《电子凭证应用v》PPT课件.ppt

電子憑證應用v1 0 kphsu ntu edu tw臺大計中資料管理師許凱平 http mis cc ntu edu tw pki 台大首頁www ntu edu tw 教職員資訊服務網info ntu edu tw finfo mis cc ntu edu tw pki 大綱 電子憑證簡介自然人憑證介紹在電子郵件的應用政府服務應用結合校務行政系統的應用簡易故障排除 什麼是電子憑證 電子證書 簽章過的電子文件畢業證書 畢業生姓名校印日期文號 學校電子簽章 畢業生姓名日期文號 自然人憑證內政部簽給自然人的電子證書 印鑑證明 證明此人跟一個數字 公鑰 的特殊關係 電子簽章法 目標與精神 目標完整 防止資料在傳送過程遭篡改偽造身分認證 確認交易對象真正身分不可否認性 避免交易完成事後否認精神 當事人約定防止數位落差必須提供人工作業和書面的服務 效益 無紙化 哪一些文件可改用電子文件書面文件得以電子文件為之 4 書面文件之原本或正本得以電子文件為之 5 書面文件之法定保存 得以電子文件為之 6 簽名或蓋章得以電子簽章為之 9 效益真正的無紙化 不用印出來蓋章了 什麼是電子簽章 電子簽章 指依附於電子文件並與其相關連 用以辨識及確認電子文件簽署人身分 資格及電子文件真偽者 電子簽章法第二條第二項 數位簽章 指將電子文件以數學演算法或其他方式運算為一定長度之數位資料 以簽署人之私密金鑰對其加密 形成電子簽章 並得以公開金鑰加以驗證者 電子簽章法第二條第三項 數位簽章 Bob Alice clchen 簽章 請假單 驗章 非對稱式加解密系統 KeyPair公鑰PublicKey 私鑰PrivateKey知道公鑰無法推出私鑰加密公鑰加密 能且只能用私鑰解密備份私鑰 否則有加密資料無法解開的問題簽章私鑰簽章 公鑰驗章沒有私鑰無法假造可通過公鑰驗證的簽章 x備份 RSA加密演算法 隨意選擇兩個大的質數p和q p不等於q 計算N pq 選擇一個大於1小於N的自然數e e必須與 p 1 q 1 互質 用以下這個公式計算d d e 1 mod p 1 q 1 將p和q的記錄銷毀 KeyGenp 17 q 11 N 187Phi 17 1 11 1 160Factor phi 25 5E 3 7 11 lete 7d e 1 phi 7d 160 i 1161 7 23 d 23PublicKeyPU 7 187 公布之PrivateKeyPR 23 187 妥善保存磁片 軟體保護晶片卡 PINPGP 公鑰加密 私鑰解密M N Mismessage ex M 72 明文 C Enc 72 7 187 727 187 30 密文 M Dec 30 23 187 3023 187 72 明文 私鑰簽章 公鑰驗章M N Mismessage ex M 72 明文 C Enc 72 23 187 7223 187 183 簽章值 M Dec 183 7 187 1837 187 72 驗章 M Message 明文 C Cipher 密文 與傳統簽章比較 簽章印鑑證明簽章 墨水滲透進紙張的纖維 成為文件的一部份雙正本 正副本 法院公證 存證信函比對數位簽章登錄公鑰計算簽章值 電子文件 私鑰存證驗章 電子文件 公鑰 電子簽章 數位簽章應依一定之程序製作始生效力 10 憑證機構應製作及公布憑證實務作業基準 11 有效的電子簽章由管理機構認可之憑證機構CA CertificateAuthority使用憑證機構簽發的公開金鑰憑證未超過有效期限及使用範圍經驗證記載的內容無誤 Bob 政府機關公開金鑰基礎建設 GPKI GovernmentPKI 政府憑證總管理中心 行政院 研考會 憑證推行小組 內政部憑證管理中心 PKI PMI電子化服務的基礎 PKI公鑰憑證 身分憑證 PublickeyInfrastructure身份證書身份證印章CA RA由政府統一負責PMI屬性憑證 資格憑證 PrivilegeManagementInfrastructure屬性證書在職證明在學證明各機關需要做的是PMI公務員憑證 準備中 認證 authentication 我是誰 常見機制 帳號密碼授權 authorization 我能做什麼 常見機制 多組帳號密碼改善機制 單一簽入 singlelogin 想像成有一個大表格 