電子憑證應(yīng)用v10.ppt

1、電子憑證應(yīng)用v1.0,.tw 臺大計中資料管理師 許凱平,.tw/pki/,臺大首頁 .tw,教職員資訊服務(wù)網(wǎng) .tw/finfo/,.tw/pki/,大綱,電子憑證簡介 自然人憑證介紹 在電子郵件的應(yīng)用 政府服務(wù)應(yīng)用 結(jié)合校務(wù)行政系統(tǒng)的應(yīng)用 簡易故障排除,什麼是電子憑證（電子證書）,簽章過的電子文件 畢業(yè)證書：畢業(yè)生姓名 校印 日期 文號 學(xué)校電子簽章（畢業(yè)生姓名 日期 文號） 自然人憑證 內(nèi)政部簽給自然人的電子證書（印鑑證明） 證明此人跟一個數(shù)字（公鑰）

2、的特殊關(guān)係,電子簽章法：目標(biāo)與精神,目標(biāo) 完整：防止資料在傳送過程遭篡改偽造 身分認(rèn)證：確認(rèn)交易對象真正身分 不可否認(rèn)性：避免交易完成事後否認(rèn)精神：當(dāng)事人約定 防止數(shù)位落差 必須提供人工作業(yè)和書面的服務(wù),效益：無紙化,哪一些文件可改用電子文件 書面文件得以電子文件為之 (4) 書面文件之原本或正本得以電子文件為之 (5) 書面文件之法定保存，得以電子文件為之 (6) 簽名或蓋章得以電子簽章為之(9) 效益 真正的無紙化，不用印出來蓋章了！,什麼是電子簽章,電子簽章：指依附於電子文件並與其相關(guān)連，用以辨識及確認(rèn)電子文件簽署人身分、資格及電子文件真?zhèn)握?電子簽章法第二條第二項 數(shù)位簽章：指將電子文

3、件以數(shù)學(xué)演算法或其他方式運算為一定長度之?dāng)?shù)位資料，以簽署人之私密金鑰對其加密，形成電子簽章，並得以公開金鑰加以驗證者 電子簽章法第二條第三項,數(shù)位簽章,Bob,Alice,clchen,簽章,請假單,驗章,非對稱式加解密系統(tǒng),Key Pair 公鑰 Public Key + 私鑰 Private Key 知道公鑰無法推出私鑰 加密 公鑰加密，能且只能用私鑰解密 備份私鑰，否則有加密資料無法解開的問題 簽章 私鑰簽章，公鑰驗章 沒有私鑰無法假造可通過公鑰驗證的簽章，x備份,RSA加密演算法,隨意選擇兩個大的質(zhì)數(shù)p和q，p不等於q，計算N=pq。 選擇一個大於1小於N的自然數(shù)e，e必須與(p-1)

4、(q-1)互質(zhì)。 用以下這個公式計算d：d e 1 (mod (p-1)(q-1) 將p和q的記錄銷毀。,Key Gen p=17, q=11, N=187 Phi= (17-1)(11-1)=160 Factor(phi)=25*5 E=3,7,11, let e=7 d*e=1(%phi), 7d=160*i+1 161=7*23, d=23 Public Key PU(7,187) 公布之 Private Key PR(23,187) 妥善保存 磁片+軟體保護(hù) 晶片卡+PIN PGP,公鑰加密/私鑰解密 M N, M is message, ex. M=72(明文) C=Enc(72,7

5、,187)= 727%187=30 (密文) M=Dec(30,23,187)=3023%187=72 (明文),私鑰簽章/公鑰驗章 M N, M is message, ex. M=72(明文) C=Enc(72,23,187)= 7223%187=183 (簽章值) M=Dec(183,7,187)=1837%187=72(驗章),M: Message(明文) C: Cipher(密文),與傳統(tǒng)簽章比較,簽章 印鑑證明 簽章：墨水滲透進(jìn)紙張的纖維，成為文件的一部份 雙正本，正副本，法院公證，存證信函 比對 數(shù)位簽章 登錄公鑰 計算簽章值: 電子文件*私鑰 存證 驗章: 電子文件*公鑰,電子

