前言

第一屆亞洲 PKI 論壇（ The First PKI Forum ）於今年6月12到14日在日本東京熱鬧登場。國內的產官研各界也以「Asia PKI Forum中華台北推動委員會」的名義受邀組團參加。此次會議是由日本、南韓與新加坡發起，由日本的「日本 PKI 推進協議會（ APKI-J，Japan Promotional Association for Asia PKI Forum，www.apki-j.gr.jp）」主辦，日立株式會社（ Hitachi ）協辦。共有日本、南韓、中共、中華台北、香港、新加坡、澳洲、馬來西亞、泰國、寮國、越南、緬甸等國、及美國 IETF （ Internet Engineering Task Force ）和 PKI Forum 與歐洲 EESSI （ European Electronic Signature Standardization Initiative ）等相關組織的代表參與。

會中各國的代表、貴賓、或專家接針對各國或區域 PKI 推動現況、發展、精神、進度與所遭遇的困難與問題做了深入的介紹，並針對相關的議題進行廣泛的討論，讓所有的與會者首次對亞洲各國 PKI 發展現況有了進一步的認識。

PKI 興起的緣由

此次論壇的召開最大的收穫在於喚起亞洲各國對於PKI相關應用的重視，並且進一步討論了各國對於一個 PKI 推動上的難題--「跨國（Cross-Border）的互通性（Interoperability）」之可行性與做法，以期能夠提昇未來跨國電子商務的安全性。

為何亞洲各國要如此積極地推動PKI這樣的機制呢？不但自己國內在推動，並且還要聯合各國或各個相關的國際組織大費周章地共同推廣這樣的架構，一言以蔽之，還是安全性的考量啊！

自網際網路盛行以來，各式各樣的網路犯罪也隨之層出不窮，如網路詐欺（ Internet Fraud ）、駭客的肆虐、病毒的蔓延、隱私權的爭議、著作權的侵害（ Copyright Infringement ）、及各種交易的糾紛，這些失序現象皆因網際網路具有高度的「虛擬性」與「匿名性」，像是近來所發生的兩起網路犯罪事件，網路銀行被駭客盜領案及券商網路下單系統被駭客入侵案，皆肇因於網路上互動的各方並不容易去確認彼此的身分。

所以為了要滿足對於網路資訊安全的基本要求，例如私密性（Confidentiality）、真確性（Integrity）、身分確認（Authentication）、不可否認性（Non-repudiation）、存取控制（Access Control）、及可用性（Availability）等，PKI這樣的架構便應運而生。

對大家耳熟能詳的 SSL 或 SET 來說， SSL 只能保障網路傳輸過程的私密性（Confidentiality）、真確性（Integrity），而 SET 還可以確保身分確認（Authentication）、不可否認性（Non-repudiation），是較 SSL 在安全性上高出不少，但對使用者來說卻麻煩很多，因此遭到失敗的下場。但由於科技的演進，在網路安全上各式各樣更方便卻不損及安全性的解決方案快速地出現。

何謂 PKI ？

到底什麼是PKI呢？它對網路資訊安全又能提供怎樣的保障呢？所謂PKI 是指「公開金鑰基礎建設（ Public Key Infrastructure ）」，其運作原理於1977年由麻省理工學院的Rivest、Shamir、和Adleman三位教授共同提出，是一個由數位憑證（ Digital Certificate ）、憑證機構（CA，Certificate Authority）、及註冊機構（RA，Registration Authority）等組成的系統，來驗證網路上往來或交易各方身份的正確性，就是電子簽章法中所採用之架構，也被稱為是「信任的階層（Trust Hierarchy）」。

PKI 的原理簡單來說就是運用密碼學的各種技巧，來建立可信賴的網路資訊安全安全環境。以往的加解密的過程中，加密金鑰也就是解密金鑰，而在PKI的架構中，加密金鑰不同於解密金鑰，被加密金鑰所加密的內容需要成對的解密金鑰才能解得開，反之亦然。所以此金鑰對（key pair）中的一支金鑰可以公開成為公開金鑰（Public Key）由 CA 來保存與管理，而另一支成對的金鑰就作為私密金鑰（Private Key）由使用者自行保管。而此金鑰對利用強化的質數（夠大的質數），也就是增加金鑰的長度來使得破解這樣的加密法需要相當長的時間與相當高的成本來增加其安全性。

使用者可以向CA申請憑證與金鑰對，憑證與私密金鑰自行攜回，公開金鑰則由CA管理。當A欲向B傳送電子訊息時，A先向CA取得B的公開金鑰用以加密欲傳送給B的訊息，再利用網路傳送給B。如前所述，就算途中此訊息被駭客截取也無法解開，因為用B的公開金鑰用加密的訊息只有用B的私密金鑰才能解開，這樣就達成了保障私密性的目的。

而當A傳送訊息給B時，就用A經過CA認證過的憑證附在欲傳送的訊息上，再用B的公開金鑰加密後傳送之。當B收到A傳送過來的訊息，即可用B的私密金鑰解開，再用雜湊函數等技術予以比對，若比對的內容正確，則可以確認訊息的內容沒有被竄改，而傳送者的身分也可以確認，這樣就做到了資料完整性及身分確認的目的。

憑證機構（ CA ）對 PKI 的重要性

利用這樣的公開金鑰密碼系統( Public Key Cry-ptosystem )，可以對電子訊息加密及確認訊息的來源，並提供數位簽名( Digital Signature )的功能，如此就可解決私密性、資料完整性、及身份辨識等問題。

然而，要達成上述功能，使公開金鑰密碼系統得以順利運作，不可或缺的就是CA（即電簽法中的憑證機構）此一機制，其能夠緊密結合並證明某一公開金鑰確實為某人所擁有。藉由CA做為網路交易中的公正第三者（TTP，Trusted Third Party），來執行憑證的管理（憑證的產生、註銷、展期、變更等）、使用者金鑰對的產生與保管、CA自身金鑰的管理、驗證交易雙方電子憑證之有效性及真實性，讓他人無法假冒、偽造，來克服網路交易匿名性所造成之不信任感。因此，在PKI架構下，CA對於公開金鑰密碼系統及電子簽章技術的發展與應用可以說是扮演了相當重要的關鍵性角色。

結語

1999年可以說是PKI蓬勃發展的開始，在亞洲各國像是日本、韓國、新加玻、香港在PKI的推動上下了不少的功夫，也取得了不錯的成績與進展，從此次的Asia PKI Forum的會談中與參觀日本各大企業像是NEC、富士通、日立等所開發且已應用於電子化政府的完整PKI解決方案可以看出。

相對於其他亞洲國家，臺灣在PKI的進展上已落後很多，連攸關PKI與電子商務的根本大法「電子簽章法」都遲遲未能通過，著實令人憂心。此時此刻，不論上至政府，下至安控產業切勿再多頭馬車、各行其事、或打游擊戰了，畢竟我們是PKI相關技術與立法的後進國家，如果不能群策群力結合眾人的力量，勢必無法及起直追或他人競爭，甚至將成為這個網路重要產業的輸家，豈可不慎？！