運用PKI簽證與加密　打造資安基石

資通電腦研發經理 羅祖祈。

不斷進步的資通訊技術，雖然帶來高使用便利性，卻也對企業資安造成威脅。當前企業普遍面臨的資料安全挑戰大致包括：日益猖獗的駭客攻擊、企業內部缺乏資安意識、員工使用資料時身分不易確認……等。

進一步分析這些挑戰背後隱藏的問題，其實不脫以下幾項：如何確認存取資料的人是誰？如何確保資料在保存或傳輸中，不被第三者偷窺或竊取？如何確保資料完整、正確、未被竄改？如何確認資料來源，並避免使用者在事後否認曾交換資料？

針對前述狀況，資通電腦研發經理羅祖祈表示，其實只要透過公鑰基礎建設(Public Key Infrastructure；PKI)，這些問題就能迎刃而解。

簽章與加密　滿足基本資安需求

為確保資料安全，企業的基本資安需求包括：身分識別(Authentication)、資料保密性(Confidentiality)、資料完整性(Integrity)與不可否認性(Non-Repudiation)，而這些需求，只要透過可提供數位資訊傳遞安全服務，如簽章、加密等相關應用的PKI，就能獲得滿足。

所謂PKI，是1種以非對稱式金鑰(公鑰、私鑰)為基礎，透過RSA演算法，讓我們在不安全的開放環境(如Internet)，仍可透過由可信任的第3方所認證的金鑰，經加？解密、簽？驗章等方式，進行安全且私密的資料交換，其最大的優點，是改善了對稱式金鑰(加？解密使用相同金鑰)的傳送及保管等問題。

羅祖祈指出，此類應用最具體的實例，就是自然人憑證與經濟部工商憑證。這兩種憑證都是由權威、公正、可信賴的第3方認證機構發行(分別為內政部憑證管理中心及工商憑證管理中心)，且採行非對稱式金鑰，使用者以私鑰解密或簽章時，必須輸入卡片Pincode，若連續輸入錯誤3次，就會被鎖卡。透過上述機制，能可確認資料來源者的正確，避免資料被偽造或發送來源者身分遭冒用，同時可確保資料訊息不遭第三者偷窺或竊取，以維護資料保存與傳輸中的隱私。

企業運用PKI　保障重要資料安全

PKI最大的優點，在於以公鑰及私鑰相互搭配組合的加解密機制，可衍生出許多種安全應用。基本上，私鑰是獨一無二的，僅當事人擁有，公鑰則可對外公開，任何人知道都無妨。

以資料加？解密而言，傳送者可用公鑰加密檔案，接受者則以自己的私鑰解開檔案，如此一來，就能確保只有當事人可以看到檔案內容，滿足文件機密性的需求。簽證的作法則恰恰相反，是以傳送者的私鑰簽章，接收者則以公鑰驗章，這樣才能確認來源的正確性，同時達到不可否認性的基本資安需求。因此，企業可放心的運用PKI進行身分確認與資料加解密。

在身分確認方面，使用者需以憑證對驗證資料進行簽章，檢驗簽章後即可確認身分。值得注意的是，務必確認簽署內容是否正確、憑證是否是由新任的憑證授權中心(Certification Authority；CA)發行、憑證是否在有效期限內、是否被已廢止等。此外，企業可透過驗證伺服器，協助進行驗章作業。

至於資料加？解密，則是將機敏資料以特定的憑證加密後儲存，欲使用該機敏資料時，再以對應的憑證解密。此外，各種應用系統可指定不同的憑證進行加？解密，以保護各系統資料的隱密性。關於這個部分，企業同樣可透過加解密伺服器，協助進行資料加解密作業。