電子簽章法中的數位憑證服務你申請了嗎?

電子簽章法中的數位憑證服務你申請了嗎?

律果簽 Legalsign 編輯部 2022-08-08 11143

 

在我國的《電子簽章法》中,除了針對電子簽章進行法律規範之外,也針對數位憑證服務、憑證機構做出了初步的定義以及規範。從法規上的定義來看,我們很難理解到底什麼是數位憑證,什麼是憑證機構,而數位憑證又該如何應用。其實在日常生活中,與我們最息息相關也最熟悉的數位憑證就是「自然人憑證」了,自然人憑證中包含了「數位簽章」以及「公開金鑰」的技術,透過該憑證除了提高網路應用的便利性,也降低了資安的風險。

 

什麼是數位憑證 ? 


一、數位憑證與憑證管理中心(CA)

憑證管理中心 (Certification Authority,CA)是負責產生、分配並管理數位憑證的權威機構,以具有公信力第三者(Trusted ThirdParty)對個人 及機關團體提供數位憑證的簽發、認證及管理等服務,藉以確保網路訊息傳遞的安全性、真實性與完整性,也藉以建立具有機密性、可鑑別性、不可否認性的資訊通信安全環境與機制,可以說是網路安全交易的基礎設施。

 為要能作為權威的、可信賴的、公正的第三方機構,承擔公鑰體系中公鑰合法性檢驗的責任,在建置營運憑證管理中心時,必須依據憑證管理中心的營運政策及策略制訂實作準則,明確規範驗證、辨識使用者身分的具體步驟與政策,一方面讓使用者有規則可循,另一方面也表明機構的安全性、公正性與可信賴性。


二、什麼是數位憑證?CA如何透過數位憑證確保網路資訊傳遞的可靠性?

數位憑證是CA機構簽發給個人或機關團體的一段身份憑證數據,其中包含了三個部分:公鑰、私鑰與身份信息,這些信息也足以證明憑證的使用者合法擁有憑證中列出的公開金鑰,可以用來進行數位簽章。使用者如果想取得數位憑證,應該先向CA提出申請,CA確認申請者的身分後,會分配給他一個公鑰,並將這個公鑰與該使用者的身分資訊繫結,公鑰結合使用者身份資訊後是整體簽名,簽名後的整體就是數位憑證,發還給申請者。
簡單來說,數位憑證就像是數位身分證一樣,解決了在網路上身份識別的問題,表明用戶的身份或某種資格。
通常,在公開金鑰密碼學上,需要兩個金鑰,一個是公開密鑰,另一個是私有密鑰;公鑰用作加密,私鑰則用作解密。使用公鑰把明文加密後所得的密文,只能用相對應的私鑰才能解密並得到原本的明文,最初用來加密的公鑰不能用作解密。由於加密和解密需要兩個不同的密鑰,故被稱為非對稱加密。
而數位憑證下的數位簽章就是將公鑰密碼反過來使用。簽名者將訊息用私鑰加密,然後公布公鑰,如果某一使用者使用他的私鑰加密明文,任何人都可以用該使用者的公鑰解密密文;由於私鑰只由該使用者自己持有,故可以肯定該檔案必定出自於該使用者;公眾可以驗證該使用者發布的資料或檔案是否完整、中途有否曾被篡改,接收者可信賴這些數據、檔案確實來自於該使用者,這被稱作數位簽章。
如果一個使用者想鑑別另一個憑證的真偽,他就用CA的公鑰對那個憑證上的簽字進行驗證,一旦驗證通過,該憑證就被認為是有效的。

