安全在线7月8日报道 Certificate 凭证,也称为数字凭证(Digital Certificate),是一种验证的技术,也是网络上的身分证明
我们在登入网页的时候常常需要输入账号与密码,初次登入某个网站时,还要先注册这些信息才能使用。输入账号跟密码最主要的目的,只是为了要作到身分的认证,也就是让信息系统能够认得你是谁,进而能赋予适当的权限,以及便于事后的追踪记录。
数字凭证的用意也是如此,让系统可以辨认、证明身分。简单地说,数字凭证就是网络上的个人身分证明,由凭证管理中心经过身分的验证程序后,发给你的一个数位的身分证明。数字凭证也是一种用来验证使用者或使用服务的身分的技术,利用PKI技术来提供身分识别的能力,以保护网络上数据存取的正确性、保密性等。它不仅可以代表使用者,也可以代表计算机/设备、组织机构,甚至是程序的身分,所以才有所谓的个人凭证、服务器凭证、认证机构凭证、软件出版者凭证。
要导入证书,先启动IE,在「工具」选项内选「Internet选项」,在分页「内容」选「证书」即可。
一般凭证有效期限为1至3年,视发行者而定,长度最低为40位,假如要破解目前采用的1024位RSA密钥,在短时间内是完全不可能的,所以凭证的安全性是非常高的,但需留意私钥的保管,这些档案最好是不能连上网络的地方,例如储存于磁盘。
现今凭证应用的范围很广。例如电子邮件方面,用来保障邮件传输的安全,也可用来加密与人交换或需要保存的数据文件;内部工作流程签核或申办窗体等数据的数字签章,也很普遍。目前最常见的运用是在证券公司、银行、保险等金融单位,主要因为发给客户的数字凭证(如网络银行凭证、网络下单凭证、网络保险凭证),是用来下单委托或是转帐,需要高度的正确性与保密性。而对银行业者来说,自动化与数字化的流程,也大大减少服务人员数量,以及降低手动操作上的失误机率。
除此之外,在网络报税时,我们也需要搭配使用,主要是以安全性为考虑,并希望行政作业流程更为便利。
Public Key Infrastructure, PKI
公开金钥基础架构
简单说,基本上它是一个服务群组,是指结合凭证管理中心,以及非对称性密码而形成的系统机制,用来强化网络安全,使用者可以透过网络,安全且经过验证地与他人交换信息,提供一个严密的服务平台。类似现实世界中,我们用签名、密封文件的方式来保全交换的讯息,PKI主要目的是提供使用者于电子讯息交换时,确保身份确认性、数据完整性、不可否认性、私密性。
RSA Algorithm
RSA加密算法
于1977年由R. Rivest、A. Shamir及L. Adleman三人所发布,取三人姓氏首字而命名,称为RSA。这套算法是以两个非常巨大的质数为私钥,两质数的乘积为公钥,钥匙的长度在客户端应使用1024位密钥,认证管理中心所应用的是2048位以上。若要强行破解则对方将进行质因子分解才行,但因为当两质数的值越大时,则质因子分解所耗用的时间成倍数成长。RSA密码法在目前算是相当安全。
Public Key、Private Key
公开金钥、私密金钥
使用非对称加密算法,加密端及解密端会分别使用不同的金钥。
这两个金钥一个称之为公开金钥(Public key),简称公钥;另一个称为私密金钥(Private Key)简称私钥。公钥公诸大众,私密金钥则由拥有人自行保存。像RSA算法就属于非对称加密算法,加密时用公开金钥,解密时须搭配私密金钥;以私密金钥产生签章,以公开金钥验证签章,而这两金钥就是一种非对称金钥。
Electronic Signature
电子签章
电子签章类似传统的签名或盖章,只是它是以电子形式存在。当签署者在电子文件上签章后,表示本人同意文件的内容,并留下可供识别签署者身分的证据。2002年以后,台湾开始实施电子签章法,效力已具备法律上的地位。由于近年来生物科技(指纹、声纹、眼虹膜、DNA)等用于鉴别身分的技术,也正快速的发展,整体而言,任何的电子技术只要能符合特定的安全需求,皆可用来制作电子签章。
Digital Signature
数位签章
它是电子签章技术的一种。以公开金钥基础建设为基础而制作。数字签章在签署时,将文件运用杂凑算法以及私密金钥进而产生数字签章。而在验证时,使用公开金钥验证签章的真实性。在签署以电子方式传送的文件时,确认发送对象的真实身分,防止传送数据时遭窜改伪造,并可避免事后发生否认的情形。目前数字签章已广泛用于各种电子方式交易,能够充分保障电子商务交易安全的信息。
Encryption、Decryption
加密、解密
指将可读的明文资料经由特定演算方式加以处理,转化为外人无法读取的密文数据。依特定演算方式将密文数据转换回原始明文数据的动作则称为解密。由于在网络上常见一些信息安全问题,如窜改、窃听、冒名传送、否认传送,我们需要使用加密的方式,来保护我们的数据不被窃取窜改。当然,简单的加密模式容易破解,重要数据的保护必须使用高安全性的加密模式处理,而不是一般的加密就可以了。
Certificate Authority,CA
凭证管理中心
简单地说,就是一个制作数字签章及提供电子认证服务的机构。它是一个具公信力的第三方单位,他们可以对个人及机关团体提供认证及凭证签发管理等服务,例如利用凭证管理信息系统(凭证管理系统、注册管理系统、目录服务器),严密管理凭证作业流程,并提供申请者注册、凭证的签发、废止、管理、产生稽核记录等服务,来建立具有机密性、识别性、完整性、不可否认性的信息安全环境。
Secure Sockets Layer,SSL
SSL网络安全传输协议
它是一个为保障网络上信息传输安全的安全协议,用来提供客户端和服务器端的数据加密和认证。SSL使用公开金钥加密方式安全认证,而传递数据使用对称式密码加密。目前最新版本为SSL v3,国际标准组织将它稍微修改并重新命名为Transport Layer Security(TLS v1.0)。由于两者相差无几,故多半沿袭旧称SSL。现今SSL已成为国际标准,大多数网站要求身分认证的网站都会使用SSL加密技术。
X.509
X.509数字认证标准
X.509标准是由国际电信联盟(ITU-T)制定的数字认证标准,以公开金钥基础架构与电子签章为基础而建立。标准中含公开金钥和使用者的名称及信息,定义了数字凭证的结构,以及利用数字凭证作认证的协议。最新使用的版本为X.509 v3,目前电子商务的安全电子交易(SET)协议就是基于X.509 v3。X.509标准在公共金钥的密码格式方面已被广为接受。