Recommended
More Related Content
Similar to 金鑰管理 (PKI)
More from Kenny (netman)
More from Kenny (netman) (20)
金鑰管理 (PKI)
- 3. 電子憑證的功用
- 5. 在真實世界中辨識身份的方法之一,是以證書為 基礎的身份證照系統,例如: • 護照 • 駕照 • 身份證 • 健保卡 • 等等 良好的身份證書應該不能或很難被塗改或偽造。 真實世界的身份識別方法
- 6. 然而在傳統的電腦系統則很難正確利用書面證照 來辨識使用者的身份。 常用方法如下: • 只有您所知( know )的事情 • 只有您擁有( have )的物件 • 只有你才是( are )的部分 電腦系統的身份識別方法
- 7. •只有您所知( know )的事情 最常見的方法就是使用密碼。在使用系統之前要先輸入 帳號與密碼,如果兩者比對的結果與系統所儲存的資料 一致,及代表身分無誤。 密碼是目前在資訊系統上用來識別身份最常用到的手 段,因為其運用非常簡單,且不需要特別的硬體設備。 然而密碼系統也存在許多問題: • 系統必須先儲存密碼 • 密碼容易遭到攔截 • 密碼可能會忘記 • 人們常使用脆弱易猜的密碼 • 使用者常有意無意將密碼告訴人 電腦系統的身份識別方法
- 8. •只有您擁有( have )的物件 只要持有人出示某個物件就能表明身份。比方門 禁卡是最常見的實體標記( token )。 這方式主要是對“物”授權而非對“人”授 權,因此常會與密碼系統一起使用。 但是這種方法也有其弊端: • 持有人不見得就是物件真正的主人 • 如果遺失標記,就算身份正確也無法通過確認 • 標記有可能被複製或偽造 電腦系統的身份識別方法
- 9. •只有你才是( are )的部分 這通常是透過生物辨識技術( Biometrics )來驗證使用者身份。 透過 對生理特徵測量結果跟事先儲存的資料進行比對,來進行身分判斷。 常用來判斷身分的特徵有這些: • 臉部 • 指紋/掌紋 • 足印 • 瞳孔掃描 • DNA • 語音 • 筆跡 此類技術常會混用多重特徵或與密碼及標記併用,以降低誤辯成度。 生物辨識方法也有其不足之處: • 生物特徵資料必須先儲存在系統裡面 • 所使用的設備成本非常高昂 • 設備有可能遭到破壞或欺騙 電腦系統的身份識別方法
- 10. 以上身份認證系統若能配合數位簽名( digital signature ),就能獲得極大的改善空間。 這需要使用者產生一對 key : –私鑰( private key ),施行簽名 –公鑰( public key ),進行驗證 電子憑證的功能
- 11. 電子憑證的功能
- 15. •把私鑰儲存在智慧卡裝置 這是三種方法最安全的。智慧卡內建微處理器 可以產生公鑰 / 私鑰序對,再將公鑰傳送給電 腦主機使用,私鑰永遠不會離開智慧卡。 而且進行數位簽名或資料解密的過程也是在智 慧卡裡面完成,才將結果傳回電腦。 除非攻擊者取得智慧卡否則無法盜用私鑰,而 且也能免受木馬或病毒攻擊。 但如果智慧卡遺失,則裡面的 key 也就無法尋 回,除非事先複製或交由第三者保管機制以防 遺失。 數位簽名用到的實體設備
- 17. CA 的功能角色
- 18. •甚麼是 CA •電子憑證的用途 •CA 的運作模式 •電子憑證之吊銷 •甚麼是 X.509 憑證 •X.509 憑證種類 綱要
- 19. 憑證機構( Certificate Authority, CA )是一種專 門負責發行電子憑證的機構。 憑證內含某人或機構的名字、公鑰、序號、以及 相關資訊。 理想情況下, CA 會建立一套適用所有申請者的完 善查核制度以驗證他們的身份。 甚麼是 CA
- 21. 中間人 (Man-In-the-Middle) 問題 – 所獲的 key 是假的 身份驗證問題
- 24. 解決之道 : – 委請有公信力的機構背書證明內容與 key 身份驗證問題
- 27. 但問題是 CA 的 public key 也可能被攔截仿冒 身份驗證問題
- 28. 因此 , CA 的 public key 不能透過網路來傳遞 , 而是內建在系統獲合法軟體裡面 身份驗證問題
- 29. 反推結論 : – 只要 CA 的 public key 是可信任的 – 那就可以確定 CA 的證書是可信任的 – 那麼證書的內容與 public key 就是可信任的 – 所用的 public key 加密的 secret key 就能確保 由正確的 server 解開 – 那麼資料就能安全地在 Internet 上交換 身份驗證問題
- 30. CA 通常有不同的運作模式: •內部 CA ( Internal CA ) •委外員工 CA ( outsourced employee CA ) •委外客戶 CA ( outsourced customer CA ) •可信任的第三者 CA ( trusted third-party CA ) CA 的運作模式
