231
憑證說明
什麼是數位憑證 何謂公開金鑰基礎建設 (Public Key Infrastructure, PKI ) 數位憑證的用途
數位憑證"金鑰對" 數位憑證的有效期限 數位憑證的安全性 如何備份數位憑證

數位憑證亦稱電子憑證,為存在於您的電腦內,用來辨識您身分的一個檔案。 下列為兩個一般性的運用:

  • 當您使用網路下單時,您的券商必須確定您就是該帳號的擁有者。這類似現實生活中所使用的身分證,數位憑證提供券商辨識交易者身分的功能。
  • 當您傳送重要的電子郵件時,您的電子郵件可以使用您的數位憑證針對電子郵件訊息作數位簽章。數位簽章主要用來幫助收件者確認該電子郵件確實由您寄出,且確定電子郵件於傳送過程中並沒有遭到竄改。

一般而言,數位憑證中包含了下列的內容:

  • 持有人的公開金鑰 (請參閱何謂金鑰對?)
  • 持有人的姓名及電子郵件地址
  • 公開金鑰的有效期限
  • 發行者名稱 (即發行該數位憑證的認證中心(CA))
  • 數位憑證的序號
  • 發行者的數位簽章

公開金鑰基礎建設係描述系統如何使用公開金鑰及數位憑證以確保系統的安全性及確認使用者身分的過程。 舉例而言,一公司可能使用公開金鑰基礎建設針對公司電腦網路做存取控管。

公開金鑰基礎建設讓人們及公司能安全私密的處理事務。公司職員能於網際網路傳送安全的電子郵件,而不用擔 心競爭對手可能竊取其電子郵件。公司可建立一私密的網站,只傳送資訊給指定的顧客。

公開金鑰基礎建設係以系統的信任為基礎,有兩個對象(他們可能是個人或電腦)相互地信任其認證中心,並且確認彼此的身分。舉例而言,大部分的個人或公司信任身份證的有效性。

  • 依證交所規定,自90年5月1日開始,網際網路之委託傳輸,委託回報及成交回報等電子文件傳輸,應使用認證機制。故所有網路交易戶,必須在進行網路下單前,先申請數位憑證。
  • 當您從事線上交易時,您的軟體應用程式出示您的數位憑證以確認您的身分 。
  • 數位簽章類似手寫簽名,包含簽章的文件即表示此人建立且同意此份文件 。一般而言,數位簽章比手寫簽章提供了更高層次的安全性。因為數位簽章提供接受訊息者辨識訊息確實由您傳送,非由冒名者寄出。接收者也可據此斷定訊息於傳輸過程是否遭竊取。

 

當您與其他人(或電腦)溝通時,您需要一種能安全地交換資訊的方法,以確保沒有人可以從中截聽及讀取。現今最先進的加密資料法係使用系統中的金鑰對。金鑰對包含了一組公開金鑰及私密金鑰,其使用的方式類似上鎖;即以第一把金鑰加密,就必須使用第二把金鑰解密,反之亦然。

運用金鑰對,您的軟體運用第一把金鑰加密文件,而收件者在接收您的加密文件後,必須使用由另一把相對應的金鑰解密該份文件。然而此種做法的問題在於您如何安全地傳送解密金鑰給收件者。

因此遂運用以下的方式解決前述所言之問題。當您申請一數位憑證的同時,您的瀏覽器同時建立一私密金鑰,而此私密金鑰僅限於您所要求的數位憑證使用。而公開金鑰亦成為數位憑證的一部份。當您存取私密金鑰時,瀏覽器會要求您先輸入密碼。因此慎選密碼是非常重要的(請勿使用您的出生年月日或其他人能輕易猜測出的數字作為密碼)。

一旦您領取及安裝一數位憑證。將其散佈與有需要的人是必要的。您的數位憑證包含了您的公開金鑰,而其他人使用您的公開傳送加密訊息給您。而經由您公開金鑰做加密的訊息,也只有您能對該訊息做解密,因為也只有您才有相對應的私密金鑰。

換言之,當您需要傳送加密的訊息予某人,就必須先取得某人的其公開金鑰。您可以於數位憑證的公共目錄中搜尋某人的數位憑證或經由某人傳送予您的加簽訊息取得其數位憑證。加簽訊息包含某人的數位憑證及公開金鑰,而您的電子郵件應用軟體能自動地儲存數位憑證。

為了安全起見,每一張數位憑證都應該有其有效的使用期限,所核發的憑證有效期為一年。

數位憑證的過期日係儲存於數位憑證的公開金鑰中。每個瀏覽器會檢查數位憑證內的到期日以確保 您的數位憑證於有效期限內。同時也不可以接受以過期憑證所簽章的訊息。

當數位憑證過期之後,您必須於認證中更新您的數位憑證。

數位憑證是非常安全的,您可以將私密金鑰視為一安全的鑰匙。 若只有您本身才擁有鑰匙,則其中保管內容是非常安全的。但是如果您與其他人分享您的鑰匙,您將 降低保管內容的安全性。

假如其他人取得您的數位憑證,他們仍舊不能使用它,除非他們同時擁有相對應的私密金鑰。

數位憑證也有不同的長度。最少的長度為"40-位元",指的是憑證內金鑰的長度大小。最高的長度為"128-位元", 假如40-位元的金鑰於四小時被破解,而欲破解128位元的金鑰則需要超過百年以上的時間。

保護數位憑證的方法

有數種方法可以幫助您保護您的數位憑證:

  • 記住您的密碼並不洩漏給他人知道。
  • 經由實際的安全措施,以防止他人未獲授權的使用您的電腦。如在辦公室將電腦鎖住,當您離開座位時,使用螢幕保護程式密碼或關機。
  • 將您的電腦遠離病毒,因為病毒可能會試圖攻擊您的私密金鑰。

如果您想要在其他電腦使用您的數位憑證,您可以把它從瀏覽器中匯出至個人隨身碟,再將個人隨身碟上的憑證備份匯入至您欲使用電腦中即可。

憑證匯出方法:
IE瀏覽器:新版網站僅IE11上(含)版本。

  1. 最上排功能表中的【工具】>【Internet選項】(見圖一)。
  2. 點選【內容】標籤,而後點選【憑證】(見圖二)。
  3. 點選【匯出】,再依匯出精靈的指示以儲存數位憑證。請注意,記得在匯出過程中勾選"如果可能的話,在路徑中包含所有憑證"的選項,以確保憑證路徑的完整性!
  4. 輸入密碼以保護您匯出的數位憑證。您的數位憑證將以".p12"或".pfx"的檔案格式儲存。建議您將數位憑證存於個人隨身碟,並將個人隨身碟妥善保存。

憑證匯入方法:
IE瀏覽器:
  1. 最上排功能表中的【工具】>【Internet選項】(見圖一)。
  2. 點選【內容】標籤,而後點選【憑證】(見圖二)。
  3. 點選【匯入】而後選擇包含您欲匯入之數位憑證的檔案。您可以使用【瀏覽】按鈕來選擇檔案。一般而言,數位憑證以".p12"或".pfx"的檔案格式匯出。
  4. 於密碼欄輸入您用以保護私密金鑰的密碼,點選【確認】

    (圖一)


(圖二)