国际市场pki应用现况与趋势分析(ppt 27页)

2002年12月建立安全無虞的網路世界PKI互通國際研討會Toward PKI Interoperability會議簡介隨著網路資訊的腳步愈來愈快，建立安全及可信賴的電子認證機制，確保資訊在網路傳輸及儲存過程中之安全性，是電子交易能否普及應用的關鍵。在電子商務改變經濟體系及商業模式的同時，網路安全問題成為最大隱憂。公開金鑰基礎建設（Public Key Infrastructure，PKI）是電子認證的最基本架構，而 這項基本架構正是擴展全球電子商務市場及電子化政府服務的根本要素。 鑑於資訊系統安全的重要性與其對電子商務發展之影響，以及我國政府規劃建立全國PKI互通機制之政策，NII產業發展協進會以及PKI中華台北推動委員會特別針對此議題規劃本研討會，邀請已積極投入於資訊安全領域研究並廣泛地在推廣及使用之歐洲、美國和澳大利亞等先進國家專家先進，冀希藉國際專家的說明分析和經驗分享以及與國內業界學者間的互動交流，使國內業界更能掌握全球PKI交互認證之發展與現況，了解電子認證應用對於電子商務、電子化政府之影響，以及開發、建置和推廣策略之擬定等重要議題，進一步促進我國與國際間PKI互通之順利接軌。會議議程 本研討會全程以英文進行無口譯 時 間議 程主 講 人08:3009:00 報 到 及 領 取 資 料09:0009:20開幕致詞經濟部施顏祥 次長夏漢民 博士NII協進會 董事長(PKI中華台北推動委員會召集人)09:2009:30貴賓致詞Asia PKI Forum會員國代表09:3010:00國際市場PKI應用現況與趨勢劉台斌NII協進會 執行長10:0011:00全球PKI發展概況Dr. Peter Alterman美國聯邦PKI指導委員會資深顧問11:0011:20 休 息 及 茶 點11:2012:30澳洲實現PKI之方法 GatekeeperMr. Chris Joscelyne澳洲IT Security Forum 主席 12:3014:00 午 餐 休 息 （請 自 理）14:0015:10建構商務橋接式PKI架構歐洲BCA計畫案例分析Mr. Holger Reif德國European BCA Initiative專案經理15:1015:30 休 息 及 茶 點15:3016:40美國聯邦BCA運作概況Dr. Peter Alterman美國聯邦PKI指導委員會資深顧問16:4017:00 Q & A17:0017:10 結 論會議記錄】【第 一 場】國際市場PKI應用現況與趨勢PKI Application Developing Movements in Global Market【主 講 人】Mr. Robin Liu（NII協進會執行長 劉台斌）根據知名市場調查公司Datamonitor先前對PKI市場的預測，無論在產品、服務系統整合、維護等方面，其營業額均呈現每年上漲的趨勢；然而，就近年來的觀察與預測，PKI市場似乎不如當初預期來的樂觀。今年七月份美國的一項報導指出，PKI發展前景在近幾個月來有重大改變，即使技術不斷創新研發，但對於PKI在商業上的應用仍不甚普及，企業開始懷疑PKI是否真能帶來實際商機？其安全機制是否真有其必要性？ 亞洲公開金鑰基礎建設論壇中華台北推動委員會（以下簡稱PKI中華台北推動委員會）於今（91）年中旬與日本、韓國、新加坡共同進行了一項2002亞洲區PKI趨勢調查，四個國家共計336份有效問卷。調查結果發現只有30%的企業目前有導入PKI相關計畫，而這30%的企業中多數已暫停繼續進行PKI計畫，轉而將這些經費先移至其他核心領域，增加其公司收入來源。 另外發現，企業未導入PKI之3個主要原因為：PKI導入之回收報酬率（ROI）難以評估、導入及執行成本太高、以及認為根本不需要PKI安全加密機制。