前言

第一届亚洲 PKI 论坛（ The First PKI Forum ）于今年6月12到14日在日本东京热闹登场。国内的产官研各界也以「Asia PKI Forum中华台北推动委员会」的名义受邀组团参加。此次会议是由日本、南韩与新加坡发起，由日本的「日本PKI 推进协议会（ APKI-J，Japan Promotional Association for Asia PKI Forum，www.apki-j.gr.jp）」主办，日立株式会社（ Hitachi ）协办。共有日本、南韩、中共、中华台北、香港、新加坡、澳洲、马来西亚、泰国、寮国、越南、缅甸等国、及美国IETF （ Internet Engineering Task Force ）和PKI Forum 与欧洲EESSI （ European Electronic Signature Standardization Initiative ）等相关组织的代表参与。

会中各国的代表、贵宾、或专家接针对各国或区域PKI 推动现况、发展、精神、进度与所遭遇的困难与问题做了深入的介绍，并针对相关的议题进行广泛的讨论，让所有的与会者首次对亚洲各国PKI 发展现况有了进一步的认识。

PKI 兴起的缘由

此次论坛的召开最大的收获在于唤起亚洲各国对于PKI相关应用的重视，并且进一步讨论了各国对于一个PKI 推动上的难题--「跨国（Cross-Border）的互通性（Interoperability）」之可行性与做法，以期能够提升未来跨国电子商务的安全性。

为何亚洲各国要如此积极地推动PKI这样的机制呢？不但自己国内在推动，并且还要联合各国或各个相关的国际组织大费周章地共同推广这样的架构，一言以蔽之，还是安全性的考量啊！

自网际网路盛行以来，各式各样的网路犯罪也随之层出不穷，如网路诈欺（ Internet Fraud ）、骇客的肆虐、病毒的蔓延、隐私权的争议、著作权的侵害（ Copyright Infringement ） 、及各种交易的纠纷，这些失序现象皆因网际网路具有高度的「虚拟性」与「匿名性」，像是近来所发生的两起网路犯罪事件，网路银行被骇客盗领案及券商网路下单系统被骇客入侵案，皆肇因于网路上互动的各方并不容易去确认彼此的身分。

所以为了要满足对于网路资讯安全的基本要求，例如私密性（Confidentiality）、真确性（Integrity）、身分确认（Authentication）、不可否认性（Non-repudiation）、存取控制（Access Control）、及可用性（Availability）等，PKI这样的架构便应运而生。

对大家耳熟能详的SSL 或SET 来说， SSL 只能保障网路传输过程的私密性（Confidentiality）、真确性（Integrity），而SET 还可以确保身分确认（Authentication）、不可否认性（Non-repudiation） ，是较SSL 在安全性上高出不少，但对使用者来说却麻烦很多，因此遭到失败的下场。但由于科技的演进，在网路安全上各式各样更方便却不损及安全性的解决方案快速地出现。

何谓 PKI ？

到底什么是PKI呢？它对网路资讯安全又能提供怎样的保障呢？所谓PKI 是指「公开金钥基础建设（ Public Key Infrastructure ）」，其运作原理于1977年由麻省理工学院的Rivest、Shamir、和Adleman三位教授共同提出，是一个由数位凭证（ Digital Certificate ） 、凭证机构（CA，Certificate Authority）、及注册机构（RA，Registration Authority）等组成的系统，来验证网路上往来或交易各方身份的正确性，就是电子签章法中所采用之架构，也被称为是「信任的阶层（Trust Hierarchy）」。

PKI 的原理简单来说就是运用密码学的各种技巧，来建立可信赖的网路资讯安全安全环境。以往的加解密的过程中，加密金钥也就是解密金钥，而在PKI的架构中，加密金钥不同于解密金钥，被加密金钥所加密的内容需要成对的解密金钥才能解得开，反之亦然。所以此金钥对（key pair）中的一支金钥可以公开成为公开金钥（Public Key）由CA 来保存与管理，而另一支成对的金钥就作为私密金钥（Private Key）由使用者自行保管。而此金钥对利用强化的质数（够大的质数），也就是增加金钥的长度来使得破解这样的加密法需要相当长的时间与相当高的成本来增加其安全性。

使用者可以向CA申请凭证与金钥对，凭证与私密金钥自行携回，公开金钥则由CA管理。当A欲向B传送电子讯息时，A先向CA取得B的公开金钥用以加密欲传送给B的讯息，再利用网路传送给B。如前所述，就算途中此讯息被骇客截取也无法解开，因为用B的公开金钥用加密的讯息只有用B的私密金钥才能解开，这样就达成了保障私密性的目的。

而当A传送讯息给B时，就用A经过CA认证过的凭证附在欲传送的讯息上，再用B的公开金钥加密后传送之。当B收到A传送过来的讯息，即可用B的私密金钥解开，再用杂凑函数等技术予以比对，若比对的内容正确，则可以确认讯息的内容没有被窜改，而传送者的身分也可以确认，这样就做到了资料完整性及身分确认的目的。

凭证机构（ CA ）对 PKI 的重要性

利用这样的公开金钥密码系统( Public Key Cry-ptosystem )，可以对电子讯息加密及确认讯息的来源，并提供数位签名( Digital Signature )的功能，如此就可​​解决私密性、资料完整性、及身份辨识等问题。

然而，要达成上述功能，使公开金钥密码系统得以顺利运作，不可或缺的就是CA（即电签法中的凭证机构）此一机制，其能够紧密结合并证明某一公开金钥确实为某人所拥有。藉由CA做为网路交易中的公正第三者（TTP，Trusted Third Party），来执行凭证的管理（凭证的产生、注销、展期、变更等）、使用者金钥对的产生与保管、 CA自身金钥的管理、验证交易双方电子凭证之有效性及真实性，让他人无法假冒、伪造，来克服网路交易匿名性所造成之不信任感。因此，在PKI架构下，CA对于公开金钥密码系统及电子签章技术的发展与应用可以说是扮演了相当重要的关键性角色。

结语

1999年可以说是PKI蓬勃发展的开始，在亚洲各国像是日本、韩国、新加玻、香港在PKI的推动上下了不少的功夫，也取得了不错的成绩与进展，从此次的Asia PKI Forum的会谈中与参观日本各大企业像是NEC、富士通、日立等所开发且已应用于电子化政府的完整PKI解决方案可以看出。

相对于其他亚洲国家，台湾在PKI的进展上已落后很多，连攸关PKI与电子商务的根本大法「电子签章法」都迟迟未能通过，着实令人忧心。此时此刻，不论上至政府，下至安控产业切勿再多头马车、各行其事、或打游击战了，毕竟我们是PKI相关技术与立法的后进国家，如果不能群策群力结合众人的力量，势必无法及起直追或他人竞争，甚至将成为这个网路重要产业的输家，岂可不慎？ ！