公開金鑰基礎建設

公開金鑰基礎建設

公開金鑰基礎建設,又稱公開金鑰基礎設施、公開金鑰基礎架構,公鑰基礎架構或簡稱PKI。密碼學上,公開金鑰基礎建設借著憑證管理中心(Certificate Authority,CA)將使用者的個人身份跟公開金鑰鏈結在一起。

簡介


公開金鑰基礎建設
公開金鑰基礎建設
公開金鑰基礎建設,又稱公開金鑰基礎設施、公開金鑰基礎架構,簡稱公鑰基礎建設、公鑰基礎設施、公鑰基礎架構或PKI。密碼學上,公開金鑰基礎建設借著憑證管理中心(CA)將使用者的個人身分跟公開金鑰鏈結在一起。對每個憑證中心使用者的身分必須是唯一的,可能在人為監督下,合併使用分散於各地的其他協同軟體。對每個使用者,憑證中心發行的公開金鑰憑證含有不可偽造的個人身分、公鑰、有效條件與其他資料等。可信賴的第三者(Trustedthirdparty,TTP)也長被用來指憑證中心。PKI有時被錯誤地拿來代表公開金鑰密碼學或公開金鑰演演算法。

目的與機能


公開金鑰基礎建設的設置使得未聯繫的電腦使用者可以提出認證,並使用公鑰憑證內的公鑰資訊加密給對方。解密時,每個使用者使用自己的私密金鑰解密,該金鑰通常被通行碼保護。大致而言,公開金鑰基礎建設由用戶端軟體、伺服器端軟體、硬體、法律合約與保證、操作程序等組成。簽署者的公鑰憑證也可能被第三者使用,用來驗證由該簽署者簽署的數位簽章。
通常,公開金鑰基礎建設協助參與者對話以達成機密性、訊息完整性、以及使用者認證,而不用預先交換任何秘密資訊。然而互通連成員間的公開金鑰基礎建設受制於許多現實問題,例如不確定的憑證撤銷、憑證中心發行憑證的條件、司法單位規範與法律的變化、還有信任。

典型的用途


大部分企業級的公鑰基礎建設系統,依賴由更高階級的憑證中心發行給低階憑證中心的憑證,而層層構築而成的憑證鏈,來建立某個參與者的身份識別憑證的合法性。這產生了不只一個電腦且通常涵蓋多個組織的憑證階層,涉及到多個來源軟體間的合作。因此公開的標準對公鑰基礎建設相當重要。這個領域的標準化多由網際網路工程工作小組(IETF)的PKIX工作群完成。
企業公鑰基礎建設通常和企業的資料庫目錄緊密結合,每個員工的公鑰內嵌在憑證中,和人事資料一起儲存。今日最先進的目錄科技是輕量目錄存取協定(LightweightDirectoryAccessProtocol,LDAP)。事實上,最常見的憑證格式X.509的前身X.500是用於LDAP的前置處理器的目錄略圖。

其他方案


信網路信任網路(Weboftrust)是處理公鑰如何跨越時間、空間提供公眾認證的另類的方式,它使用自我簽署的憑證和第三者證詞。論及信任網路,並非暗指單一信任網路或共同信任點的存在,而可能是多個不同互連的信任網路。這類實作如PGP和GnuPG。因為PGP和其實作允許電子郵件數位簽章使用於自我發行的公鑰,這相對更容易實現個人的信任網路。
信任網路的其中一個優點是它可與被某群體完全信賴的公鑰基礎建設憑證中心協同。

簡易公開金鑰基礎建設


另一個未處理公鑰認證資訊的方案是簡易公開金鑰基礎建設(Simplepublickeyinfrastructure,SPKI),它發展出三個獨立的功用以免去X.509和PGP信任網路的複雜。簡易公開金鑰基礎建設並不鏈結個人與金鑰,正因金鑰才是真正“說話”的角色。SPKI未使用任何信任的概念,正如驗證方同時也是發行者。這被稱為‘授權環’(authorizationloop)。

