大綱







電子憑證簡介
自然人憑證介紹
在電子郵件的應用
政府服務應用
結合校務行政系統的應用
簡易故障排除
什麼是電子憑證(電子證書)


簽章過的電子文件
畢業證書:畢業生姓名 校印 日期 文號
 學校電子簽章(畢業生姓名 日期 文號)




自然人憑證



內政部簽給自然人的電子證書(印鑑證明)
證明此人跟一個數字(公鑰)的特殊關...
電子簽章法:目標與精神


目標






完整:防止資料在傳送過程遭篡改偽造
身分認證:確認交易對象真正身分
不可否認性:避免交易完成事後否認精神:
當事人約定

防止數位落差


必須提供人工作業和書面的服務
什麼是電子簽章




電子簽章:指依附於電子文件並與其相關連
,用以辨識及確認電子文件簽署人身分、資格及
電子文件真偽者 [ 電子簽章法第二條第二項 ]
數位簽章:指將電子文件以數學演算法或其他方式運算為
一定長度之數位資料,以簽署人之私...
Alice

數位簽章

請假單
簽章

請假單
Bob

請假單
Bob

7
Bob 公鑰

[clchen]

驗章

Bob
23

Bob 私鑰
非對稱式加解密系統


Key Pair





知道公鑰無法推出私鑰
加密





公鑰 Public Key + 私鑰 Private Key

公鑰加密,能且只能用私鑰解密
備份私鑰,否則有加密資料無法解開的問題

簽章...
電子簽章




數位簽章應依一定之程序製作始生效力 (10)
憑證機構應製作及公布憑證實務作業基準 (11)
有效的電子簽章


由管理機構認可之憑證機構






CA, Certificate Authority

使用...
行政院
政府機關公開金鑰基礎建設
〈 GPKI, Government PKI 〉

研考會
憑證推行小組

政府憑證總管理中心

內政部憑證管理中心

Bob
請假單

報稅

Bob

Bob

戶籍謄本
Bob
PKI & PMI
電子化服務的基礎


PKI 公鑰憑證(身分憑證)






PMI 屬性憑證(資格憑證)






Public key Infrastructure
身份證書 身份證 印章
CA, RA 由政府統一...
認證 授權與簽章


認證 (authentication) – 我是誰?




常見機制:帳號密碼

授權 (authorization) – 我能做什麼?



常見機制:多組帳號密碼
改善機制:單一簽入 (single log...
IC 卡






達成讓個人安全保存私鑰之目標
IC 卡的記憶體–儲存金鑰對及相關資訊
IC 卡的 CPU– 執行金鑰對相關運算
IC 卡是個人專屬、無法讀出私鑰的電腦
IC 卡不易複製


金鑰對的使用不只是權利 ( 權力 )...
常見的晶片卡


晶片卡








自然人憑證 (Citizen Digital Certificate)
金融卡 信用卡
健保卡
悠遊卡
自行發卡

Software Key: PGP
自然人憑證
Field

Value

Remark

Subject Name

許凱平

unicode

內政部憑證管理中心
*3698

Right(idno,4)

kphsu@ntu.edu.tw

email

Issuer Na...
PC
Browser

Internet

ActiveXControl
CSP

Web Server
Process
Web App
CryptoDLL

Driver
讀卡機
Smart Card
Chip & Pin Assumptions


Solution Provider’s Responsibility




User’s Responsibility




沒有人可以複製晶片卡
收好自己的晶片卡,不將 PIN ...
Pin?

1234

Plz Enter Pin
in Card Reader!

****

Nothing at all

“dummy”
card reader

“smart”
card reader
123
4

Image fro...
匯入憑證


從自然人憑證晶片卡取得



插入自然人憑證
如果沒有自動匯入的話





執行 SafeSign/Certificate Registration Utility
同一張卡在同一台電腦上只要做一次

檢查安裝狀態
...
2x2



Key Usage



Digital Signature(80)
Key Encipherment, Data Encipherment(30)
3081 8902 8181 00B0 E693 6B27 3E76 BBFC 9DED 9C9D 5370
C2DD 8113 ED59 0DD0 A5A8 FFF5 8FD3 4CB1 333B 9FE2 CF61
E708 61C7 D0...
4096

