善用加密技術，讓網路更為安全

woff

文/羅正漢 2008-07-06


數位憑證是網路上的個人身分證明，由憑證管理中心經過身分的驗證程序後，發給你的一個數位的身分證明。數位憑證也是一種用來驗證使用者或使用服務的身分的技術，利用PKI技術來提供身分識別的能力，以保護網路上資料存取的正確性、保密性等。



Certificate
憑證，也稱為數位憑證（Digital Certificate），是一種驗證的技術，也是網路上的身分證明

我們在登入網頁的時候常常需要輸入帳號與密碼，初次登入某個網站時，還要先註冊這些資訊才能使用。輸入帳號跟密碼最主要的目的，只是為了要作到身分的認證，也就是讓資訊系統能夠認得你是誰，進而能賦予適當的權限，以及便於事後的追蹤記錄。

數位憑證的用意也是如此，讓系統可以辨認、證明身分。簡單地說，數位憑證就是網路上的個人身分證明，由憑證管理中心經過身分的驗證程序後，發給你的一個數位的身分證明。數位憑證也是一種用來驗證使用者或使用服務的身分的技術，利用PKI技術來提供身分識別的能力，以保護網路上資料存取的正確性、保密性等。它不僅可以代表使用者，也可以代表電腦卅設備、組織機構，甚至是程式的身分，所以才有所謂的個人憑證、伺服器憑證、認證機構憑證、軟體出版者憑證。



在電腦上要匯入憑證，先啟動IE，在「工具」選項內點選「網際網路選項」，在分頁「內容」點選「憑證」即可。


一般憑證有效期限為1至3年，視發行者而定，長度最低為40位元，假如要破解目前採用的1024位元RSA密鑰，在短時間內是完全不可能的，所以憑證的安全性是非常高的，但需留意私鑰的保管，這些檔案最好是不能連上網路的地方，例如儲存於磁片。

現今憑證應用的範圍很廣。例如電子郵件方面，用來保障郵件傳輸的安全，也可用來加密與人交換或需要保存的資料檔案；內部工作流程簽核或申辦表單等資料的數位簽章，也很普遍。目前最常見的運用是在證券公司、銀行、保險等金融單位，主要因為發給客戶的數位憑證（如網路銀行憑證、網路下單憑證、網路保險憑證），是用來下單委託或是轉帳，需要高度的正確性與保密性。而對銀行業者來說，自動化與數位化的流程，也大大減少服務人員數量，以及降低手動操作上的失誤機率。

除此之外，在網路報稅時，我們也需要搭配使用，就像臺灣政府積極推廣的自然人憑證，主要是以安全性為考量，並希望行政作業流程更為便利。文⊙羅正漢

Public Key Infrastructure， PKI
公開金鑰基礎架構
簡單說，基本上它是一個服務群組，是指結合憑證管理中心，以及非對稱性密碼而形成的系統機制，用來強化網路安全，使用者可以透過網路，安全且經過驗證地與他人交換資訊，提供一個嚴密的服務平臺。類似現實世界中，我們用簽名、密封文件的方式來保全交換的訊息，PKI主要目的是提供使用者於電子訊息交換時，確保身份確認性、資料完整性、不可否認性、私密性。

RSA Algorithm
RSA加密演算法
於1977年由R. Rivest、A. Shamir及L. Adleman三人所發布，取三人姓氏首字而命名，稱為RSA。這套演算法是以兩個非常巨大的質數為私鑰，兩質數的乘積為公鑰，鑰匙的長度在用戶端應使用1024位元密鑰，認證管理中心所應用的是2048位元以上。若要強行破解則對方將進行質因數分解才行，但因為當兩質數的值越大時，則質因數分解所耗用的時間成倍數成長。RSA密碼法在目前算是相當安全。

