2012年-安全服務－憑證服務

我國PKI的發展從2002開始實施電子簽章法開始，憑證使用一直與電子簽章法有密切的關聯，發展至今除了電子化政府應用之外，民間使用憑證的應用與發放數量也逐年成長。

憑證之使用與電子簽章法有密切的關聯，目前我國電子簽章法之主管機關為經濟部，負責統籌政府單位與民間領域機構於公開金鑰基礎建設（PKI）之相關事務，其包含有：PKI相關之法律規章制定、PKI相關之應用設計及推廣、國際PKI技術合作與交流及PKI相關技術輸出等事務；但針對不同領域內之業務推廣及規範制定，則交由各業務主管機關以其所轄範圍性質，個別訂立相關之使用規範。

一般民間使用憑證領域中，以金融憑證之使用最為廣泛，其業務內容可細分為：由財政部金管會政策指導銀行公會所負責之網路銀行業務，以及由臺灣證券交易所股份有限公司所負責之證券電子下單業務；目前金融憑證之有效總量與發行總量之相關資訊，如表1所示。

單位名稱	憑證 服務名稱	適用對象	有效總量	發行總量
臺灣網路 認證公司	金融憑證	由憑證使用單位決定	160萬張 以上	1000萬張 以上

表1  金融憑證服務

資料來源：臺灣網路認證公司（http://www.twca.com.tw/）；2012年

隨著憑證使用日益廣泛，如網路報稅之應用、電子公文之憑證應用、電子對帳單之憑證應用與電子保單之憑證應用等；此外還有應用於個人、企業、機關單位等作為身分識別之用的自然人憑證、工商憑證、醫事憑證與金融憑證；而使用於伺服器主機或網路設備環境，作為資料傳輸加解密與伺服器身分識別之用的SSL（Secure Sockets Layer）伺服器數位憑證，亦可視為一項極為重要的憑證服務；依據最新報告國內SSL伺服器數位憑證之使用量不斷持續大幅之成長，代表著國內使用單位對於資訊安全之重視，有著顯著的成長與落實。

（資料來源：世界經濟論壇 - 全球資訊科技報告，http://reports.weforum.org/global-information-technology-report/）

目前國內於憑證之應用上，為了符合國際技術發潮流與發展，政府相關單位也排定時程將所使用之憑證全面從1024-bit長度轉換為2048-bit長度，以提升用戶使用安全性。而伴隨著憑證使用人數的持續增長，市場上也將出現更多元化憑證應用之需求，以下是憑證服務的發展趨勢：

（一）行動設備專屬憑證

隨著科技的進步，行動裝置的處理運算能力不斷提升，近年來智慧型手機普遍更為民眾所大量接受，其中主要的平台可分為：美國蘋果公司所推出的iPhone系列、美國微軟公司所推出之Windows Phone系列與由美國Google公司所推出之Android系列，都是目前市場上炙手可熱、廣受歡迎的手機產品。

於此趨勢中，原本只能於電腦執行的應用服務，因智慧型手機的運算能力提升，已可逐漸實現於行動裝置上，但同時也引發出對於行動裝置安全性的迫切需求，例如：（1）傳統在電腦上執行的安控機制，應適切的轉置到行動裝置上；（2）金融服務等重要的交易，必須使用電子憑證做為雙方交易的憑據；而針對市場上延伸網路電子商務到行動商務之日漸風行，將行動商務的交易安全做全面性之提升，實為目前須迫切改善之首要工作；透過憑證發行機構與相關製造與系統整合廠商之合作，將行動安控元件及憑證作為裝置出廠前必備的套件，成為各項行動商務應用必備的底層架構，才能完整確保行動商務之交易安全（如圖1所示）。

圖1  行動商務導入憑證應用示意圖

資料來源：臺灣網路認證公司（http://www.twca.com.tw）；2012年

（二）金融憑證應用於電子保險

保險商品並不像實體交易一手交錢一手交貨，要保書效力發生的主要關鍵因素是在要保人的同意與簽署，如果要保人簽署這個動作沒有履行，保險契約是不生效力的，因此電子保險首要克服的，就是讓網路「簽名」這個虛擬行為合法化。目前政府單位已完成「電子簽章法」的立法，做為建全電子商務的發展的法制基石，而保險監理單位亦配合修法，以提供符合一定要件之網路電子文件與電子簽章的法律效力。

為了可以讓電子化保險推行更便利，參考其他在線上交易已採用憑證的證券業及金融業，所提供的金融服務（線上下單及網路轉帳）交易頻率都高於投保，配合網路通路的方便性，電子交易比重有逐年成長的趨勢，憑證用戶數也屢創新高。在兼顧「安全性」及「便利性」的利基下，將金融憑證應用於電子保險之簽章，將會為未來電子保險市場之趨勢。

此外因應個資法的需求，如透過金融單位使用金融憑證進行電子保險之簽章，因金融單位同時可能兼具保險經紀人或代理人之資格，如進行銷售時需從金融單位將客戶資料同時提供給保險單位，則需要客戶利用金融憑證於線上簽署同意個人資料拋送後再進行後續相關投保流程方可（如圖2所示）。

圖2  金融憑證於電子保險應用方式

資料來源：臺灣網路認證公司（http://www.twca.com.tw）；2012年

（三）憑證之雲端應用

隨著電子商務及其他網路服務逐漸為民眾廣為接受，現時於網路上所廣泛使用之身份辨識資訊與技術，例如：憑藉使用者之帳號與密碼，已無法滿足日益高漲的安全性需求，唯有透過公開金鑰基礎建設（PKI）的導入與憑證之使用，才能為現有之電子商務與網路服務，提供高安全性之身分認證與交易不可否認性。

以現時的大型電子商務網站或大型Portal網站為例，其本身相對於一般使用者（End User）來說，即可視作服務供應商（Service Provider），若欲導入憑證作為身份驗證之憑據，則可選擇與憑證發行機構合作，把所有的驗證工作都交付給憑證發行機構，服務供應商只需傳遞指定的驗證相關資訊，憑證發行機構即會根據驗證該指示，經過內部驗證程序後，把最後之結果回傳給服務供應商；依此雲端驗證服務模式，服務供應商只需以最低的建置成本，即可享受到以憑證作為身份驗證所帶來的明顯優勢（如圖3所示）。

圖3  TWCA 雲端PKI服務機制

資料來源：臺灣網路認證公司 （http://www.twca.com.tw）；2012年

由於市場對資料傳遞安全與身份辨識需求日益高漲，我們相信藉由PKI機制之導入與憑證使用制度之落實，才能把相關之安全議題，從根基底層著手解決，以提供國內民眾一個更安全與值得信任的電子商務環境。