O = Government Root Certification Authority
C = TW
Issuer

2048

OU = 內政部憑證管理中心
O = 行政院
C = TW
Issuer

1024

Subject...
在電子郵件的應用


請參考中華電信安全電子郵件介紹的講義




Outlook Express, Outlook2003, ThunderBird and
Notes Mail

精簡版





Step1 取得憑證
Ste...
工讀生

取得 kphsu 的公
鑰
secrete

7
kphsu 公鑰

kphsu@ntu.edu.tw
secrete

用私鑰解密

驗章
23

kphsu 私鑰
Step1 取得連絡人的電子憑證






連線至 http://moica.nat.gov.tw/
選擇中文版
憑證作業 / 查詢憑證簽發情形 / 輸入姓名
(全名)或電子郵件位址 / 查詢
下載憑證



一個是簽章用
一個是...
1

3

2

4
下載憑證
匯入憑證

通訊錄
搜尋 / 找到人
數位識別碼 / 匯入憑證
 補充資料一
加密
沒有插入晶片卡的,可以看到寄件人
,主旨,但無法閱讀內容

應該是解密
插入自然人憑證晶片卡

看不到
拔出晶片卡
23

kphsu 私鑰
解密

輸入 PIN
kphsu 發信

工讀生收信
可以不
用先取
得
kphsu
的公鑰

輸入 PIN

23

kphsu 私鑰
小結論






先寄一封簽章過的信給對方 ( 工讀生 )
( 工讀生 ) 對方打開你的信,驗章的過程
中可以取得你的公鑰
( 工讀生 ) 就可以使用你的公鑰加密信件
工程師用私鑰解密
用私鑰簽章

工讀生
23

kphsu 私鑰

驗章

7
kphsu 公鑰 secrete
用私鑰解密

secrete
尚未取得 kphsu 公鑰
卻要寄加密的信給他
產生的錯誤訊息
Application digital certificate_v1
Application digital certificate_v1
Upcoming SlideShare
Loading in...5
×

Application digital certificate_v1

102

Published on

自然人憑證運作

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
102
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
1
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • 文件證書
  • 傳位十四皇子”改為“傳位於四皇子”
  • 電腦越來越快,永遠?
  • Like Hardware ATM, hacker may watch what user input by camera, more than that, TEMPSET
  • Application digital certificate_v1