- 31. •內部 CA ( Internal CA ) 企業機構內部設立 CA 為內部員工發行憑證,辨 識員工職位、授權等級等資料正確性。 藉此建立階級,管制內部資源或資料流向。 CA 的運作模式
- 32. •委外員工 CA ( outsourced employee CA ) 委請其他公司為內部員工發行憑證。 CA 的運作模式
- 33. •委外客戶 CA ( outsourced customer CA ) 委請其他公司為現有或潛在客戶擔任 CA 的工 作。 CA 的運作模式
- 34. •可信任的第三者 CA ( trusted third-party CA ) 具公信力的機構擔任 CA 的工作,發行憑證證明 某人或某公司的公鑰身份。 CA 的運作模式
- 35. 在如下情形之下, CA 可能會吊銷憑證 ( revocation ): –持有人的私鑰被洩露 –憑證發行給錯誤的對象 –持有者喪失其許可 –CA 本身系統遭到入侵 電子憑證之吊銷
- 36. 人們可以透過憑證吊銷清單( Certificate Revocation List, CRL )稽查憑證是否已經被吊 銷。 電子憑證之吊銷
- 37. X.509 v3 憑證是一種廣泛應用在許多現代加密協 定中的公鑰憑證標準,包括 SSL 、 PGP email 等 等。 甚麼是 X.509 憑證
- 38. X.509 v3 憑證保證某個公鑰由特定機構來擔保, 其效力來自該機構的數位簽名。目前在網際網路 上使用的電子憑證共有四種: –憑證機構憑證 –伺服器憑證 –個人憑證 –軟體發行商憑證 X.509 憑證種類
- 39. X.509 憑證種類
- 40. 電子憑證的製作與簽署
- 43. 個人電子憑證的運用包括四大基本要素: – 產生 key – 取得憑證 – 質詢/回應 – 安全儲存 個人憑證的運用要素
- 44. 個人身份電子憑證之前有數家 CA 提供付費服務, 不過目前較難有信用機構個別進行擔保。 可由個人自我發行公鑰( public key )再經信任 網路( trusted network )進行散佈: – 主動寄發 – 上傳至 keyserver : • wwwkeys.pgp.net • www.keyserver.net • pgp.mit.edu 個人憑證發行限制
- 46. 現在較為普遍的經由 CA 簽署的電子憑證,是伺服 器憑證。伺服器憑證的製作過程大致如下: 1. 產上 RSA/DSA key 2. 產生憑證申請( CSR ) 3. 由 CA 簽署發回憑證( CRT ) 4. 散佈憑證 若在某些情況下需要注消伺服器憑證,亦需到 CA 提出申請。 伺服器電子憑證
- 47. 1. 下載證書 SSL 加密流程 :
- 48. 2. 驗證證書 SSL 加密流程 :
- 49. 3. 產生 session key SSL 加密流程 :
- 50. 4. 加密傳送 session key SSL 加密流程 :
- 51. 5. 開始加密資料 SSL 加密流程 :
- 52. 電子憑證申請例釋
- 67. 自建 CA 例釋
- 68. 步驟一:產生新 PEM 格式的 CA 憑證 自建 CA 例釋 ( 以 RedHat 為例 )
- 69. 步驟二:填寫 CA 憑證內容 自建 CA 例釋
- 70. 步驟二結果:新的 CA 憑證 (cacert.pem) 將存於 自建 CA 例釋
- 72. 步驟三的結果: 自建 CA 例釋
- 75. 步驟四結果: 自建 CA 例釋
- 77. 建立 CA : ● -newca 製作憑證申請書: ● -newreq 簽署憑證 ● -sign CA 腳本操作要點
- 78. CA 必須修改 openssl.cnf ● basicConstraints=CA:true Server 端必須同時具備三份檔案: ● Server Key ● Server Cert ( 由 CA 簽署 ) ● CA Cert ( 從 CA 複製過來 ) Client 端必須具備檔案: ● CA Cert ( 從 CA 複製過來 ) TLS 設定要點
- 79. CA 必須修改 openssl.cnf ● basicConstraints=CA:true Server 端必須同時具備三份檔案: ● Server Key ● Server Cert ( 由 CA 簽署 ) ● CA Cert Client 端必須具備檔案: ● CA Cert TLS 設定要點
- 80. 如何製作 SSL X.509 憑證? http://www.study-area.org/tips/certs/certs.html 建議閱讀