軟體


當鋪設公開金鑰基礎建設時需要有合適的憑證中心軟體,市面上有多個解決方案:
* 微軟:在Windows 2000 Server和Windows Server 2003包含一個被整合進活動目錄(Active Directory)的憑證中心軟體。這不需要額外的版權費,是目前Windows平台上最流行的解案。
* 類Unix系統:免費軟體OpenSSL和OpenCA,還有EJBCA。
* NEWPKI:產生與控制使用者公開金鑰的免費軟體。
* Novell:提供Novell憑證伺服器,整合進eDirectory。但是這個解案不敷重要的公開金鑰基礎建設計劃。反而eDirectory的附加產品cv act PKIntegrated(第三廠商製作)更貼近實際。
* Entrust:其產品Entrust Authority是付費憑證中心解案中最流行的,被視為市面上強力的產品之一。
* uPKI:為國人自行開發,行銷海外。為智能卡加解密及憑證驗證解決方案。
* CyberTrust:這是Entrust最重要的競爭者,其產品是TrustedCA。
RSA Security:其解決方案Keon也很流行。

PKI 應用


安全性網路服務面臨的安全性議題有二:一是網路與設備上的安全議題,另一是資訊的安全議題。網路服務可以穿過傳統的網路保護機制,同時網路服務也可以攜帶籌載物(payload),還可以與企業內部應用程序溝通,如此等於大開安全之門。因此在網路安全問題上,可能會面臨假身份問題,以及利用無效的SQL語法、LDAP或是XPath作攻擊,另外,攻擊者也可以使用XML的阻斷服務攻擊(DoS)來癱瘓網路連線。另外,在內容安全議題上,由於傳遞的是XML明碼,因此極易被有心人給窺視,因此網路服務也需對其傳遞內容進行保護,以免泄漏重要資訊。
憑證應用風險規劃 電子憑證主要目的為讓網路交易雙方建立信賴關係,其法律效力在於內含之數位簽章,而非憑證本身;憑證只在確認此數位簽章的正確性與使用者身份真實性。電子憑證內含密碼學技術,且由具公信力的CA所核發,其安全性不置可否。然而,若將憑證與其他應用一起使用,例如同時作為企業內部管理的功能,則必須考慮可能造成的風險。
企業在應用電子憑證時,應有完整的風險規劃,例如憑證的選擇、CA的選擇、了解憑證應用範圍的限制、了解憑證服務契約之賠償責任、利用各項功能或機制(如黑名單機制、在線憑證狀態查詢等)控制交易風險等。如此,才能在不逾越憑證使用範圍的法律效力下,適度做好交易風險控管,達到憑證最終目的。
工商憑證應用服務 繼自然人憑證后,經濟部刻正推動公司行號之工商憑證服務,亦即簽發公司行號憑證IC卡,作為企業與政府之間的網路身份證,提供各項安全的網路申辦服務。現階段應用包括工商登記、領投標、公司報稅、勞保加退保等等,後續將朝向文件(如謄本)申請之電子化目標邁進,一方面減少各項文書使用量,一方面提供公司及政府單位便利的在線作業,簡化整體申辦流程,為另一項電子化政府服務。
對一般電腦使用者的影響 PKI對我們日常生活有何影響呢?最主要看使用者對資訊安全的需求程度而定;換句話說,只要對“資料身份識別”、“交易資料完整”、“交易不可否認”或“保密”等其中之一有所需求,就可以使用PKI。
以社區管理為例,管理委員會挨家挨戶向住戶發送通知單或收取管理費,相當耗費時間與人力;如果以e-mail或在線繳費就方便多了。住戶透過網路運用電子憑證進行繳費的動作,就是使用 PKI 當中的“身份識別”與“交易不可否認”等功能–在整個過程中,管理委員會就能夠依憑證辨識用戶的身份,而用戶也不能否認其繳費動作。
PKI的應用範圍不僅於此,例如目前流行的網路銀行或網路下單等服務,都必須仰賴PKI機制並配合使用電子簽章所給予之法律地位,以確保交易雙方交易記錄的存在(“交易資料完整”與“交易不可否認”)與身份確認,使業者與消費者的權益都受到保障、以及利用網路達到安全傳遞資訊的目的。
日常生活中會接觸到的PKI應用還包括網路報稅、高速公路收費自動化智能卡、電子郵件加密簽名、上網購物、與大樓門禁系統等。