Subject : 什麼是PKI(公開金鑰基礎建設)   Date : 2007/12/17

       因為電子簽章法的實行跟政府資訊化的緣故，PKI的重要性日益增高，Public Key Infrastructure(PKI)中文名稱為『公開金鑰基礎建設』或者可以說是利用『公開金鑰密碼方式的安全基礎建設』，可能這樣說還是不太明白到底PKI有什麼功能。

       PKI之所以難以瞭解，主要有幾種技術來組合，在此用簡單的方式大致說明。

       PKI的基本就是要發行『身份認證』用。在網路上由於看不到對方，所以偽裝身份是很容易的，因此要證明就是本人，必須要有身份證明文件，在網路上交流時，只要能確認身份證明，就可以相信是跟真正的本人在作交流。但是自己作的身份證明是無法被採信的，誰都有可能作一份造假的身份證明，在網路的世界裡也有像
由公信力的單位所發行的身份證、健保卡這種個人一定會保管的有效身份證明文件，如自然人憑證。

       在PKI的世界裡，我們稱作這種為『數位憑證』，發行憑證的就稱為『憑證管理中心』，再加上集中管理憑證的『資料庫』，就成為構成PKI的主要要素。這樣PKI就是可以正確發行憑證的系統。這樣在網路上就可以互相信任，達到確實的交易，也就是說提供安全通訊的基礎建設。 實際的『數位憑證』放在硬碟或是智慧卡裡的檔案，檔案的構造是為X.509規格所決定的，一方面是『憑證管理中心』通常為伺服器應用系統，也有以套裝軟體方式在銷售的。『資料庫』有的是直接放在伺服器，也有是利用網站主機或FTP直接下載的方式，也有存放在磁片的方式，甚至也有人省略這一段。

       憑證除了可以確認就是真實的本人以外，也可以實現通訊加密的功能。也就是說，在憑證裡通常有訊息加密的『金鑰』，例如你跟自稱某A的男性在網路上通，A先生也可以利用網路將憑證傳送給您，那您就可以確認在與您線上溝通的這位是A先生本人。然後您可以利用A先生憑證中所含的『金鑰』，將通訊的內容加密回覆給他，因為是由A男的憑證所含的『金鑰』所加密的內容，只有A先生本人所擁有的『特別金鑰』可以解讀。這樣通訊的內容，A先生以外的人就無法竊錄，也就不會洩露情報。因為只有A先生自己有『特別金鑰』，就算有人盜用A先生的憑證，也無法解讀A先生的訊息。這樣PKI所提供的憑證，就可以實現確認本人跟加密通訊內容2種重要功能。只要A先生沒有被竊取『特別金鑰』，憑證中所含的『金鑰』就可以傳給任何想跟自己通信的人。

         PKI中在憑證中放入可以自由傳送的金鑰稱作為公鑰(Public Key)，只有自己可以保管的叫作『私鑰』(Private Key)。在憑證裡所附的公鑰可以將訊息加密，但是真的可以利用PKI的憑證嗎？事實上只要有發放憑證的軟體，誰都可以發放憑證，就技術上來說，要發行假的憑證是很容易的，所以發行憑證的認證中心才是決定是否可以信任的要素，例如自然人憑證是政府單位所發放的，相對信任度就比較高。憑證發放單位本身的信用也會影響到使用者對於憑證的信賴程度。PKI成功與否跟認證中心本身公信力也是習習相關。

想要進一步瞭解PKI智慧卡，請來電洽詢業務部 02-2567-4958 http://sdk.futako.net/