,rfc822Name[1]IA5String,114dNSName[2]IA5String,x400Name[3]ORAddress,directoryName[4]Name,ediPartyName[5]EDIPartyName,uniformResourceIdentifier[6]IA5String,iPAddress[7]OCTETSTRING,reqisterdID[8]OBJECTIDENTIFIER}OtherName::=SEQUENCE{type-idOBJECTIDENTIFIER,value[0]EXPLICITANYDEFIEDBYtype-id}id-taiwanPersonalIDOBJECTIDENTIFIER::={12tw(886)cht(1)id(1)}TaiwanPersonIDIA5String--basicconstraintsentensionsid-ce-basicConstraintsOBJECTIDENTIFIER::={id-ce19}BasicConstraints::=SEQUENCE{cABOOLEANDEFAULTFALSE,pathConstraintINTEGER(..MAX)OPTIONAL}115（三）政府機關憑證內容及查詢說明GCA所核發政府機構憑證有兩項資料內容說明:１、持有者識別名稱(SubjectName)c=tw，o=行政院，ou=主管機關註冊窗口，cn=單位全名２、持有者唯一識別碼(SubjectUniqueID)依據“全國公務人員人事資訊統一代碼管理要點“規定３、憑證查詢時輸入全國公務人員人事