產品特寫

應用系統搭配新式數位身份證進行 PKI 認證,您準備好了嗎?

廖婉孜 廖婉孜

原本預計今年 7 月正式開跑的新式數位身分證,在 2021 年 1 月,因被外界質疑或許會引發資安問題而爭議不斷,故決策不一定要在 7 月全面換發新式身分證,需確認安全無虞後才會進行換發。但還是要先做好以憑證進行不可否認性登入認證的前置準備,在面對之後全面換發新式身分證才不至於手足無措。透過資通電腦 uPKI(ubiquitous Public Key Infrastructure;憑證驗證服務系統)即可認證從中華電信安控元件傳送的認證及電子簽章封包,並同時進行電子簽章封包存證,大幅降低應用系統整合門檻及導入費用,協助廠商或客戶無需擔憂新式身分證的到來!

讀卡機的選擇與資料讀取

支援新式數位身份證之讀卡機,可分為接觸式、非接觸式及雙模讀卡機。馬上來看這三種讀卡機在功能與資料讀取上有什麼差異。

  1. 接觸式讀卡機:插卡方式讀取,能使用自然人憑證區,故可使用自然人憑證進行認證、電子簽章等應用,亦可申請讀取加密區資料,包括:配偶姓名、父姓名、母姓名、出生地、性別、相片及證件號碼後 6 碼等。
  2. 非接觸式讀卡機:以感應(靠卡)方式讀取卡片,故只能讀取公開區資料,包括:姓名、統一編號、出生日期、戶籍地址、役別、結婚狀態及證件號碼等。
  3. 雙模讀卡機:同時具有接觸式與非接觸式的功能,亦即具備上面兩種功能。

舊自然憑證與新式身份證之自然憑證區運作差異

先來看看 PKI 安控元件整合架構:

運作差異:

原自然人憑證 新式身份證之自然人憑證
使用者端
  • 用戶準備接觸式讀卡機或雙模讀卡機
  • 安裝個人端維護軟體/更新 HiSecure
  • 進行電子簽章、認證等應用
  • 用戶準備接觸式讀卡機或雙模讀卡機
  • 安裝個人端維護軟體/更新 HiSecure
  • 進行電子簽章、認證等應用
  • 可讀取加密區
伺服器端
  • 使用資通 uPKI 服務進行驗證、存證
  • 回傳機關應用系統自然人憑證序號、姓名或身份證字號後 4 碼、及驗證後憑證有效性等
  • 使用資通 uPKI 服務進行驗證、存證
  • 回傳機關應用系統自然人憑證序號、姓名或身份證字號後 4 碼、及驗證後憑證有效性等
  • 若使用者端需讀取加密區資料,則需自行產生終端認證憑證金鑰對及 CSR 檔案,向 New eID 系統申請認權憑證
  • 安裝機關端應用軟體
  • 直接讀取 New eID 資料及驗證,並確認兩者屬同一人所有

結論

使用者端若原本就有使用自然人憑證功能,只需更新「個人端維護軟體」即可使用。機關伺服器端需準備事項,則會依據欲讀取新式身份證之必要資料,而有不同的準備工作。若只需使用自然人憑證功能,維持現行即可。

安控架構進行驗證、存證即可,若需額外取得加密區資料,則需自行產生終端認證憑證金鑰對及 CSR 檔案,向 New eID 系統申請認權憑證。