6、簽章,數(shù)位簽章應(yīng)依一定之程序製作始生效力(10) 憑證機構(gòu)應(yīng)製作及公布憑證實務(wù)作業(yè)基準(zhǔn) (11) 有效的電子簽章 由管理機構(gòu)認(rèn)可之憑證機構(gòu) CA, Certificate Authority 使用憑證機構(gòu)簽發(fā)的公開金鑰憑證 未超過有效期限及使用範(fàn)圍 經(jīng)驗證記載的內(nèi)容無誤,Bob,政府機關(guān)公開金鑰基礎(chǔ)建設(shè) GPKI, Government PKI,政府憑證總管理中心,行政院,研考會,憑證推行小組,內(nèi)政部憑證管理中心,PKI & PMI電子化服務(wù)的基礎(chǔ),PKI 公鑰憑證（身分憑證） Public key Infrastructure 身份證書 身份證 印章 CA, RA 由政府統(tǒng)一負(fù)責(zé) PMI 屬

7、性憑證（資格憑證） Privilege Management Infrastructure 屬性證書 在職證明 在學(xué)證明 各機關(guān)需要做的是PMI 公務(wù)員憑證 (準(zhǔn)備中),認(rèn)證 (authentication) 我是誰？ 常見機制：帳號密碼 授權(quán) (authorization) 我能做什麼？ 常見機制：多組帳號密碼 改善機制：單一簽入 (single login) 想像成有一個大表格，註明何人能做何事 簽章 (signature) 事情是我做的 帳號密碼無法有效簽章,認(rèn)證 授權(quán)與簽章,clchen,IC 卡,達(dá)成讓個人安全保存私鑰之目標(biāo) IC 卡的記憶體儲存金鑰對及相關(guān)資訊 IC 卡的 CPU執(zhí)

8、行金鑰對相關(guān)運算 IC 卡是個人專屬、無法讀出私鑰的電腦 IC 卡不易複製 金鑰對的使用不只是權(quán)利 (權(quán)力) 也是義務(wù),常見的晶片卡,晶片卡 自然人憑證(Citizen Digital Certificate) 金融卡 信用卡 健保卡 悠遊卡 自行發(fā)卡 Software Key: PGP,自然人憑證,idno: Citizens ID Number,讀卡機,Smart Card,Web Server Process,CryptoDLL,Internet,Web App,CSP,Driver,安裝,系統(tǒng)需求 作業(yè)系統(tǒng)：Win2000, XP, 2003, and Vista 瀏覽器：IE6, I

9、E7 安裝讀卡機及其所附驅(qū)動程式 WinXP可以讓作業(yè)系統(tǒng)自己找,讀卡機選購,價格大約 99500元間 附加功能 金融晶片卡WebATM 二代金融卡功能（有鍵盤跟螢?zāi)唬?需軟體配合 讀取iCash卡餘額,Image from easyatm,Chip & Pin Assumptions,Solution Providers Responsibility 沒有人可以複製晶片卡 Users Responsibility 收好自己的晶片卡，不將PIN跟別人講 Reasoning 我不跟別人講，別人就不知道我的PIN 收好自己的晶片卡，不將PIN跟別人講就可以確保自己的安全 別人撿到我的晶片卡，不知道

10、我的PIN，沒辦法假冒我 別人如果知道了我的PIN，沒有我的晶片卡沒辦法假冒我 如果有人有我的晶片卡，又知道我的PIN，就可以假冒我,Image from nist,Plz Enter Pin in Card Reader!,1234,Image from easyatm,1234,Pin will not leak!,Nothing at all,“dummy” card reader,“smart” card reader,TEMPSET,CSP:Cryptographic Service Provider,安裝SafeSign CSP .tw/htm

