《电子凭证应》PPT课件.ppt

電子憑證應用v1.0,臺大計中資料管理師 許凱平,http:/,台大首頁,教職員資訊服務網finfo/,/,大綱,電子憑證簡介 自然人憑證介紹 在電子郵件的應用 政府服務應用 結合校務行政系統的應用 簡易故障排除,什麼是電子憑證（電子證書）,簽章過的電子文件畢業證書：畢業生姓名 校印 日期 文號學校電子簽章（畢業生姓名 日期 文號）自然人憑證內政部簽給自然人的電子證書（印鑑證明）證明此人跟一個數字（公鑰）的特殊關係,電子簽章法：目標與精神,目標完整：防止資料在傳送過程遭篡改偽造身分認證：確認交易對象真正身分不可否認性：避免交易完成事後否認精神：當事人約定 防止數位落差必須提供人工作業和書面的服務,效益：無紙化,哪一些文件可改用電子文件書面文件得以電子文件為之(4)書面文件之原本或正本得以電子文件為之(5)書面文件之法定保存，得以電子文件為之(6)簽名或蓋章得以電子簽章為之(9)效益真正的無紙化，不用印出來蓋章了！,什麼是電子簽章,電子簽章：指依附於電子文件並與其相關連，用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者 電子簽章法第二條第二項數位簽章：指將電子文件以數學演算法或其他方式運算為一定長度之數位資料，以簽署人之私密金鑰對其加密，形成電子簽章，並得以公開金鑰加以驗證者 電子簽章法第二條第三項,數位簽章,Bob,Alice,clchen,簽章,請假單,驗章,非對稱式加解密系統,Key Pair公鑰 Public Key+私鑰 Private Key知道公鑰無法推出私鑰加密公鑰加密，能且只能用私鑰解密備份私鑰，否則有加密資料無法解開的問題簽章私鑰簽章，公鑰驗章沒有私鑰無法假造可通過公鑰驗證的簽章，x備份,RSA加密演算法,隨意選擇兩個大的質數p和q，p不等於q，計算N=pq。選擇一個大於1小於N的自然數e，e必須與(p-1)(q-1)互質。用以下這個公式計算d：d e 1(mod(p-1)(q-1)將p和q的記錄銷毀。,Key Genp=17,q=11,N=187Phi=(17-1)(11-1)=160Factor(phi)=25*5E=3,7,11,let e=7d*e=1(%phi),7d=160*i+1161=7*23,d=23Public Key PU(7,187)公布之Private Key PR(23,187)妥善保存磁片+軟體保護晶片卡+PINPGP,公鑰加密/私鑰解密M N,M is message,ex.M=72(明文)C=Enc(72,7,187)=727%187=30(密文)M=Dec(30,23,187)=3023%187=72(明文),私鑰簽章/公鑰驗章M N,M is message,ex.M=72(明文)C=Enc(72,23,187)=7223%187=183(簽章值)M=Dec(183,7,187)=1837%187=72(驗章),M:Message(明文)C:Cipher(密文),與傳統簽章比較,簽章印鑑證明簽章：墨水滲透進紙張的纖維，成為文件的一部份雙正本，正副本，法院公證，存證信函比對數位簽章登錄公鑰計算簽章值:電子文件*私鑰存證驗章:電子文件*公鑰,電子簽章,數位簽章應依一定之程序製作始生效力(10)憑證機構應製作及公布憑證實務作業基準(11)有效的電子簽章由管理機構認可之憑證機構CA,Certificate Authority 使用憑證機構簽發的公開金鑰憑證未超過有效期限及使用範圍經驗證記載的內容無誤,Bob,政府機關公開金鑰基礎建設GPKI,Government PKI,政府憑證總管理中心,行政院,研考會,憑證推行小組,內政部憑證管理中心,PKI&PMI電子化服務的基礎,PKI 公鑰憑證（身分憑證）Public key Infrastructure 身份證書 身份證 印章CA,RA 由政府統一負責PMI 屬性憑證（資格憑證）Privilege Management Infrastructure屬性證書 在職證明 在學證明 各機關需要做的是PMI公務員憑證(準備中),認證(authentication)我是誰？常見機制：帳號密碼授權(authorization)我能做什麼？