    1. 1. 大綱       電子憑證簡介 自然人憑證介紹 在電子郵件的應用 政府服務應用 結合校務行政系統的應用 簡易故障排除
    2. 2. 什麼是電子憑證(電子證書)  簽章過的電子文件 畢業證書:畢業生姓名 校印 日期 文號  學校電子簽章(畢業生姓名 日期 文號)   自然人憑證   內政部簽給自然人的電子證書(印鑑證明) 證明此人跟一個數字(公鑰)的特殊關係
    3. 3. 電子簽章法:目標與精神  目標     完整:防止資料在傳送過程遭篡改偽造 身分認證:確認交易對象真正身分 不可否認性:避免交易完成事後否認精神: 當事人約定 防止數位落差  必須提供人工作業和書面的服務
    4. 4. 什麼是電子簽章   電子簽章:指依附於電子文件並與其相關連 ,用以辨識及確認電子文件簽署人身分、資格及 電子文件真偽者 [ 電子簽章法第二條第二項 ] 數位簽章:指將電子文件以數學演算法或其他方式運算為 一定長度之數位資料,以簽署人之私密金鑰對其加密, 形成電子簽章,並得以公開金鑰加以驗證者 [ 電 子簽章法第二條第三項 ]
    5. 5. Alice 數位簽章 請假單 簽章 請假單 Bob 請假單 Bob 7 Bob 公鑰 [clchen] 驗章 Bob 23 Bob 私鑰
    6. 6. 非對稱式加解密系統  Key Pair    知道公鑰無法推出私鑰 加密    公鑰 Public Key + 私鑰 Private Key 公鑰加密,能且只能用私鑰解密 備份私鑰,否則有加密資料無法解開的問題 簽章   私鑰簽章,公鑰驗章 沒有私鑰無法假造可通過公鑰驗證的簽章, x 備份
    7. 7. 電子簽章    數位簽章應依一定之程序製作始生效力 (10) 憑證機構應製作及公布憑證實務作業基準 (11) 有效的電子簽章  由管理機構認可之憑證機構     CA, Certificate Authority 使用憑證機構簽發的公開金鑰憑證 未超過有效期限及使用範圍 經驗證記載的內容無誤
    8. 8. 行政院 政府機關公開金鑰基礎建設 〈 GPKI, Government PKI 〉 研考會 憑證推行小組 政府憑證總管理中心 內政部憑證管理中心 Bob 請假單 報稅 Bob Bob 戶籍謄本 Bob
    9. 9. PKI & PMI 電子化服務的基礎  PKI 公鑰憑證(身分憑證)     PMI 屬性憑證(資格憑證)     Public key Infrastructure 身份證書 身份證 印章 CA, RA 由政府統一負責 Privilege Management Infrastructure 屬性證書 在職證明 在學證明 各機關需要做的是 PMI 公務員憑證 ( 準備中… )
    10. 10. 認證 授權與簽章  認證 (authentication) – 我是誰?   常見機制:帳號密碼 授權 (authorization) – 我能做什麼?   常見機制:多組帳號密碼 改善機制:單一簽入 (single login)   想像成有一個大表格,註明何人能做何事 簽章 (signature) – 事情是我做的  [clchen] 帳號密碼無法有效簽章
    11. 11. IC 卡      達成讓個人安全保存私鑰之目標 IC 卡的記憶體–儲存金鑰對及相關資訊 IC 卡的 CPU– 執行金鑰對相關運算 IC 卡是個人專屬、無法讀出私鑰的電腦 IC 卡不易複製  金鑰對的使用不只是權利 ( 權力 ) 也是義務
    12. 12. 常見的晶片卡  晶片卡       自然人憑證 (Citizen Digital Certificate) 金融卡 信用卡 健保卡 悠遊卡 自行發卡 Software Key: PGP
    13. 13. 自然人憑證 Field Value Remark Subject Name 許凱平 unicode 內政部憑證管理中心 *3698 Right(idno,4) kphsu@ntu.edu.tw email Issuer Name 2.5.29.9 RFC822 Name Cert. SN  00A4 363A CAB7 CF06 C7C8 AC22 71EC 67A9 14 idno: Citizen’s ID Number
    14. 14. PC Browser Internet ActiveXControl CSP Web Server Process Web App CryptoDLL Driver 讀卡機 Smart Card
    15. 15. Chip & Pin Assumptions  Solution Provider’s Responsibility   User’s Responsibility   沒有人可以複製晶片卡 收好自己的晶片卡,不將 PIN 跟別人講 Reasoning      我不跟別人講,別人就不知道我的 PIN 收好自己的晶片卡,不將 PIN 跟別人講就可以確保自己的安 全 別人撿到我的晶片卡,不知道我的 PIN ,沒辦法假冒我 別人如果知道了我的 PIN ,沒有我的晶片卡沒辦法假冒我 如果有人有我的晶片卡,又知道我的 PIN ,就可以假冒我
    16. 16. Pin? 1234 Plz Enter Pin in Card Reader! **** Nothing at all “dummy” card reader “smart” card reader 123 4 Image from nist Pin will not leak! TEMPSET 123 4 Image from easyatm
    17. 17. 匯入憑證  從自然人憑證晶片卡取得   插入自然人憑證 如果沒有自動匯入的話    執行 SafeSign/Certificate Registration Utility 同一張卡在同一台電腦上只要做一次 檢查安裝狀態  IE6 工具 / 網際網路選項 / 內容 / 憑證 / 個人
    18. 18. 2x2  Key Usage   Digital Signature(80) Key Encipherment, Data Encipherment(30)
    19. 19. 3081 8902 8181 00B0 E693 6B27 3E76 BBFC 9DED 9C9D 5370 C2DD 8113 ED59 0DD0 A5A8 FFF5 8FD3 4CB1 333B 9FE2 CF61 E708 61C7 D02F 9D31 A810 2ABE 888E A76F 21CD A85B 7799 3828 1A82 8E1C 677A 8A13 6DBD 15E5 3457 F821 AD21 72BA 6FF3 ABF0 A93C CAAB 8B90 2C80 3FEF 268D 165B F641 6EA4 94FA 5C38 9A2B 6F20 E001 7187 E03D DE05 66C4 9EBD F305 2F11 6502 0301 0001 公 鑰
    20. 20. 4096 O = Government Root Certification Authority C = TW Issuer 2048 OU = 內政部憑證管理中心 O = 行政院 C = TW Issuer 1024 Subject 序號 = 0000000111638893 CN = 許凱平 C = TW
    21. 21. 在電子郵件的應用  請參考中華電信安全電子郵件介紹的講義   Outlook Express, Outlook2003, ThunderBird and Notes Mail 精簡版     Step1 取得憑證 Step2 匯入至 Outlook Express Step3 送加密信給 kphsu, kphsu. 公鑰 Step4 kphsu 簽章 kphsu. 晶片卡
    22. 22. 工讀生 取得 kphsu 的公 鑰 secrete 7 kphsu 公鑰 kphsu@ntu.edu.tw secrete 用私鑰解密 驗章 23 kphsu 私鑰
    23. 23. Step1 取得連絡人的電子憑證     連線至 http://moica.nat.gov.tw/ 選擇中文版 憑證作業 / 查詢憑證簽發情形 / 輸入姓名 (全名)或電子郵件位址 / 查詢 下載憑證   一個是簽章用 一個是加密用
    24. 24. 1 3 2 4
    25. 25. 下載憑證
    26. 26. 匯入憑證 通訊錄 搜尋 / 找到人 數位識別碼 / 匯入憑證
    27. 27.  補充資料一
    28. 28. 加密 沒有插入晶片卡的,可以看到寄件人 ,主旨,但無法閱讀內容 應該是解密
    29. 29. 插入自然人憑證晶片卡 看不到 拔出晶片卡 23 kphsu 私鑰 解密 輸入 PIN
    30. 30. kphsu 發信 工讀生收信 可以不 用先取 得 kphsu 的公鑰 輸入 PIN 23 kphsu 私鑰
    31. 31. 小結論     先寄一封簽章過的信給對方 ( 工讀生 ) ( 工讀生 ) 對方打開你的信,驗章的過程 中可以取得你的公鑰 ( 工讀生 ) 就可以使用你的公鑰加密信件 工程師用私鑰解密
    32. 32. 用私鑰簽章 工讀生 23 kphsu 私鑰 驗章 7 kphsu 公鑰 secrete 用私鑰解密 secrete
    33. 33. 尚未取得 kphsu 公鑰 卻要寄加密的信給他 產生的錯誤訊息
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×