產品特寫

以自然人憑證為基礎,政府機構大規模應用PKI

行銷部 行銷部

臺北市政府捷運工程局早在政府的GPKI計畫開始前,即在民國92年前後自行建立了該局專屬的PKI機制,並且建立自有的認證管理中心(Certificate Authority,CA)管理所有員工認證資訊,但是,當時該局的物品領用申請,並須透過該局儲存在磁片中提供給員工的私鑰,搭配該局自己PKI機制所建立的公鑰,才能達到資料解密、確認身分的效果。

節省大量管理CA的人力

然而自行建立PKI機制的機構或企業,免不了都必須面對兩個問題,一是憑證的有效性否;另一是必須建立制度且花費人力管理CA。臺北市政府捷運工程局也不例外,技術發展處第三課副工程師詹益創表示,當時是以磁片的方式發放私鑰,其憑證的效力實在有限,且管理CA也必須耗費一定人力管理,為了解決這樣的問題,民國93年開始,就決定採用政府正在推行的自然人憑證作為該機構內部PKI控管的機制,目前全局1,600多位員工已納入此機制中。

該局作法是設計一個專門提供身分驗證與各種簽章作業程式,讓局內的各個系統可以直接呼叫該程式進行身分認證或電子簽章的作業,簡化應用系統的架構。

詹益創指出,透過自然人憑證所建立的PKI機制,由於公鑰的管理全由政府負責,最大的好處是可以節省管理CA的人力,該局只需定期去下載憑證廢止清冊,確認目前該局員工是否符合資格即可。由於私鑰儲存在IC卡中,無法取出或複製,大幅提升了該局PKI機制的安全性。

除了這些直接可見的成本外,該機制也為臺北市捷運工程局帶來許多附加的效益,因為透過更為安全的PKI機制,該局許多物品申請業務都能在線上進行,達成無紙化的作業,自系統上線以來,節省的紙張約為2萬7千餘張。

PKI應用於電子公文簽核

像臺北市捷運工程局這樣的應用在內部的物品領用申請外,也有政府單位將之應用在對於身分認證十分重視的電子公文系統上,利用PKI認證機制同時可使用在線上公文簽核、公文分文、公文流程控管、檔案管理、線上公文製作等方面。事實上,由於PKI機制公鑰與私鑰成對且互相解密的特性,這使得該機制很適合運用在公文簽核與處理上。在使用者簡易的輸入帳號密碼的介面背後,其一連串複雜的過程所代表的簽核作業的流程是由誰經手簽核,且能確保公文傳遞時的安全性與不容易遭到竄改。

因為公文的簽核對於資訊安全有很高的要求,使用一般的加密方法並不能很好的保證安全,資通PKI解決方案除了可以達到公文資訊安全要求的標準外,也能提供對公文簽證的不可否認性。這對網路公文的傳遞有絕對必要的幫助。

資通電腦研發多年,資安創新技術ARES uPKI產品在國內外已取得獨特的專利技術,亦獲得國內 94 年度資訊月傑出資訊應用產品獎項,也通過美國 Novell Suse Linux YES 國際認證,相關之PKI系列資安產品完全符合國際標準,並支援多國語系,強大的擴充彈性,適用於國內、外之電子簽章認證環境,建置ARES uPKI電子認證系統可確保政府、銀行及企業的資安認證達成世界級之高資安環境。

臺北市政府捷運工程局「物品領用申請系統」榮獲95年自然人憑證應用系統公務應用系統組優良獎