PKI於幾年前快速成長，各國政府大力推動PKI發展，但由於PKI的應用範疇並不廣泛，且主要以金融及科技兩大產業為主，因此，缺乏殺手級應用也是讓PKI裹足不前的因素之一。預計未來PKI的應用需求，將有60%來自於Web Services應用。 PKI應用範疇除了於前述兩個領域外，亦包括政府部門相關應用及網際網路電子商業應用，以下簡單說明之： 政府部門 便利內部各單位資訊、公文等傳輸，同時提供電子化政府各項服務如網路報稅、招標、投標電子化採購、公證、財務資料交換等應用。 金融領域 可提昇交易傳輸的安全性，確保客戶資料不被擷取、盜用，保護客戶個人隱私。其應用包括網路銀行、網路付款、繳費、轉帳、電子化結算、電子化契約等。 電子商業應用 在虛擬的網路世界中建構安全的商業交易環境，保障傳輸安全，如線上購物、線上競標、電子機票訂購、安全電子郵件傳輸、無紙化貿易等。 數位內容應用 保護智慧財產權和專業知識訊息傳輸的安全性，將豐富及有價值的資訊數位化，提供予相關人士參考。其應用包含遠距教學、遠方醫療、線上遊戲、數位典藏等。 綜觀PKI發展，除了公部門外，就以金融領域為私部門之應用最為普及，主要在於金融領域涉及企業與企業間、企業與消費者間、消費者與消費者間等層面的資金和個人資料傳輸，最為容易造成不法份子之竊取，因此隱私性極高，對於安全需求也相對提高。在全球居金融機構與電子交易安全機制領導地位的Identrus公司，已為全世界40餘家金融集團跨國銀行認同其理念而加入營運行列，Identrus提供全球B2B一個可以安心在網際網路上執行電子交易與金融轉帳等的基礎架構與解決方案，亦即用PKI來提供100%可信任的安全交易機制。 至於國內PKI發展部份，目前國內三個主要PKI領域包括電子化政府（e-Government）、電子化金融（e-Finance）、以及電子化醫療（e-Health），當這幾個領域的根CA（Root CA）都完成建置後，下一步即是進行跨單位及跨國的互通連結。因應跨單位、跨國的連結需求，目前經濟部正積極規劃台灣整體的PKI架構，並預計以橋接式憑證機構（Bridge CA）模式作為交互認證架構。 此外，經濟部商業司與NII產業發展協進會於2001年7月共同成立PKI中華台北推動委員會，除了配合亞洲PKI論壇（Asia PKI Forum）各項跨國合作計畫之進行外，目前也與日本、韓國、新加坡、香港等國家/地區，進行PKI技術面互通測試。而國內亦不定期召開會議，報告參與國際會議相關事務，彙集各委員意見，構思與各國之合作方向，期能加速我國建立可信賴的安全電子交易環境目標。 國內未來PKI發展建議可持續投入政府和產業間PKI基礎建設的規劃與建置，加強於亞洲地區不同PKI領域之跨國互通，同時應多加著墨於PKI之各種應用面發展，發掘更多PKI解決方案與服務，如Web Services及無線PKI服務等各項應用，以帶動PKI市場之整體發展。第 二 場】全球PKI發展概況The Outlook for Global PKI How We Get From Here To There【主 講 人】Dr. Peter Alterman（美國聯邦PKI指導委員會資深顧問）網際網路安全需求包括使用者之身份鑑別性、交易之完整、不可否認性和機密性。為達成這些安全需求，可採用個人識別號碼（PIN）、密碼，或是利用公開金鑰（Public Key）技術等方法；其中後者被認為是安全網際網路商務唯一的完全解決方案，這是因為PKI可滿足前述四項安全需求。執行電子鑑識（E-Authentication）的方法有許多種，例如PKI或數位簽章等，而使用何種方法則需視使用者對交易本身的安全要求程度（可承擔風險程度）而定。換言之，安全技術的使用成本以及對安全程度之要求，兩者具有正比關係。PKI通常被使用於高安全需求領域，例如金融業的安全線上交易；政府部門亦可利用PKI所提供之各項功能提供電子化政府服務予一般民眾及企業。