何謂PKI?以造訪元大證劵網站為實例,說明PKI的運作與原理

戴致禮 Travis Tai

  • 精誠資訊/恆逸教育訓練中心-資深講師
  • 技術分類:網路管理與通訊應用

 

 

現代人類的食、衣、住、行都脫離不了互聯網的範疇,然而若要在互聯網上進行電子商務的交易(Transaction),就必須要格外注意交易的機密性(Confidentiality)、交易資料的完整性(Integrity)、交易的身分認證(Authentication)、與交易的不可否認性(Non-repudiation)等四種資訊安全的需求;尤其是要透過誰也不認識誰的互聯網進行電子商務,在缺乏互相信任的機制下,PKI(公開金鑰基礎設施)的需求日益重要。

PKI(Public Key Infrastructure,公開金鑰基礎設施)是以非對稱密碼學(Asymmetric cryptography)為基礎所衍生出來的資訊架構,使用不對稱加密演算法(例如RSA)產生一組私密金鑰與公開金鑰(Private Key/Public Key),私密金鑰由持有者自己保管,而公開金鑰則使用數位憑證(Digital Certificate)經由互聯網發送給對方用戶;但其中最大的挑戰-則在於用戶要如何確認您所收到的公開金鑰是真正的公鑰,而不是駭客試圖要欺騙您的公開金鑰?於是在這種情況下,PKI就派上了用場。

PKI(公開金鑰基礎基礎設施)使用了身份憑證(Identity Certificate)與根憑證(Root Certificate),在這裡以使用本機來訪問元大證劵Web下單網站為實例來說明以上兩種憑證,及其相互之間的信賴關係。

第一種為身份憑證(Identity Certificate):

用戶A必須先行向CA憑證頒發機構(Certificate Authority)提出憑證簽名請求(Certificate Signing Request),申請簽發用戶A的身份憑證,其詳細的申請流程如下:
用戶A(這裡指元大證劵公司)必須先向CA憑證頒發機構(這裡指TWCA台灣網路認證公司)提交用戶A自己的身份(例如Subject Name:global.yuanta.com.tw)、與其公開金鑰(例如Subject Public Key)等相關資訊,TWCA台灣網路認證公司會先結合這些資訊進行HASH運算,再使用TWCA公司的RSA私密金鑰進行簽名加密運算,形成TWCA的數位簽章(CA Signature);最後,TWCA公司將用戶元大證劵的身份資訊、公開金鑰、與TWCA的數位簽章,以X.509 v3的數位憑證格式綁定在一起,生成用戶元大證劵的身份憑證。底下使用圖一來說明憑證簽名請求(Certificate Signing Request)的詳細流程,使用圖二以元大證劵Web下單伺服器的SSL憑證為實例來說明身份憑證(裡面標示有憑證持有者的身份名稱Subject Name與其公鑰Subject Public Key Info)。



【圖一】:憑證簽名請求(CSR)的詳細流程




【圖二】:元大證劵Web下單伺服器的SSL身份憑證-顯示憑證持有者的身份名稱(Subject Name)與其公開金鑰(Subject Public Key Info)欄位



第二種為根憑證(Root Certificate):

根憑證是一種自簽的憑證(Self-Signed certificate),具有相同的憑證發行者名稱(Issuer Name)與憑證持有者名稱(Subject Name),由根憑證機構(Root CA)自己的私鑰來簽發根憑證機構自己的公鑰。根憑證沒有上層機構再為其本身作數位簽章,所以都是自簽憑證,擔任信任鏈起點(Trust Anchor)的角色。許多商用的網頁瀏覽器(例如:Microsoft Edge、Google Chrome)都會預先安裝可被信任的根憑證,這代表用戶授權這些網頁瀏覽器廠商代為審核哪些根憑證機構是屬於可被信任的,例如:Entrust、VeriSign、TWCA Root Certification Authority。所以當我們使用Google Chrome瀏覽器造訪元大證劵Web下單網站時,倘若TWCA根憑證有被列表為可被信任的根憑證授權單位(參考圖三:使用憑證管理員工具指令certmgr.msc來查看電腦的憑證存放區),則TWCA根憑證所提供的公鑰便可以成功地驗證(Verify)元大證劵網站SSL身份憑證的CA簽章,從而信賴該網站就是真正的元大證劵Web下單網站global.yuanta.com.tw(參考圖四:驗證本機與元大證劵網站建立安全的TLS連線)。


【圖三】:使用憑證管理員工具指令certmgr.msc來查看電腦的憑證存放區,顯示TWCA根憑證有被列表為可被信任的根憑證授權單位




【圖四】:驗證本機與元大證劵網站建立安全的TLS連線



基於篇幅限制,以上只是扼要的實例介紹,您可到思科官方網站查詢相關技術文件,或是參加CCNP Security認證課程可從中了解更多PKI(Public Key Infrastructure)相關的運作與原理喔!



您可在下列課程中了解更多技巧喔!