註明何人能做何事簽章 signature 事情是我做的帳號密碼無法有效簽章 認證授權與簽章 clchen IC卡 達成讓個人安全保存私鑰之目標IC卡的記憶體 儲存金鑰對及相關資訊IC卡的CPU 執行金鑰對相關運算IC卡是個人專屬 無法讀出私鑰的電腦IC卡不易複製金鑰對的使用不只是權利 權力 也是義務 常見的晶片卡 晶片卡自然人憑證 CitizenDigitalCertificate 金融卡信用卡健保卡悠遊卡自行發卡SoftwareKey PGP 自然人憑證 idno Citizen sIDNumber 讀卡機 SmartCard WebServerProcess CryptoDLL Internet WebApp CSP Driver 安裝 系統需求作業系統 Win2000 XP 2003 andVista瀏覽器 IE6 IE7安裝讀卡機及其所附驅動程式WinXP可以讓作業系統自己找 讀卡機選購 價格大約99 500元間附加功能金融晶片卡 WebATM二代金融卡功能 有鍵盤跟螢幕 需軟體配合讀取iCash卡餘額 Imagefromeasyatm Chip PinAssumptions SolutionProvider sResponsibility沒有人可以複製晶片卡User sResponsibility收好自己的晶片卡 不將PIN跟別人講Reasoning我不跟別人講 別人就不知道我的PIN收好自己的晶片卡 不將PIN跟別人講就可以確保自己的安全別人撿到我的晶片卡 不知道我的PIN 沒辦法假冒我別人如果知道了我的PIN 沒有我的晶片卡沒辦法假冒我如果有人有我的晶片卡 又知道我的PIN 就可以假冒我 Imagefromnist PlzEnterPininCardReader 1234 Imagefromeasyatm 1234 Pinwillnotleak Nothingatall dummy cardreader smart cardreader TEMPSET CSP CryptographicServiceProvider 安裝SafeSignCSPhttp moica nat gov tw html download 1 htm開始 程式集 SafeSignVersion1 0 8 1 CertificateRegistrationUtility 2 IntstallSafeSigninNetscape 3 TokenManagement 匯入憑證 從自然人憑證晶片卡取得插入自然人憑證如果沒有自動匯入的話執行SafeSign CertificateRegistrationUtility同一張卡在同一台電腦上只要做一次檢查安裝狀態IE6工具 網際網路選項 內容 憑證 個人 2x2 KeyUsageDigitalSignature 80 KeyEncipherment DataEncipherment 30 公鑰 OU 內政部憑證管理中心O 行政院C TW Issuer Issuer Subject序號 0000000111638893CN 許凱平C TW O GovernmentRootCertificationAuthorityC TW 4096 1024 2048 在電子郵件的應用 請參考中華電信安全電子郵件介紹的講義OutlookExpress Outlook2003 ThunderBirdandNotesMail精簡版Step1取得憑證Step2匯入至OutlookExpressStep3送加密信給kphsu kphsu 公鑰Step4kphsu簽章kphsu 晶片卡 工讀生 kphsu ntu edu tw 取得kphsu的公鑰 用私鑰解密 驗章 secrete secrete Step1取得連絡人的電子憑證 連線至http moica nat gov tw 選擇中文版憑證作業 查詢憑證簽發情形 輸入姓名 全名 或電子郵件位址 查詢下載憑證一個是簽章用一個是加密用 1 2 3 4 下載憑證 匯入憑證 通訊錄搜尋 找到人數位識別碼 匯入憑證 補充資料一 沒有插入晶片卡的 可以看到寄件人 主旨 但無法閱讀內容 加密 應該是解密 插入自然人憑證晶片卡 輸入PIN 看不到 解密 拔出晶片卡 kphsu發信 工讀生收信 輸入PIN 可以不用先取得kphsu的公鑰 小結論 