此外，PKI技術亦可支援電子醫療記錄保密、帳單資訊、線上學習（如遠距教學）、資源共享、網格網路（GRID Network）、商業流程的自動化等用途。國際上已有許多國家開始採行PKI技術，例如加拿大的政府PKI採取階層式PKI架構，而該政府PKI的最上層憑證中心（Root Certification Authority）也同時為對外與私部門互通的橋接式憑證中心（Bridge CA）。美國聯邦政府採取的是橋接式PKI架構，以落實其電子化政府目標；目前各州政府以及私部門領域的銀行業、汽車業以及航太業等亦已能支援PKI技術。歐洲的英國、挪威、芬蘭、義大利、西班牙等，也在積極從事國家層級的PKI建設。為促進歐盟各國彼此間的PKI互通性，德國提出European Bridge CA Initiative計畫，稍後來自德國TeleTrust的講師將會針對該計畫進行更詳細之說明。此外，環太平洋地區國家，如澳洲已實施政府與私人部門間的PKI合作，而新加坡、日本、台灣均開始發展其PKI建設；稍早國內幾位貴賓致詞時也提及台灣已積極開始Bridge CA之規劃，可推斷的是全球性PKI架構的願景並非遙不可及。促成全球性PKI的推力包括增加全球電子商務之信賴度，對於跨國銀行業務，因其對於安全的高度需求而相形重要；此外各國政府亦可透過PKI技術改善其電子化政府服務等。然而，建立全球性PKI建設並非易事，主要是因為PKI是以階層式模式開始發展，而對於安全的考量則區隔了網際網路上各個獨立PKI領域；尤其因為信賴度須建立在技術、政策和實作上，而後兩者具有相當大的區域性差異，使得整合工作更形困難。全球性PKI可採取階層式架構，建立一個可使每個國家所信賴的Root CA，或是採取橋接式架構，達成使互通更為簡單。橋接式PKI優於信任清單式PKI的主要原因是，當信賴清單所列的憑證機構數量一旦增多，其維護工作也隨之變得更加困難；換言之，信任清單模式的使用會使得管理工作量呈現對數比例之成長。反之，橋接式PKI只需在每個對應PKI領域與Bridge CA間完成交互憑證工作，較為簡化。在橋接式PKI架構下，各個連結成員亦只需維護其PKI系統即可，而各個系統間的互信關係則建立於政策對映（Policy Mapping）的結果。Bridge CA的角色如同轉運點般，其只對通過核定之成員PKI領域核發跨憑證，並允許成員PKI自由控制彼此間的信任關係，且僅需儲存單一份信任清單即可。此外，Bridge CA也可促進政策對映的標準化。目前已經在運作的Bridge CA PKI包括有美國聯邦政府、加拿大聯邦政府、美國高等教育機構、美國太空總署、美國醫療保健部門、歐盟及澳洲政府等。全球PKI的建置必須仰賴橋接式PKI，這是因為橋接式架構下，不需要存在單一信任管理機構以管理所有PKI領域，亦不需要政府作為PKI推動的主力，其他產業如對安全需求較高的銀行、高等教育研究機構，將會自動的成為PKI技術應用的推動先驅。Q&A：Q1：希望了解更多目前已經實施的BCA應用A1：電子簽章郵件是第一個BCA互通所使用的PKI應用。Q2：美國在BCA的應用情況以及面臨的障礙。A2：應用之前應先有基礎建設之建立。電子簽章文件為非常重要的PKI應用，目前也已經在美國州政府及聯邦政府間所使用；電子郵件的簽章可作為契約，此亦為最早採用PKI應用。網路傳遞文件的簽章為另一項應用領域，例如英國所發出的電子文件簽章在美國同為合法。BCA發展的其中一項發展困難處為，針對與先前沒有接觸過的單位或組織間建立信任關係的能力。