前言

證期會表示，現行國內的網路交易，自本年六月一日起，都需透身份認證公司，以第三者公信單位作為認證，提高網路下單的安全性。網路商業的利益愈大，風險也愈大，Gartner Group表示，網路詐欺發生的頻率比傳統交易詐欺多12~18倍，最近一個月刑事局驚報，國內首宗網路下單駭客案等來自內、外部的各式攻擊，聲聲催促產業早日堆砌資訊安全的護城牆！

實體世界面對面的交易，再加上國民身份証、駕照、或護照等憑證，雙方都可以很容易地確認彼此的身份，簽字蓋章就是同意交易的背書。但是，網路的匿名特性，使單純的身份認證及簽章困難重重。建置網路安全機制是一場無止境的進化過程，就像網路頻寬、電腦速度、應用程式、防毒軟體、晶圓製造技術等等，永遠都不夠好，永遠都在研發，永遠都在向上提升一樣。資訊安全的防範，就像家中大門的鎖，愈多道鎖，就愈安全，但花費在重重關卡到真正進門的時間就相對延長。

PKI 的防護機制

大眾瑯瑯上口的防火牆，可比為網路安全的第一道鎖，但不是防火牆一道鎖就可抵擋所有非法入侵，最明顯的，防火牆可防外神，卻不能防內鬼，也不能解決網路安全首重的機密性( Confidentiality)、身份認證(Authentication)、資料完整性(Integrity)、與不可否認性(Non-repudiation)。統計數據顯示，80%的駭客事件由內部人員所為，網路詐欺案頻率比傳統交易詐騙高出12~18倍！ 網路安全的方式千百種，各有各的獨特功能，但是，防護層愈多，對電腦系統運作速度的影響也愈大。 Public Key Infrastructure ( PKI )利用非對稱金鑰( asymmetric keys )的概念，發展出數位憑證、數位簽章等網路風險管理的技術。

數位憑證( digital certificate )就像實體世界中的國民身份証，數位憑證由受信任的第三者( Certificate Authority )發放之，並把每一個數位憑證及其對應的真實身份安全地儲存在資料庫中， CA 並管理憑證的發行、撤銷及更新等。數位憑證讓交易雙方可確認彼此身份，讓交易及傳送的資料(如網路下單、網路轉帳等)在一臨時通道中，安全地往返，未授權的第三者，無法窺知機密資料的內容。

數位憑證的基本概念是公鑰加密原理，利用一對鑰匙(公鑰與私鑰)來加解密，用公鑰加密的文件，只有相對應的私鑰才能解開( asymmetric keys )，而非如對稱金鑰 ( symmetric keys )般，加、解密金鑰為同一把鑰匙。數位簽章就是送信方把送出的文件加上自己的密鑰(私鑰)簽章，因私鑰加密的文件只有對應的公鑰才能解開，因此，收信方就可確認送信方的真實身份。這個概念，就好比是實體世界中，我們在文件上加上自己的親筆簽名，來證明此文件發信人的身份。

Certificate Revocation List ( CRL )技術是儲存管理所有被撤銷的無效憑證的資料庫，進行身份確認時，須先與CRL比對，才不會有不肖商家或個人拿已過期的憑證招謠撞騙。

在 PKI 的金字塔結構中，最上層為 Root CA ( Certificate Authority )，Root CA發放憑證給CA，CA 再發放給企業用戶，企業用戶可再發放給其下的個人用戶如(圖一)，用戶的數位憑證可能是由不同的Root CA或CA頒發，因此需要交互認證( cross certification )的制度，如此，不同CA的用戶，透過交互認證，仍可迂迴追溯至其CA，進而對此用戶的身份進行確認。銀行若自己建置CA，可再發放給旗下客戶，並將客戶分級，做好安全控管。有了數位憑證機制，銀行可以自信地推出各種線上服務，而客戶也可放心地進行各種線上交易。

《圖一　數位憑證的安全防範架構》

PKI的應用廣泛，包括網路下單、VPN、ERP、E-mail、個人電腦檔案、無線通訊、Supply Chain、電子商務、單一簽入(Single Sign-on)等安全應用。

結語

PKI 的產品及服務百家爭鳴，各踞山頭，因缺乏全球統一的 PKI 產品規格，造成不同廠商或不同安全等級的產品無法相互整合，進而造成市場的混亂與不確定性，也使推動 PKI 的進展緩慢。有鑑於此，European Commission 與EEMA( European Forum for Electronic Business )創立 pkiC ( PKI Challenge )組織，推動不同PKI產品的相容性、建立一全球通行之 PKI 標準、與最佳應用方案。在容許使用各種不同 PKI 產品的前提下， pkiC 將孵育一國際的安全 PKI電子商務平台，促進各PKI廠商的共識，及網路交易的繁榮。