數位憑證的日常應用  

在數位憑證的日常應用上,目前最普遍的,便是政府所發行之「自然人憑證」,我們除了可以用自然人憑證報稅,也可以用來登記五倍券、超商領口罩等等,政府可以透過自然人憑證驗證身份,民眾無需「簽名」即可線上提交,是肉眼看不到的「簽章」。但這邊也需注意,前面提到「五倍券」、「領口罩」這些應用,健保卡也可以做到,那麼健保卡算不算是「數位簽章」呢?其實健保卡並不是屬於依《電子簽章法》所發行之憑證,且安全強度及等級都是比較低的,所以健保卡不可做為數位簽章喔。
自然人憑證如同網路身分證,可以用以辨識使用者的身分,在網際網路蓬勃發展以及高度數位化的現今,透過網路申辦各種事宜,包括報稅、勞保、戶籍地籍等等,過去一般民眾要辦理上述的業務,通常政府機關都會要求須本人攜帶身份證明文件到現場親自辦理,不接受網路的申請,主要的原因在於,過去憑證技術尚未純熟時,較難在網路上辨識申辦者是否為本人,例如假冒者可能會冒名辦土地權狀轉移而造成他人損失;此外透過網路上傳資料,可能會碰到駭客入侵、盜用帳號等行為,並不是絕對安全的。
而隨著科技的進步,政府開始採用並核發「數位憑證」作為工具,「數位憑證」包含了「數位簽章」跟「公開金鑰」技術。這個公開金鑰是智慧型的 IC卡自己演算出來的一組金鑰對中的一半,另一半稱為「私密金鑰」,則永遠儲存在IC晶片當中。經由憑證使用人和憑證管理中心約定,日後用這憑證,身分就可以辨認,啟用了加解密的功能,不管你在網路上傳什麼資料,資料都被加密,駭客攔截了資料也無法輕易的解開。

台灣有哪些數位憑證機構?

核發數位憑證的單位或公司,憑證管理中心。CA 不管是私人企業或是政府部門,都必須是個能夠信賴的公正單位,透過CA來依據申請者之請求發出憑證。在核發的數位憑證中,包含了持有人的辨識資料、公鑰、序號等等資料,且 CA 利用自己的私有鑰匙向上述資料簽署,所得到的數位簽章亦存放於該數位憑證中。
每一張CA核發的數位憑證中,必須有發行 CA 的數位簽章,而該數位簽章則是透過 CA 的私鑰來簽署確認為真,若對該數位憑證的真偽有疑慮,便可透過 CA 的公鑰來確認其真實性。而為了要能作為權威的、可信賴的、公正的第三方機構,承擔數位憑證合法性檢驗的責任,在建置營運憑證管理中心時,必須依據憑證管理中心的營運政策及策略制訂實作準則,明確規範驗證、辨識使用者身分的具體步驟與政策,一方面讓使用者有規則可循,另一方面也表明機構的安全性、公正性與可信賴性。

上段提到的「自然人憑證」是由內政部憑證管理中心所簽發,透過政府單位所核發並認證的數位憑證,台灣有以下具權威代表性的數位憑證機構。

  • 內政部憑證管理中心:為內政部的數位憑證發行單位,為針對個人所發行的憑證,亦即「自然人憑證」功能就如同個人身分證一樣,可透過自然人憑證的認證於網路上,向政府機關申辦業務。
  • 政府憑證管理中心:為國發會管理的發行單位,可針對自然人或公司法人發行數位憑證,具有權威性,它的用途也較為特殊。例如,透過網路向政府單位承標各種工程或器材,便需透過此 CA 的憑證來驗證。
  • 工商憑證管理中心:為經濟部管理的發行單位,其建置工商憑證管理中心核發事業主體的數位憑證,同時提供可靠、安全及快速的網路申辦系統,提高作業效率及服務品質。
  • 台灣網路認證中心 :由臺灣網路認證股份有限公司所發行,雖為民間發行單位,但主要股東為臺灣證券交易所、臺灣集中保管結算所、財金資訊公司及網際威信公司等,具官股色彩。主要用於透過網路來執行股票交易時,認證下單者的真正身份、亦有發行電子錢包;目前有許多網銀利用此 CA。

 

作者資訊

LegalSign.ai 編輯部

LegalSign.ai 編輯部