【第 三 場】澳洲實現PKI之方法 GatekeeperGatekeeper - The Australian approach to PKI【主 講 人】Mr. Chris Joscelyne（澳洲IT Security Forum主席）澳洲政府以資訊技術與電信系統重要使用者之身分，促進澳洲運用網際網路帶動國家經濟；例如要求其行政機構必須於2001年底前完成提供線上服務，以及提出以擴大網際網路使用率為目標之特定實施方法，像是： 制訂電子交易法（Electronic Transactions Act），使澳洲商業和管理架構能夠符合資訊和通訊技術之演變； 導入政府PKI架構解決鑑別性、不可否認性、機密性和安全性問題； 推動多個運用線上技術提供政府與企業及社會大眾間互動的重要計畫，例如FedLink計畫即是利用VPN提供網際網路安全且信賴度高的通訊管道，達成各個政府部門間溝通之目的；FedLink同時也提供了安全電子交易和多媒體應用的另一種具發展性的模式。 澳洲資訊經濟國家辦公室（National Office for the Information Economy，NOIE）最近為政府主管製作了一份指導方針，作為其考量實施具有鑑別（Authentication）功能系統之電子商務策略時的建議與依循。此外，NOIE亦以中小企業為目標製作了Trusting the Internet報告，以協助業者瞭解與網際網路安全相關之重要議題。澳洲國家驗證技術架構（National Authentication Technology Framework，NATF）成立目標是為系統設計師、經理人和終端用戶建立一套線上鑑別的標準和政策準則。NOIE已經於本年度召集政府及私人企業共同舉辦NATF會議，以開發前述之鑑別標準和政策架構。NOIE所發表的其中一篇討論報告廣泛地討論了驗證技術的發展趨勢，其中包括PINS、密碼、PKI、SSL、生物辨識測定技術等。此外，該篇報告也敘述了澳洲政府PKI政策未來可能的發展，以及NOIE在驗證技術部分所扮演的角色。該報告中也對於以生物測定技術為驗證模式進行討論，議題包括了像是標準、測試、政策以及互通等。由於生物測定技術產業尚在萌芽階段，因此利害關係人（Stakeholders）仍將NOIE在該議題方面，定位為教育以及促進國家政策與標準發展等層面。NOIE近期委託調查研究公司Gartner Group進行全球PKI以及Authentication市場方面議題之調查。Gartner Group分析師雖肯定PKI之效用性，但也提及為使PKI成功發揮功能，則PKI必需隱藏於其所支援之應用中，這表示PKI技術會融入各種安全性的應用中。分析師亦質疑全球單一PKI結構出現的可能性，他們認為階層式的PKI架構會出現，但會受限於單一領域的範疇；而透過交互認證的使用，信任範疇將得以擴張。PKI在不同的領域的應用可創造其利基，例如澳洲國家稅務局（Australian Tax Office）的PKI領域內，個人和企業即可在安全線上環境中處理如退稅的要求。而許多國家政府部門均已開始運用PKI來進行government-to-business或是Government-to-Citizen應用，例如加拿大政府推動的PKI獎勵計劃Pathfinder，包含了許多PKI推廣活動；新加坡、中國大陸等亞洲國家均已推廣PKI技術的全國ID卡計劃。在商業應用方面，Gartner認為企業對PKI的使用似乎有倒退現象。例如雖然已經有安全傳輸和VPN的相關發展，但對於關於S/MIME採行者卻非常少；針對桌上型和筆記型電腦開發的加密方式方面，已有針對該目標結果所設計的使用其他非正式PKI技巧的解決方案發展。Gartner認為其他PKI替選方案以及目標導向的其他驗證技術將持續降低對PKI機制的使用。然而，Gartner也提出Smartcard的採用將有助於推動PKI發展，並以利用Smartcard進行驗證功能已經非常普及。澳洲政府PKI架構依循Gatekeeper策略，Gatekeeper亦為各省政府聯邦政府的數位簽章使用策略。