Public Key、Private Key
公開金鑰、私密金鑰
使用非對稱加密演算法，加密端及解密端會分別使用不同的金鑰。
這兩個金鑰一個稱之為公開金鑰（Public key），簡稱公鑰；另一個稱為私密金鑰（Private Key）簡稱私鑰。公鑰公諸大眾，私密金鑰則由擁有人自行保存。像RSA演算法就屬於非對稱加密演算法，加密時用公開金鑰，解密時須搭配私密金鑰；以私密金鑰產生簽章，以公開金鑰驗證簽章，而這兩金鑰就是一種非對稱金鑰。

Electronic Signature
電子簽章
電子簽章類似傳統的簽名或蓋章，只是它是以電子形式存在。當簽署者在電子文件上簽章後，表示本人同意文件的內容，並留下可供識別簽署者身分的證據。2002年以後，臺灣開始實施電子簽章法，效力已具備法律上的地位。由於近年來生物科技（指紋、聲紋、眼虹膜、DNA）等用於鑑別身分的技術，也正快速的發展，整體而言，任何的電子技術只要能符合特定的安全需求，皆可用來製作電子簽章。

Digital Signature
數位簽章
它是電子簽章技術的一種。以公開金鑰基礎建設為基礎而製作。數位簽章在簽署時，將文件運用雜湊演算法以及私密金鑰進而產生數位簽章。而在驗證時，使用公開金鑰驗證簽章的真實性。在簽署以電子方式傳送的文件時，確認發送對象的真實身分，防止傳送資料時遭竄改偽造，並可避免事後發生否認的情形。目前數位簽章已廣泛用於各種電子方式交易，能夠充分保障電子商務交易安全的資訊。

Encryption、Decryption
加密、解密
指將可讀的明文資料經由特定演算方式加以處理，轉化為外人無法讀取的密文資料。依特定演算方式將密文資料轉換回原始明文資料的動作則稱為解密。由於在網路上常見一些資訊安全問題，如竄改、竊聽、冒名傳送、否認傳送，我們需要使用加密的方式，來保護我們的資料不被竊取竄改。當然，簡單的加密模式容易破解，重要資料的保護必須使用高安全性的加密模式處理，而不是一般的加密就可以了。

Certificate Authority，CA
憑證管理中心
簡單地說，就是一個製作數位簽章及提供電子認證服務的機構。它是一個具公信力的第三方單位，他們可以對個人及機關團體提供認證及憑證簽發管理等服務，例如利用憑證管理資訊系統（憑證管理系統、註冊管理系統、目錄伺服器），嚴密管理憑證作業流程，並提供申請者註冊、憑證的簽發、廢止、管理、產生稽核記錄等服務，來建立具有機密性、識別性、完整性、不可否認性的資訊安全環境。

Secure Sockets Layer，SSL
SSL網路安全傳輸協定
它是一個為保障網路上資訊傳輸安全的安全協定，用來提供用戶端和伺服器端的資料加密和認證。SSL使用公開金鑰加密方式作安全認證，而傳遞資料使用對稱式密碼加密。目前最新版本為SSL v3，國際標準組織將它稍微修改並重新命名為Transport Layer Security（TLS v1.0）。由於兩者相差無幾，故多半沿襲舊稱SSL。現今SSL已成為國際標準，大多數網站要求身分認證的網站都會使用SSL加密技術。

X.509
X.509數位認證標準
X.509標準是由國際電信聯盟（ITU-T）制定的數位認證標準，以公開金鑰基礎架構與電子簽章為基礎而建立。標準中含公開金鑰和使用者的名稱及資訊，定義了數位憑證的結構，以及利用數位憑證作認證的協定。最新使用的版本為X.509 v3，目前電子商務的安全電子交易（SET）協議就是基於X.509 v3。X.509標準在公共金鑰的密碼格式方面已被廣為接受。

http://www.ithome.com.tw:80/itadm/article.php?c=49651

60904913

寫得好啊　估計有馬甲

om4129

不错，支持下