电子凭证应用v10

電子憑證應用v1.0kphsu@ntu.edu.tw臺大計中資料管理師許凱平電子憑證簡介自然人憑證介紹在電子郵件的應用政府服務應用結合校務行政系統的應用簡易故障排除什麼是電子憑證（電子證書）簽章過的電子文件畢業證書：畢業生姓名校印日期文號學校電子簽章（畢業生姓名日期文號）自然人憑證內政部簽給自然人的電子證書（印鑑證明）證明此人跟一個數字（公鑰）的特殊關係電子簽章法：目標與精神目標完整：防止資料在傳送過程遭篡改偽造身分認證：確認交易對象真正身分不可否認性：避免交易完成事後否認精神：當事人約定防止數位落差必須提供人工作業和書面的服務效益：無紙化哪一些文件可改用電子文件書面文件得以電子文件為之(4)書面文件之原本或正本得以電子文件為之(5)書面文件之法定保存，得以電子文件為之(6)簽名或蓋章得以電子簽章為之(9)效益真正的無紙化，不用印出來蓋章了！什麼是電子簽章電子簽章：指依附於電子文件並與其相關連，用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者[電子簽章法第二條第二項]數位簽章：指將電子文件以數學演算法或其他方式運算為一定長度之數位資料，以簽署人之私密金鑰對其加密，形成電子簽章，並得以公開金鑰加以驗證者[電子簽章法第二條第三項]數位簽章BobAliceBob公鑰723Bob私鑰[clchen]簽章請假單請假單Bob驗章請假單Bob非對稱式加解密系統KeyPair公鑰PublicKey+私鑰PrivateKey知道公鑰無法推出私鑰加密公鑰加密，能且只能用私鑰解密備份私鑰，否則有加密資料無法解開的問題簽章私鑰簽章，公鑰驗章沒有私鑰無法假造可通過公鑰驗證的簽章，x備份RSA加密演算法1.隨意選擇兩個大的質數p和q，p不等於q，計算N=pq。2.選擇一個大於1小於N的自然數e，e必須與(p-1)(q-1)互質。3.用以下這個公式計算d：d×e≡1(mod(p-1)(q-1))4.將p和q的記錄銷毀。KeyGenp=17,q=11,N=187Phi=(17-1)(11-1)=160Factor(phi)=25*5E={3,7,11,…},lete=7d*e==1(%phi),7d=160*i+1161=7*23,d=23PublicKeyPU(7,187)公布之PrivateKeyPR(23,187)妥善保存磁片+軟體保護晶片卡+PINPGP公鑰加密/私鑰解密MN,Mismessage,ex.M=72(明文)C=Enc(72,7,187)=727%187=30(密文)M=Dec(30,23,187)=3023%187=72(明文)私鑰簽章/公鑰驗章MN,Mismessage,ex.M=72(明文)C=Enc(72,23,187)=7223%187=183(簽章值)M=Dec(183,7,187)=1837%187==72(驗章)M:Message(明文)C:Cipher(密文)與傳統簽章比較簽章印鑑證明簽章：墨水滲透進紙張的纖維，成為文件的一部份雙正本，正副本，法院公證，存證信函比對數位簽章登錄公鑰計算簽章值:電子文件*私鑰存證驗章:電子文件*公鑰電子簽章數位簽章應依一定之程序製作始生效力(10)憑證機構應製作及公布憑證實務作業基準(11)有效的電子簽章由管理機構認可之憑證機構CA,CertificateAuthority使用憑證機構簽發的公開金鑰憑證未超過有效期限及使用範圍經驗證記載的內容無誤請假單Bob報稅Bob戶籍謄本BobBob政府機關公開金鑰基礎建設〈GPKI,GovernmentPKI〉政府憑證總管理中心行政院研考會憑證推行小組內政部憑證管理中心PKI&PMI電子化服務的基礎PKI公鑰憑證（身分憑證）PublickeyInfrastructure身份證書身份證印章CA,RA由政府統一負責PMI屬性憑證（資格憑證）PrivilegeManagementInfrastructure屬性證書在職證明在學證明各機關需要做的是PMI公務員憑證(準備中…)認證(authentication)–我是誰？常見機制：帳號密碼授權(authorization)–我能做什麼？常見機制：多組帳號密碼改善機制：單一簽入(singlelogin)想像成有一個大表格，註明何人能做何事簽章(signature)–事情是我做的帳號密碼無法有效簽章認證授權與簽章[clchen]IC卡達成讓個人安全保存私鑰之目標IC卡的記憶體–儲存金鑰對及相關資訊IC卡的CPU–執行金鑰對相關運算IC卡是個人專屬、無法讀出私鑰的電腦IC卡不易複製金鑰對的使用不只是權利(權力)也是義務常見的晶片卡晶片卡自然人憑證(CitizenDigitalCertificate)金融卡信用卡健保卡悠遊卡自行發卡SoftwareKey:PGP自然人憑證FieldValueRemarkSubjectName許凱平unicodeIssuerName內政部憑證管理中心2.5.29.9*3698Right(idno,4)RFC822Namekphsu@ntu.edu.twemailCert.SN00A4363ACAB7CF06C7C8AC2271EC67A914idno:Citizen’sIDNumber讀卡機SmartCardPCBrowserActiveXControlWebServerProcessCryptoDLLInternetWebAppCSPDriver安裝系統需求作業系統：Win2000,XP,2003,andVista瀏覽器：IE6,IE7安裝讀卡機及其所附驅動程式WinXP可以讓作業系統自己找讀卡機選購價格大約99~500元間附加功能金融晶片卡WebATM二代金融卡功能（有鍵盤跟螢幕）需軟體配合讀取iCash卡餘額ImagefromeasyatmChip&PinAssumptionsSolutionProvider’sResponsibility沒有人可以複製晶片卡User’sResponsibility收好自己的晶片卡，不將PIN跟別人講Reasoning我不跟別人講，別人就不知道我的PIN收好自己的晶片卡，不將PIN跟別人講就可以確保自己的安全別人撿到我的晶片卡，不知道我的PIN，沒辦法假冒我別人如果知道了我的PIN，沒有我的晶片卡沒辦法假冒我如果有人有我的晶片卡，又知道我的PIN，就可以假冒我ImagefromnistPin?