Gatekeeper最早始於1997年11月澳洲政府產業發展投資聲明，基於PKI為實現線上政府服務以及推動資訊經濟的重要推力考量，Gatekeeper遂成為政府線上業務發展策略的一部份。Gatekeeper策略的主要目標在於提供數位憑證供應者（無論是公部門或私部門）資格的鑑定方法（Accreditation Scheme），現階段的鑑定方法確保了服務提供者及其服務本身符合一系列的標準、聯邦政府政策以及政府在隱私權、安全性和營運方面的需求。Gatekeeper鑑定方法可視為一種管制措施，並由NOIE監督整個鑑定流程。Gatekeeper的鑑定可保證該PKI服務組織有能力提供高度保證等級的PKI服務給聯邦行政機構；而鑑定的過程亦確保了使用數位憑證和公共金鑰技術的交易內容可同時提供給政府行政機構和使用者兩方足夠的信任度。換言之，Gatekeeper鑑定方法的實施給予提供政府單位服務的廠商一個具有公信力以及可信任的代表性。Gatekeeper會核發通過鑑定的憑證機構Gatekeeper鑑定認證（Gatekeeper Accreditation Certificate，GAC），GAC制度將會促成國內以及國際間的PKI互通目標。NOIE將會建立Gatekeeper自我簽發憑證認證中心（Gatekeeper Self-Signed Certificate CA），該認證中心會核發提供給澳洲政府以及其他PKI領域的最高信任端點之自我簽發憑證。GAC制度現仍在發展當中。澳洲商務數字數位簽章憑證（Australian Business Number-Digital Signature Certificate，ABN-DSC）的主要概念是要簡化並降低澳洲企業進行線上交易時的身分識別條件。任一家企業握有唯一性的、且可被政府機構以及其他線上交易伙伴所接受的數位憑證。目前澳州政府政府已同意，所有使用數位憑證識別企業的聯邦行政機構均將接受ABC-DSC憑證；省及地方政府亦同意適時地接受該憑證。澳紐銀行集團（Australia and New Zealand Banking Group，ANZ）、澳洲聯邦銀行（Commonwealth Bank of Australia，BCA）、國家銀行（National Australia Bank，NAB）與西太平洋銀行（Westpac Banking Corporation，WBC）組成了Project Angus工作小組，隸屬於Identrus 信任階層架構的一部份；Project Angus工作小組的會員也開放給所有符合Identrus規格與需求的澳洲金融機構。2001年3月22日，澳洲聯邦同意納入Project Angus數位憑證為ABN-DSC，此舉預期將加強ABC-DSC在商務領域的應用。聯邦政府目前正對省政府及其他地方政府進行遊說他們接受Angus憑證。在2001至2002年間，NOIE比較了Identrus系統與標準和Gatekeeper間的差異；結論為，Angus架構下的銀行成員必須符合Gatekeepers規定，並以註冊中心（Registration Authority）身分通過Gatekeeper鑑別方法內容之規範。商務驗證架構（Business Authentication Framework，BAF）為政府機構用以辨識使用安全線上政府應用的企業個體之身分；使用相同BAF的不同政府機構間的驗證方法可因此達到相容之目的。BAF可驗證ABN-DSC和Project Angus兩種憑證，其包括二項技術組成要素： Commons Use Signing Interface（CSI）：CSI會在會員公司的電腦上執行，並提供密碼服務之高階介面；主要用途為讓所有通過鑑定的服務提供者能夠使用ABN-DSC憑證。 Certificate Validation Service（CVS）：CVS會將政府行政機構提出的憑證驗證要求轉交給ABN-DSC提供者，並提供政府單位有關憑證有效性及狀態之相關資訊。 