常見機制：多組帳號密碼改善機制：單一簽入(single login)想像成有一個大表格，註明何人能做何事簽章(signature)事情是我做的帳號密碼無法有效簽章,認證 授權與簽章,clchen,IC 卡,達成讓個人安全保存私鑰之目標IC 卡的記憶體儲存金鑰對及相關資訊IC 卡的 CPU執行金鑰對相關運算IC 卡是個人專屬、無法讀出私鑰的電腦IC 卡不易複製金鑰對的使用不只是權利(權力)也是義務,常見的晶片卡,晶片卡自然人憑證(Citizen Digital Certificate)金融卡 信用卡健保卡悠遊卡自行發卡Software Key:PGP,自然人憑證,idno:Citizens ID Number,讀卡機,Smart Card,Web Server Process,CryptoDLL,Internet,Web App,CSP,Driver,安裝,系統需求作業系統：Win2000,XP,2003,and Vista 瀏覽器：IE6,IE7安裝讀卡機及其所附驅動程式WinXP可以讓作業系統自己找,讀卡機選購,價格大約 99500元間附加功能金融晶片卡WebATM二代金融卡功能（有鍵盤跟螢幕）需軟體配合讀取iCash卡餘額,Image from easyatm,Chip&Pin Assumptions,Solution Providers Responsibility沒有人可以複製晶片卡Users Responsibility收好自己的晶片卡，不將PIN跟別人講Reasoning我不跟別人講，別人就不知道我的PIN收好自己的晶片卡，不將PIN跟別人講就可以確保自己的安全別人撿到我的晶片卡，不知道我的PIN，沒辦法假冒我別人如果知道了我的PIN，沒有我的晶片卡沒辦法假冒我如果有人有我的晶片卡，又知道我的PIN，就可以假冒我,Image from nist,Plz Enter Pin in Card Reader!,1234,Image from easyatm,1234,Pin will not leak!,Nothing at all,“dummy”card reader,“smart”card reader,TEMPSET,CSP:Cryptographic Service Provider,安裝SafeSign CSP開始/程式集/SafeSign(1)Certificate Registration Utility(2)Intstall SafeSign in Netscape(3)Token Management,匯入憑證,從自然人憑證晶片卡取得插入自然人憑證如果沒有自動匯入的話執行SafeSign/Certificate Registration Utility同一張卡在同一台電腦上只要做一次檢查安裝狀態IE6 工具/網際網路選項/內容/憑證/個人,2x2,Key UsageDigital Signature(80)Key Encipherment,Data Encipherment(30),公鑰,OU=內政部憑證管理中心O=行政院C=TW,Issuer,Issuer,Subject序號=0000000111638893CN=許凱平C=TW,O=Government Root Certification AuthorityC=TW,4096,1024,2048,在電子郵件的應用,請參考中華電信安全電子郵件介紹的講義Outlook Express,Outlook2003,ThunderBird and Notes Mail精簡版Step1 取得憑證 Step2 匯入至Outlook ExpressStep3 送加密信給kphsu,kphsu.公鑰Step4 kphsu簽章 kphsu.晶片卡,工讀生,取得kphsu的公鑰,用私鑰解密,驗章,secrete,secrete,Step1 取得連絡人的電子憑證,連線至http:/選擇中文版憑證作業/查詢憑證簽發情形/輸入姓名（全名）或電子郵件位址/查詢下載憑證一個是簽章用一個是加密用,1,2,3,4,下載憑證,匯入憑證,通訊錄搜尋/找到人數位識別碼/匯入憑證,補充資料一,沒有插入晶片卡的，可以看到寄件人，主旨，但無法閱讀內容,加密,應該是解密,插入自然人憑證晶片卡,輸入 PIN,看不到,解密,拔出晶片卡,kphsu發信,工讀生收信,輸入 PIN,可以不用先取得kphsu的公鑰,小結論,先寄一封簽章過的信給對方(工讀生)(工讀生)對方打開你的信，驗章的過程中可以取得你的公鑰(工讀生)就可以使用你的公鑰加密信件工程師用私鑰解密,工讀生,用私鑰解密,驗章,secrete,secrete,用私鑰簽章,尚未取得kphsu公鑰卻要寄加密的信給他產生的錯誤訊息,政府服務應用,MOICA網站介紹【MOICA網站安全性元件】。