11、l/download_1.htm 開始/程式集/SafeSign Version 1.0.8/ (1) Certificate Registration Utility (2) Intstall SafeSign in Netscape (3) Token Management,匯入憑證,從自然人憑證晶片卡取得 插入自然人憑證 如果沒有自動匯入的話 執(zhí)行SafeSign/Certificate Registration Utility 同一張卡在同一臺電腦上只要做一次 檢查安裝狀態(tài) IE6 工具/網(wǎng)際網(wǎng)路選項/內(nèi)容/憑證/個人,2x2,Key Usage Digital Signature(8

12、0) Key Encipherment, Data Encipherment(30),公鑰,OU = 內(nèi)政部憑證管理中心 O = 行政院 C = TW,Issuer,Issuer,Subject 序號 = 0000000111638893 CN = 許凱平 C = TW,O = Government Root Certification Authority C = TW,4096,1024,2048,在電子郵件的應(yīng)用,請參考中華電信安全電子郵件介紹的講義 Outlook Express, Outlook2003, ThunderBird and Notes Mail 精簡版 Step1 取得憑

13、證 Step2 匯入至Outlook Express Step3 送加密信給kphsu, kphsu.公鑰 Step4 kphsu簽章 kphsu.晶片卡,工讀生,.tw,取得kphsu的公鑰,用私鑰解密,驗章,secrete,secrete,Step1 取得連絡(luò)人的電子憑證,連線至.tw/ 選擇中文版 憑證作業(yè)/查詢憑證簽發(fā)情形/輸入姓名（全名）或電子郵件位址/查詢 下載憑證 一個是簽章用 一個是加密用,1,2,3,4,下載憑證,匯入憑證,通訊錄 搜尋/找到人 數(shù)位識別碼/匯入憑證,補充資料一,沒有插入晶片卡的，可以看到寄件人，主

14、旨，但無法閱讀內(nèi)容,加密,應(yīng)該是解密,插入自然人憑證晶片卡,輸入 PIN,看不到,解密,拔出晶片卡,kphsu發(fā)信,工讀生收信,輸入 PIN,可以不用先取得kphsu的公鑰,小結(jié)論,先寄一封簽章過的信給對方(工讀生) (工讀生)對方打開你的信，驗章的過程中可以取得你的公鑰 (工讀生)就可以使用你的公鑰加密信件 工程師用私鑰解密,工讀生,用私鑰解密,驗章,secrete,secrete,用私鑰簽章,尚未取得kphsu公鑰 卻要寄加密的信給他 產(chǎn)生的錯誤訊息,政府服務(wù)應(yīng)用,MOICA網(wǎng)站介紹 【MOICA網(wǎng)站安全性元件】。 憑證作業(yè) 憑證作業(yè)：更改憑證公佈狀態(tài)、取得（查詢）憑證、停用、復(fù)用與廢止

15、密碼（PIN）：更改PIN碼、鎖卡或忘了PIN碼（需有申請時的用戶代碼）,應(yīng)用服務(wù),連線moica選取應(yīng)用服務(wù)(19項) 較常用的 報稅 戶籍謄本 勞保資料 中華電信帳單/簡訊 郵局帳戶改地址,與校務(wù)系統(tǒng)結(jié)合,認(rèn)證 結(jié)合單一簽入 簽章 電子表單系統(tǒng) 試辦 自然人憑證簽到退系統(tǒng) 公文傳閱 電子表單設(shè)計系統(tǒng),臺灣大學(xué)電子憑證推動網(wǎng),提供電子憑證相關(guān)資訊 功能 憑證上傳 憑證應(yīng)用 工作時程 常問詢答(安全檢查表) 諮詢窗口 工作團(tuán)隊 連結(jié) 臺大首頁 電子簽章法 MOICA 臺大行事曆 網(wǎng)上論壇,工作時程,2007-01：ie7與vista相容性測試、應(yīng)用推廣、安全驗證原則確立與技術(shù)交流 2007-0