在不同PKI領域間的交互認證方面，目前澳洲和新加坡正在洽談雙邊自由貿易協定（Free Trade Agreement，FTA）。在2001年9月，雙方均同意透過依循國際標準的交互承認（Cross-Recognition）互通方法，達成電子簽章相互認可目的。兩國的交互承認協商將於FTA協定簽訂後才開始著手進行。其他的跨國交互認證實作亦包括，澳洲在APEC組織下所參與的計劃，該計劃內容為比較美國、加拿大、新加坡及澳洲四國PKI現階段實施狀況，已發展出一套適用於所有經濟體的電子憑證法定地位之實施方針。APEC組織也試圖克服交互認證（cross-certification）和交互承認（cross recognition）間的差異性，其中不進行雙向的承認，而雙方均採取採單方向承認即為一個辦法。Gatekeeper已運作超過四年，目前已有八家公司和政府行政機構通過鑑定。雖然Gatekeeper基礎已建立完備，然而PKI應用之進展仍屬緩慢，針對企業領域方面推廣PKI的優點是非常必要的；而達到此目標的其中一個方法為展示成功的PKI導入案例。政府也應該著重於複雜度、金錢成本與時間等重要因素；在PKI應用為主的推廣方向上，不強調技術面而以PKI能提供之益處為重心，將會是關鍵所在。Q&A：Q1：澳洲現在採取的PKI互通架構為Cross Recognition，先前來自美國的講師Peter Alterman曾提及Trust List不是一個有效的PKI互通方法，由於Cross Recognition其實就是Trust List模式，請問您對這項論點的看法？A1：同意稍早Alterman博士提出的論點。但是必須強調的是，澳洲政府並不排除其它互通方法的使用，並在執行的過程中學習以求成長。對於只採取特定方式的國家而言，將會有受國際其他PKI架構排除在外的風險。【第 四 場】建構商務橋接式PKI架構 歐洲BCA計畫案例分析Constructing Commercial Bridge PKI Framework: European BCA Initiative【主 講 人】Mr. Holger Reif（德國European BCA Initiative專案經理）在正式進入PKI議題前，Mr. Holger Reif首先針對TeleTrusT組織的背景做簡單敘述與介紹。 TeleTrusT於1989年在德國成立，為一個非營利組織；該組織目標包括促進資訊和通訊技術的可信賴度，重點則是放在應用密碼學及生物測定技術等方面。目前TeleTrusT擁有約110個會員，其中包括使用者公司、研究機構、安全產品的研發和製造商、政府行政機構等。TeleTrusT的主要工作內涵有影響德國及歐洲資訊技術安全政策與法規的制訂、支持確保不同使用者互通性的全面性標準之制定（例如ISIS-MTT、European Bridge、晶片卡技術等）以及推動例如生物辨識的新興技術等。 在資訊技術方面，TeleTrusT認為資訊技術可信賴度的建立必須是隱私權、保密、完整性、身分鑑別等目標的實現；達成這些目標的條件包括了大眾所接受的技術、使安全成為商業流程中的組成要素、積極主動的參與者以及可清楚辨認的風險等。 而在生物測定技術議題方面，TeleTrusT組織自1999年至2002年3月間，進行了一項名為BioTrusT的國際性計畫；來自於德國、奧地利、瑞典、以色列和美國等國家超過30家代表參與了計畫，並完成了多項生物辨識系統之測試；這些代表有研究機構、消費者團體以及隱私權提倡官員等。已完成部分有BioAPI標準，並將繼續完成指紋配對的共通標準。 隨著電子化的來臨，商務流程的自動化已超越企業本身的範疇，電子化的通訊方式替代了紙張或人員面對面開會的互動關係，整個商務流程變得更加迅速、具成本效率、實用且能夠避開時間與地點的限制；也因此，新型態的破壞行為也隨之而生。