DForum0809

運用PKI簽證與加密 打造資安基石

  • DIGITIMES企劃
資通電腦研發經理 羅祖祈。

不斷進步的資通訊技術,雖然帶來高使用便利性,卻也對企業資安造成威脅。當前企業普遍面臨的資料安全挑戰大致包括:日益猖獗的駭客攻擊、企業內部缺乏資安意識、員工使用資料時身分不易確認……等。

進一步分析這些挑戰背後隱藏的問題,其實不脫以下幾項:如何確認存取資料的人是誰?如何確保資料在保存或傳輸中,不被第三者偷窺或竊取?如何確保資料完整、正確、未被竄改?如何確認資料來源,並避免使用者在事後否認曾交換資料?

針對前述狀況,資通電腦研發經理羅祖祈表示,其實只要透過公鑰基礎建設(Public Key Infrastructure;PKI),這些問題就能迎刃而解。

簽章與加密 滿足基本資安需求

為確保資料安全,企業的基本資安需求包括:身分識別(Authentication)、資料保密性(Confidentiality)、資料完整性(Integrity)與不可否認性(Non-Repudiation),而這些需求,只要透過可提供數位資訊傳遞安全服務,如簽章、加密等相關應用的PKI,就能獲得滿足。

所謂PKI,是1種以非對稱式金鑰(公鑰、私鑰)為基礎,透過RSA演算法,讓我們在不安全的開放環境(如Internet),仍可透過由可信任的第3方所認證的金鑰,經加/解密、簽/驗章等方式,進行安全且私密的資料交換,其最大的優點,是改善了對稱式金鑰(加/解密使用相同金鑰)的傳送及保管等問題。

羅祖祈指出,此類應用最具體的實例,就是自然人憑證與經濟部工商憑證。這兩種憑證都是由權威、公正、可信賴的第3方認證機構發行(分別為內政部憑證管理中心及工商憑證管理中心),且採行非對稱式金鑰,使用者以私鑰解密或簽章時,必須輸入卡片Pincode,若連續輸入錯誤3次,就會被鎖卡。透過上述機制,能可確認資料來源者的正確,避免資料被偽造或發送來源者身分遭冒用,同時可確保資料訊息不遭第三者偷窺或竊取,以維護資料保存與傳輸中的隱私。

企業運用PKI 保障重要資料安全

PKI最大的優點,在於以公鑰及私鑰相互搭配組合的加解密機制,可衍生出許多種安全應用。基本上,私鑰是獨一無二的,僅當事人擁有,公鑰則可對外公開,任何人知道都無妨。

以資料加/解密而言,傳送者可用公鑰加密檔案,接受者則以自己的私鑰解開檔案,如此一來,就能確保只有當事人可以看到檔案內容,滿足文件機密性的需求。簽證的作法則恰恰相反,是以傳送者的私鑰簽章,接收者則以公鑰驗章,這樣才能確認來源的正確性,同時達到不可否認性的基本資安需求。因此,企業可放心的運用PKI進行身分確認與資料加解密。

在身分確認方面,使用者需以憑證對驗證資料進行簽章,檢驗簽章後即可確認身分。值得注意的是,務必確認簽署內容是否正確、憑證是否是由新任的憑證授權中心(Certification Authority;CA)發行、憑證是否在有效期限內、是否被已廢止等。此外,企業可透過驗證伺服器,協助進行驗章作業。

至於資料加/解密,則是將機敏資料以特定的憑證加密後儲存,欲使用該機敏資料時,再以對應的憑證解密。此外,各種應用系統可指定不同的憑證進行加/解密,以保護各系統資料的隱密性。關於這個部分,企業同樣可透過加解密伺服器,協助進行資料加解密作業。