先寄一封簽章過的信給對方 工讀生 工讀生 對方打開你的信 驗章的過程中可以取得你的公鑰 工讀生 就可以使用你的公鑰加密信件工程師用私鑰解密 工讀生 用私鑰解密 驗章 secrete secrete 用私鑰簽章 尚未取得kphsu公鑰卻要寄加密的信給他產生的錯誤訊息 政府服務應用 MOICA網站介紹 MOICA網站安全性元件 憑證作業憑證作業 更改憑證公佈狀態 取得 查詢 憑證 停用 復用與廢止密碼 PIN 更改PIN碼 鎖卡或忘了PIN碼 需有申請時的用戶代碼 應用服務 連線moica 選取應用服務 19項 較常用的報稅戶籍謄本勞保資料中華電信帳單 簡訊郵局帳戶改地址 與校務系統結合 認證結合單一簽入簽章電子表單系統試辦自然人憑證簽到退系統公文傳閱電子表單設計系統 臺灣大學電子憑證推動網 提供電子憑證相關資訊功能憑證上傳憑證應用工作時程常問詢答 安全檢查表 諮詢窗口工作團隊連結台大首頁電子簽章法MOICA台大行事曆網上論壇 工作時程 2007 01 ie7與vista相容性測試 應用推廣 安全驗證原則確立與技術交流2007 03 電子憑證應用教育訓練2007 06 全校試行自然人憑證簽到退系統 試行期間原有簽到方式 職員證號 密碼 仍可使用2007 07 檢討與改進2007 08 電子表單系統開發2007 09 電子表單系統內部測試 Components PKIArchitectureGovernmentInHouseCAPKIModulesCryptoAPIActiveXControltoAccessLocalDevicePKI EnabledApplications CADirectory3 PKI enabledApplication4 SecurityPolicy 建置 硬體卡片讀卡機安裝 相容性問題排除軟體CrptoAPI資料完備 人員資料組織架構 整合進校務系統的改寫成本教育訓練管理CA ntu 計中or人事室RA ntu 人事室or計中 基礎建設 憑證與身份之繫結利用計中email帳號登入 上傳憑證有效性判斷時間伺服器時戳服務存證服務簽章服務 職員證號 計中email帳號 自然人憑證 身分認證與資格認證 用晶片卡登入者檢查CRL 憑證廢止清冊 或OCSP由憑證發放單位提供列出所有有效期限未到卻因其它事故被CA吊銷的數位憑證檢查該憑證所繫結的對象 教職員編號 檢查該員的狀況 在職 離職 退休 憑證有效且在職者才能登入使用系統安全有賴於正確即時的資料 Cert SN00A4363ACAB7CF06C7C8AC2271EC67A914 網路簽到系統 mis 的優點 資訊可取用性高使用者可以簽到後就知道自己的簽到時間主管可迅速了解屬下的到勤狀況洽公人員可以掌握業務承辦人的狀況容易開發附加價值SARS體溫填報訊息公布 v 我已閱讀確認每個職員知道校內重要訊息 網路簽到系統的問題 一 P1 使用者需基本的電腦使用能力會使用鍵盤會使用瀏覽器P2 簽到的爭議我記得我有簽到伺服器沒有紀錄伺服器時間太快 太慢 網路簽到系統的問題 二 P3 時間的同步問題使用者的電腦伺服器 網頁 資料庫 P4 網路不通的問題提供Offline簽到程式P5 資料庫伺服器故障P6 網頁伺服器故障P7 開機需要時間 不關機又浪費電 自然人憑證簽到系統 優點較能防弊缺點簽章花費時間較久 15sec 30sec 晶片卡接觸不良忘記PIN91年採購之元件對新OS 瀏覽器的問題XPsp2會當掉ie6 ie7及vista不能使用改用微軟CAPICOM 時間的認定 生活上117為準網路上以網頁伺服器時間為準每個禮拜與117校時一次每天與網路原子鐘校時一次保留Client端時間作為參考提供Server時間供使用者對時台大官方ntp ntu edu twhttp ccnet ntu edu tw ntp index html 網頁伺服器time 用網頁提供伺服器上的時間供參考測量Client到Server的時間差測量Client到Server的delayNTP原理 時間的同步問題 一 WinXP Win2003控制台 日期和時間 網際網路時間時間伺服器ntp ntu edu tw 140 112 2 189 tw 時間的同步問題 二 校時軟體Nettime中華電信研究所時間與頻率國家標準實驗室V2 1中文版http www stdtime gov t