交易本身以及通訊的過程，均需受到保護；PKI技術提供了驗證、加密、完整、不可否認等服務，而具互通性及多功能的電子簽章和憑證技術，正是安全電子商務需要的基本要素。 成功的電子商務評斷準則包含標準化安全技術的採行，以及商業伙伴間使用數位簽章和憑證的共識。然而，現階段安全電子商務發展所面臨的問題有，缺乏共通的信任領域以及互通議題；獨立且缺乏有效整合的解決方案降低了使用者對電子商務接受的程度。 歐洲橋接式CA計畫（European Bridge CA Initiative）的發起為解決上述之安全機制互通問題。總括而言，European Bridge CA Initiative是由一群具有相同興趣的私人和公共行政單位所參與的非營利性計畫，建構於既有的電子商務解決方案之安全基礎建設上。European Bridge CA Initiative的主要任務再於促進運用數位簽章和電子憑證的安全電子商務解決方案的被接受度，以及建立連結全球不同使用者之互信和互通橋樑。 European Bridge CA Initiative並不採用階層式或網路式結構，因為前者有主導性問題，而後者不符合經濟效應；故European Bridge CA Initiative採取了信任轉運中心結構，由中央的橋接式憑證中心（BCA）作掮客，將各個橋接憑證機構之憑證存放至Trust List內，提供會員憑證機構的存取，使各個會員憑證機構可自由地延伸他們的信任關係至其他的PKI領域；BCA具有接受度高、信任掌控權之更動由會員憑證機構自行握有、規模易於擴大等優點。 European Bridge CA Initiative運作方式如下，首先一個新加入的PKI參加者向BCA提出申請，並取得申請標準和必備條件等資訊，申請者完成必要申請程序後即與BCA交換Root憑證，申請者PKI便會更新至BCA的信任清單中。之後BCA會產生該新加入PKI之Root憑證清單並簽署該清單文件，並將此簽署清單傳送至其他加入的各個PKI領域；這些PKI將接收到的清單加以驗證BCA憑證，並且輸入該Root憑證至其目錄服務中。 若使用者需要驗證自己本身以外PKI所簽發之數位簽章，即可至其所屬之最上層PKI中心中，檢索該PKI目錄服務中的Root憑證並利用該憑證去驗證外部PKI的數位簽章。流程可由下圖簡單示意之： European Bridge CA Initiative成功關鍵在於，架構下各個PKI可擁有各自組織所需的部分安全策略，並可藉由BCA的接續與其他安全策略結合。此外，政府及民間企業的合作伙伴關係也是一項重要成功因素。European Bridge CA Initiative本身同時也是一個更大型的安全架構計畫中的一部份，並且跟其他計畫有密切合作關係；換言之，European Bridge CA Initiative 並非單一解決方案之運作，而是許多不同安全方法的結合，使其結果更有效率。 European Bridge CA Initiative在進行互通性測試，亦曾遭遇困難，例如成本因素、測試無法連貫，以及對於未來發展缺乏一個強而有力的方向指引。為解決這些問題，家ISIS/MTT專用規格因應而生。 ISIS-MTT互通規格由超過40家公司和組織所共同發起，為現存多種電子簽章、加密和驗證技術國際標準之綜合體，並為單一個統一且公開的標準；該標準主要目標是能夠提供不同資訊安全條件或需求的應用領域間的達完全之互通。標準的制定尚需考慮現有技術和法律條件，並且發展對應測試規格、平台，使應用開發者能夠驗證其產品的ISIS-MTT互通性。 ISIS-MTT的核心規格包括憑證和CRL的特性資料、PKI的管理方法、訊息格式、運作通訊協定、認證路徑確認、密碼演算法、密碼標記介面；其他選擇性規格部分則包括了特性資料，像是SigG確認系統與應用，以及對SigG的特性資料作選擇性的加強等。 