轉貼 - 善用加密技術,讓網路更為安全
數位憑證是網路上的個人身分證明,由憑證管理中心經過身分的驗證程序後,發給你的一個數位的身分證明。數位憑證也是一種用來驗證使用者或使用服務的身分的技術,利用PKI技術來提供身分識別的能力,以保護網路上資料存取的正確性、保密性等。 |
Certificate 憑證,也稱為數位憑證(Digital Certificate),是一種驗證的技術,也是網路上的身分證明 我們在登入網頁的時候常常需要輸入帳號與密碼,初次登入某個網站時,還要先註冊這些資訊才能使用。輸入帳號跟密碼最主要的目的,只是為了要作到身分的認證,也就是讓資訊系統能夠認得你是誰,進而能賦予適當的權限,以及便於事後的追蹤記錄。 數位憑證的用意也是如此,讓系統可以辨認、證明身分。簡單地說,數位憑證就是網路上的個人身分證明,由憑證管理中心經過身分的驗證程序後,發給你的一個數 位的身分證明。數位憑證也是一種用來驗證使用者或使用服務的身分的技術,利用PKI技術來提供身分識別的能力,以保護網路上資料存取的正確性、保密性等。 它不僅可以代表使用者,也可以代表電腦/設備、組織機構,甚至是程式的身分,所以才有所謂的個人憑證、伺服器憑證、認證機構憑證、軟體出版者憑證。 一般憑證有效期限為1至3年,視發行者而定,長度最低為40位元,假如要破解目前採用的1024位元RSA密鑰,在短時間內是完全不可能的,所以憑證的安全性是非常高的,但需留意私鑰的保管,這些檔案最好是不能連上網路的地方,例如儲存於磁片。 現今憑證應用的範圍很廣。例如電子郵件方面,用來保障郵件傳輸的安全,也可用來加密與人交換或需要保存的資料檔案;內部工作流程簽核或申辦表單等資料的數 位簽章,也很普遍。目前最常見的運用是在證券公司、銀行、保險等金融單位,主要因為發給客戶的數位憑證(如網路銀行憑證、網路下單憑證、網路保險憑證), 是用來下單委託或是轉帳,需要高度的正確性與保密性。而對銀行業者來說,自動化與數位化的流程,也大大減少服務人員數量,以及降低手動操作上的失誤機率。 除此之外,在網路報稅時,我們也需要搭配使用,就像臺灣政府積極推廣的自然人憑證,主要是以安全性為考量,並希望行政作業流程更為便利。 Public Key Infrastructure, PKI 公開金鑰基礎架構 簡單說,基本上它是一個服務群組,是指結合憑證管理中心,以及非對稱性密碼而形成的系統機制,用來強化網路安全,使用者可以透過網路,安全且經過驗證地與 他人交換資訊,提供一個嚴密的服務平臺。類似現實世界中,我們用簽名、密封文件的方式來保全交換的訊息,PKI主要目的是提供使用者於電子訊息交換時,確 保身份確認性、資料完整性、不可否認性、私密性。 RSA Algorithm RSA加密演算法 於1977年由R. Rivest、A. Shamir及L. Adleman三人所發布,取三人姓氏首字而命名,稱為RSA。這套演算法是以兩個非常巨大的質數為私鑰,兩質數的乘積為公鑰,鑰匙的長度在用戶端應使用 1024位元密鑰,認證管理中心所應用的是2048位元以上。若要強行破解則對方將進行質因數分解才行,但因為當兩質數的值越大時,則質因數分解所耗用的 時間成倍數成長。RSA密碼法在目前算是相當安全。 Public Key、Private Key 公開金鑰、私密金鑰 使用非對稱加密演算法,加密端及解密端會分別使用不同的金鑰。 這兩個金鑰一個稱之為公開金鑰(Public key),簡稱公鑰;另一個稱為私密金鑰(Private Key)簡稱私鑰。公鑰公諸大眾,私密金鑰則由擁有人自行保存。像RSA演算法就屬於非對稱加密演算法,加密時用公開金鑰,解密時須搭配私密金鑰;以私密 金鑰產生簽章,以公開金鑰驗證簽章,而這兩金鑰就是一種非對稱金鑰。 Electronic Signature 電子簽章 電子簽章類似傳統的簽名或蓋章,只是它是以電子形式存在。當簽署者在電子文件上簽章後,表示本人同意文件的內容,並留下可供識別簽署者身分的證 據。2002年以後,臺灣開始實施電子簽章法,效力已具備法律上的地位。由於近年來生物科技(指紋、聲紋、眼虹膜、DNA)等用於鑑別身分的技術,也正快 速的發展,整體而言,任何的電子技術只要能符合特定的安全需求,皆可用來製作電子簽章。 Digital Signature 數位簽章 它是電子簽章技術的一種。以公開金鑰基礎建設為基礎而製作。數位簽章在簽署時,將文件運用雜湊演算法以及私密金鑰進而產生數位簽章。而在驗證時, 使用公開金鑰驗證簽章的真實性。在簽署以電子方式傳送的文件時,確認發送對象的真實身分,防止傳送資料時遭竄改偽造,並可避免事後發生否認的情形。目前數 位簽章已廣泛用於各種電子方式交易,能夠充分保障電子商務交易安全的資訊。 Encryption、Decryption 加密、解密 指將可讀的明文資料經由特定演算方式加以處理,轉化為外人無法讀取的密文資料。依特定演算方式將密文資料轉換回原始明文資料的動作則稱為解密。由 於在網路上常見一些資訊安全問題,如竄改、竊聽、冒名傳送、否認傳送,我們需要使用加密的方式,來保護我們的資料不被竊取竄改。當然,簡單的加密模式容易 破解,重要資料的保護必須使用高安全性的加密模式處理,而不是一般的加密就可以了。 Certificate Authority,CA 憑證管理中心 簡單地說,就是一個製作數位簽章及提供電子認證服務的機構。它是一個具公信力的第三方單位,他們可以對個人及機關團體提供認證及憑證簽發管理等服 務,例如利用憑證管理資訊系統(憑證管理系統、註冊管理系統、目錄伺服器),嚴密管理憑證作業流程,並提供申請者註冊、憑證的簽發、廢止、管理、產生稽核 記錄等服務,來建立具有機密性、識別性、完整性、不可否認性的資訊安全環境。 Secure Sockets Layer,SSL SSL網路安全傳輸協定 它是一個為保障網路上資訊傳輸安全的安全協定,用來提供用戶端和伺服器端的資料加密和認證。SSL使用公開金鑰加密方式作安全認證,而傳遞資料使 用對稱式密碼加密。目前最新版本為SSL v3,國際標準組織將它稍微修改並重新命名為Transport Layer Security(TLS v1.0)。由於兩者相差無幾,故多半沿襲舊稱SSL。現今SSL已成為國際標準,大多數網站要求身分認證的網站都會使用SSL加密技術。 X.509 X.509數位認證標準 X.509標準是由國際電信聯盟(ITU-T)制定的數位認證標準,以公開金鑰基礎架構與電子簽章為基礎而建立。標準中含公開金鑰和使用者的名稱 及資訊,定義了數位憑證的結構,以及利用數位憑證作認證的協定。最新使用的版本為X.509 v3,目前電子商務的安全電子交易(SET)協議就是基於X.509 v3。X.509標準在公共金鑰的密碼格式方面已被廣為接受。 |
標籤: IT
0 個意見:
張貼留言
訂閱 張貼留言 [Atom]
<< 首頁