憑證作業憑證作業：更改憑證公佈狀態、取得（查詢）憑證、停用、復用與廢止密碼（PIN）：更改PIN碼、鎖卡或忘了PIN碼（需有申請時的用戶代碼）,應用服務,連線moica選取應用服務(19項)較常用的報稅戶籍謄本勞保資料中華電信帳單/簡訊郵局帳戶改地址,與校務系統結合,認證結合單一簽入簽章電子表單系統試辦自然人憑證簽到退系統公文傳閱電子表單設計系統,臺灣大學電子憑證推動網,提供電子憑證相關資訊功能憑證上傳 憑證應用 工作時程 常問詢答(安全檢查表)諮詢窗口 工作團隊連結台大首頁 電子簽章法 MOICA台大行事曆 網上論壇,工作時程,2007-01：ie7與vista相容性測試、應用推廣、安全驗證原則確立與技術交流 2007-03：電子憑證應用教育訓練2007-06：全校試行自然人憑證簽到退系統，試行期間原有簽到方式（職員證號+密碼）仍可使用 2007-07：檢討與改進 2007-08：電子表單系統開發 2007-09：電子表單系統內部測試,Components,PKI ArchitectureGovernmentIn House CAPKI ModulesCrypto APIActiveX Control to Access Local DevicePKI-Enabled Applications,CADirectory3.PKI-enabled Application4.Security Policy,建置,硬體卡片 讀卡機 安裝，相容性問題排除軟體CrptoAPI資料完備(人員資料 組織架構)整合進校務系統的改寫成本教育訓練管理CAntu:計中 or 人事室RAntu:人事室 or 計中,基礎建設,憑證與身份之繫結利用計中email 帳號登入，上傳憑證有效性判斷時間伺服器時戳服務存證服務簽章服務,職員證號,計中email帳號,自然人憑證,身分認證與資格認證,用晶片卡登入者檢查CRL（憑證廢止清冊）或OCSP由憑證發放單位提供列出所有有效期限未到卻因其它事故被CA 吊銷的數位憑證檢查該憑證所繫結的對象(教職員編號)檢查該員的狀況(在職、離職、退休)憑證有效且在職者才能登入使用系統安全有賴於正確即時的資料,Cert.SN00A4 363A CAB7 CF06 C7C8 AC22 71EC 67A9 14,網路簽到系統(mis)的優點,資訊可取用性高使用者可以簽到後就知道自己的簽到時間主管可迅速了解屬下的到勤狀況洽公人員可以掌握業務承辦人的狀況容易開發附加價值SARS 體溫填報訊息公布：v 我已閱讀確認每個職員知道校內重要訊息,網路簽到系統的問題(一),P1.使用者需基本的電腦使用能力會使用鍵盤會使用瀏覽器P2.簽到的爭議我記得我有簽到伺服器沒有紀錄伺服器時間太快/太慢,網路簽到系統的問題(二),P3.時間的同步問題使用者的電腦伺服器（網頁、資料庫）P4.網路不通的問題提供Offline 簽到程式P5.資料庫伺服器故障P6.網頁伺服器故障P7.開機需要時間，不關機又浪費電,自然人憑證簽到系統,優點較能防弊缺點簽章花費時間較久(15sec30sec)晶片卡接觸不良忘記PIN91年採購之元件對新OS,瀏覽器的問題XP sp2會當掉ie6，ie7及vista不能使用改用微軟CAPICOM,時間的認定,生活上117為準網路上以網頁伺服器時間為準每個禮拜與117校時一次每天與網路原子鐘校時一次保留Client端時間作為參考提供Server時間供使用者對時台大官方http:/,網頁伺服器 time,用網頁提供伺服器上的時間供參考測量Client到Server的時間差測量Client到Server的delayNTP 原理,時間的同步問題(一),Win XP,Win 2003控制台/日期和時間/網際網路時間時間伺服器(140.112.2.189),時間的同步問題(二),校時軟體Net time中華電信研究所時間與頻率國家標準實驗室 V2.1 中文版http:/原子鐘英文介面,簽到時間的秒差,使用者進入簽到首頁login.aspthresholdt0=Server.getTime()t1=Client.getTime()if t1-t0threshold要求使用者使用校時軟體sign.asp簽到時間為t0,並紀錄t1作為參考,簽到證明：解決簽到的爭議,由伺服器簽簽到證明給使用者簽到證明簽到時間簽到者簽到者簽章伺服器簽章,驗證簽到證明服務,解析並驗證簽到時間簽到者簽到者簽章伺服器簽章,簽到更正,簽到時間(signin)簽退時間(signout)申請人簽章收件時間,伺服器簽章,通知證明人簽章時間,證明人簽章,通知主管簽章時間,主管簽章,簡易故障排除,晶片卡重插一次是否插反了讀卡機確認讀卡機實體上跟電腦連接安裝驅動程式SafeSign CSP 是否安裝？CA憑證是否匯入？,Reference,clchen台大資工陳俊良老師,台大醫院PKI財委會說明,093-04-08電子簽章法90-11-14總統府公告，91-04-01開始施行http:/www.moea.gov.tw/meco/doc/ndoc/s5_p05.htm電子簽章及電子憑證應用介紹,Link中華電信 謝東明博士Q&AGutmannhttp:/,補充資料一olexpress6工具選項安全性進階,