ISIS-MTT的憑證特性資料符合X.509 V3的標準，屬性憑證也符合X.509 V2標準，憑證註銷清單亦符合國際CRL標準，S/MIME、LDAP、OCSP、TSP等也都符合各自的標準，憑證路徑確認亦符合標準PKIX程序。 下圖為ISIS-MTT的基礎架構，憑證服務提供者（Certificate Service Provider）與客戶端應用間，使用符合X.509 V3標準之憑證和CRL特性資料的功能。CSP和其他CSP間亦使用共通知PKI管裡通訊協定，而各個客戶端應用間也使用符合標準的訊息格式。另外，各模組間的溝通也都符合上述所提到的核心規格。 ISIS-MTT在2002年發展了一套可作為實際應用及服務的測試平台，並授予品質標誌給已經通過互通性測試的PKI應用。此外，ISIS-MTT亦開發了以W3C和ETSI為基礎的XML-Profile。ISIS-MTT標準開發所導致的優點有，PKI在應用階層的互通性得以有效增加電子化政府以及電子商務在簽章、加密和驗證等相關產品應用的接受度、提供使用者在產品及服務的多樣選擇性與成本之節省，並直接刺激PKI應用開發廠商的開發意願。 截至2002年10月，ISIS-MTT已發展為擁有6個委員會成員、25個技術工作小組成員、10個憑證服務提供者、14個應用開發者及31個測試平台設備之規模。 由ISIS-MTT標準的制定過程以及成果中可以了解到，在標準制訂過程中，法律相關問題不應該涉入過多的討論，這是因為百分之百符合法令的解決方案並不存在；政府與民間企業的合作關係保持雖然不容易，但此種組合為達成目標的最有效方法；瞭解不同市場的需求，尤其必須注意某些特定的、專屬於某些特定產業之需求；保持參與者以及對相關團體對計畫內容的高度興趣是計畫延續的關鍵。【第 五 場】美國聯邦BCA運作概況The U.S. Federal Bridge Certification Authority: Operations Overview【主 講 人】Dr. Peter Alterman（美國聯邦PKI指導委員會資深顧問） 本講次Dr. Alterman主要是講述美國聯邦BCA的運作概觀。事實上BCA運作的概念一般是雷同的，但其運作卻未必相同，譬如德國與美國聯邦BCA的運作方式就不一樣；又譬如美國本土境內醫療業的BCA運作方式也和美國聯邦BCA有所不同。 Dr. Alterman指出BCA並不直接發憑證給終端用戶（End Entity），其作用是欲建立各個不同PKI領域間的信賴關係。這種信賴關係奠基於軸輻式的架構，它可有效簡化交互認證的複雜度。簡單來說，輔以不同特定之信賴等級標準，BCA可建立起不同PKI領域間所需的信賴關係。關於聯邦BCA所提供的驗證服務，它支援CRL Checking, OCSP, SCVP等協定；此外，美國政府還提供相關的經費開發開放性程式碼驗證軟體供一己和外界使用。就其經驗，聯邦BCA在驗證工作上所遭遇到的問題主要出在用戶端的電子郵件、瀏覽器等桌面應用程式。 從作業管理的角度來看，聯邦BCA日常的運作單位主要包括聯邦PKI指導委員會（Federal PKI Steering Committee）、聯邦PKI政策中心（Federal PKI Policy Authority, FPKIPA）、聯邦BCA運作機關（Federal BCA Operational Authority）。聯邦PKI指導委員會的主要工作是監督以及指揮聯邦BCA的所有運作，它並利用PKI基礎建設強化聯邦以及州政府各單位間的信賴關係。事實上它的另一個使命是強制要求聯邦政府各單位能夠建置應用PKI系統和技術，確保政府電子化服務的安全性，並且促進像Entrust, Netscape iPlanet, RSA Keon, Baltimore, Microsoft .NET CA, DST/Identrus和