16、3：電子憑證應(yīng)用教育訓(xùn)練 2007-06：全校試行自然人憑證簽到退系統(tǒng)，試行期間原有簽到方式（職員證號+密碼）仍可使用 2007-07：檢討與改進(jìn) 2007-08：電子表單系統(tǒng)開發(fā) 2007-09：電子表單系統(tǒng)內(nèi)部測試,Components,PKI Architecture Government In House CA PKI Modules Crypto API ActiveX Control to Access Local Device PKI-Enabled Applications,CA Directory 3. PKI-enabled Application 4. Security

17、Policy,建置,硬體 卡片 讀卡機 安裝，相容性問題排除 軟體 CrptoAPI 資料完備 (人員資料 組織架構(gòu)) 整合進(jìn)校務(wù)系統(tǒng)的改寫成本 教育訓(xùn)練 管理 CAntu: 計中 or 人事室 RAntu: 人事室 or 計中,基礎(chǔ)建設(shè),憑證與身份之繫結(jié) 利用計中email 帳號登入，上傳憑證 有效性判斷 時間伺服器 時戳服務(wù) 存證服務(wù) 簽章服務(wù),職員證號,計中email帳號,自然人憑證,身分認(rèn)證與資格認(rèn)證,用晶片卡登入者 檢查CRL（憑證廢止清冊）或OCSP 由憑證發(fā)放單位提供 列出所有有效期限未到卻因其它事故被CA 吊銷的數(shù)位憑證 檢查該憑證所繫結(jié)的對象(教職員編號) 檢查該員的狀況(在

18、職、離職、退休) 憑證有效且在職者才能登入使用 系統(tǒng)安全有賴於正確即時的資料,Cert.SN 00A4 363A CAB7 CF06 C7C8 AC22 71EC 67A9 14,網(wǎng)路簽到系統(tǒng)(mis)的優(yōu)點,資訊可取用性高 使用者可以簽到後就知道自己的簽到時間 主管可迅速了解屬下的到勤狀況 洽公人員可以掌握業(yè)務(wù)承辦人的狀況 容易開發(fā)附加價值 SARS 體溫填報 訊息公布： v 我已閱讀 確認(rèn)每個職員知道校內(nèi)重要訊息,網(wǎng)路簽到系統(tǒng)的問題(一),P1. 使用者需基本的電腦使用能力 會使用鍵盤 會使用瀏覽器 P2. 簽到的爭議 我記得我有簽到 伺服器沒有紀(jì)錄 伺服器時間太快/太慢,網(wǎng)路簽到系統(tǒng)的問

19、題(二),P3. 時間的同步問題 使用者的電腦 伺服器（網(wǎng)頁、資料庫） P4. 網(wǎng)路不通的問題 提供Offline 簽到程式 P5. 資料庫伺服器故障 P6. 網(wǎng)頁伺服器故障 P7. 開機需要時間，不關(guān)機又浪費電,自然人憑證簽到系統(tǒng),優(yōu)點 較能防弊 缺點 簽章花費時間較久(15sec30sec) 晶片卡接觸不良 忘記PIN 91年採購之元件對新OS, 瀏覽器的問題 XP sp2會當(dāng)?shù)鬷e6，ie7及vista不能使用 改用微軟CAPICOM,時間的認(rèn)定,生活上117為準(zhǔn) 網(wǎng)路上以網(wǎng)頁伺服器時間為準(zhǔn) 每個禮拜與117校時一次 每天與網(wǎng)路原子鐘校時一次 保留Client端時間作為參考 提供Serv

20、er時間供使用者對時 臺大官方 .tw .tw/ntp/index.html,網(wǎng)頁伺服器 time,用網(wǎng)頁提供伺服器上的時間供參考 測量Client到Server的時間差 測量Client到Server的delay NTP 原理,時間的同步問題(一),Win XP, Win 2003 控制臺/日期和時間/網(wǎng)際網(wǎng)路時間 時間伺服器 .tw (89) .tw,時間的同步問題(二),校時軟體 Net time 中華電信研究所時間與頻率國家標(biāo)準(zhǔn)實驗室 V2.1 中文版 http:/www.stdt