****1234PlzEnterPininCardReader!1234Imagefromeasyatm1234Pinwillnotleak!Nothingatall“dummy”cardreader“smart”cardreaderTEMPSETCSP:CryptographicServiceProvider安裝SafeSignCSP開始/程式集/SafeSignVersion1.0.8/(1)CertificateRegistrationUtility(2)IntstallSafeSigninNetscape(3)TokenManagement匯入憑證從自然人憑證晶片卡取得插入自然人憑證如果沒有自動匯入的話執行SafeSign/CertificateRegistrationUtility同一張卡在同一台電腦上只要做一次檢查安裝狀態IE6工具/網際網路選項/內容/憑證/個人2x2KeyUsageDigitalSignature(80)KeyEncipherment,DataEncipherment(30)30818902818100B0E6936B273E76BBFC9DED9C9D5370C2DD8113ED590DD0A5A8FFF58FD34CB1333B9FE2CF61E70861C7D02F9D31A8102ABE888EA76F21CDA85B779938281A828E1C677A8A136DBD15E53457F821AD2172BA6FF3ABF0A93CCAAB8B902C803FEF268D165BF6416EA494FA5C389A2B6F20E0017187E03DDE0566C49EBDF3052F11650203010001公鑰OU=內政部憑證管理中心O=行政院C=TWIssuerIssuerSubject序號=0000000111638893CN=許凱平C=TWO=GovernmentRootCertificationAuthorityC=TW409610242048在電子郵件的應用請參考中華電信安全電子郵件介紹的講義OutlookExpress,Outlook2003,ThunderBirdandNotesMail精簡版Step1取得憑證Step2匯入至OutlookExpressStep3送加密信給kphsu,kphsu.公鑰Step4kphsu簽章kphsu.晶片卡工讀生kphsu@ntu.edu.tw取得kphsu的公鑰用私鑰解密驗章kphsu公鑰723kphsu私鑰secretesecreteStep1取得連絡人的電子憑證連線至選擇中文版憑證作業/查詢憑證簽發情形/輸入姓名（全名）或電子郵件位址/查詢下載憑證一個是簽章用一個是加密用1234下載憑證匯入憑證通訊錄搜尋/找到人數位識別碼/匯入憑證補充資料一沒有插入晶片卡的，可以看到寄件人，主旨，但無法閱讀內容加密應該是解密插入自然人憑證晶片卡輸入PIN看不到解密拔出晶片卡23kphsu私鑰kphsu發信工讀生收信輸入PIN23kphsu私鑰可以不用先取得kphsu的公鑰小結論先寄一封簽章過的信給對方(工讀生)(工讀生)對方打開你的信，驗章的過程中可以取得你的公鑰(工讀生)就可以使用你的公鑰加密信件工程師用私鑰解密工讀生用私鑰解密驗章kphsu公鑰723kphsu私鑰secretesecrete用私鑰簽章尚未取得kphsu公鑰卻要寄加密的信給他產生的錯誤訊息政府服務應用MOICA網站介紹【MOICA網站安全性元件】。憑證作業憑證作業：更改憑證公佈狀態、取得（查詢）憑證、停用、復用與廢止密碼（PIN）：更改PIN碼、鎖卡或忘了PIN碼（需有申請時的用戶代碼）應用服務連線moica\選取應用服務(19項)較常用的報稅戶籍謄本勞保資料中華電信帳單/簡訊郵局帳戶改地址與校務系統結合認證結合單一簽入簽章電子表單系統試辦自然人憑證簽到退系統公文傳閱電子表單設計系統臺灣大學電子憑證推動網提供電子憑證相關資訊功能憑證上傳憑證應用工作時程常問詢答(安全檢查表)諮詢窗口工作團隊連結台大首頁電子簽章法MOICA台大行事曆網上論壇工作時程2007-01：ie7與vista相容性測試、應用推廣、安全驗證原則確立與技術交流2007-03：電子憑證應用教育訓練2007-06：全校試行自然人憑證簽到退系統，試行期間原有簽到方式（職員證號+密碼）仍可使用2007-07：檢討與改進2007-08：電子表單系統開發2007-09：電子表單系統內部測試ComponentsPKIArchitectureGovernmentInHouseCAPKIModulesCryptoAPIActiveXControltoAccessLocalDevicePKI-EnabledA