资源描述
,按一下以編輯母片標題樣式,按一下以編輯母片,第二層,第三層,第四層,第五層,*,第七章 電子商務與數位簽章,電子商務面臨之危機,安全技術與法律規範的重要性,資訊安全技術簡介,數位憑證技術簡介,數位簽章作業流程,我國電子簽章法草案介紹,結論,大綱,電子商務面臨之危機,攻擊動機,企業間諜活動,金融利益,報復或揭發隱私,攻擊型態,密碼破解,(Cryptanalysis),暴力攻擊法,(Brute-Force Attacks),資源竊取,(Resource Theft),網路阻絕服務,(Denial of Service),電腦病毒與電腦犯罪,入侵與防護,入侵偵測,入侵復原,防護對策,網路傳播的匿名性,網路詐欺案件層出不窮,網路架構的開放性,解決買賣雙方對交易內容的爭執,安全技術與法律規範,的必要性,網路傳播的匿名性,交易雙方往往不知道 對方的真實,身份。,潛在問題,享有更多的隱私,但因為身份不易確認,形成電子商務,最大障礙。,消費者與網站經營者信心危機。,造成現象,無人願在網路上填寫真實的資料。,網站上資料蒐集者不尊重消費者的隱私權。,消費者為求自保而實問虛答,或根本提供不實資料。,解決辦法,必要性資訊不能夠虛假,必須具有可驗證性,運用身份鑑別技術,網路傳播的匿名性,網路詐欺案件,或消費者損失,但商家往往必,須認賠。,據統計,50%,網路詐欺發生在拍賣網站。,電子商務經營者為求自保只好在金流部份退回,保守的方式,-,貨到付款。,可能方式,必須建立最低限度之互信機制,提供滿足不可否認,性,(non-repudiation),之需求,這也是電子化契約的根,本問題所在。,訂定相關法令。,網路詐欺案件層出不窮,網際網路採開放性架構,如何確保訊息能在網,路隱密地傳送,便是極為重要的問題。,網路攻擊問題,商業秘密的保護,解決方式,提供符合隱密性,(confidentiality),之需求,發展資訊與網路安全技術,發展公開金鑰基礎建設,(PKI),使用數為憑證機制,(CA),網路架構的開放性,交易雙方可能會對於訊息內容完整性產生爭執。,可能事例,網路上傳播的資料易遭竄改,訂單股票金融資訊等敏感資料,解決辦法,提供符合電子訊息完整性,(integrity),的要求,使能夠驗證訊息皆未曾被變更,夠建立消費者與網站,經營者的信心。,解決買賣雙方對交易內容的爭執,資訊安全技術簡介,身份識別,(Identification),與鑑別,(Authentication),。,資料保密,對稱式保密技術,(Symmetric Cipher),非對稱式保密技術,(Asymmetric Cipher),電子簽章,(Electronic Signature),與數位簽章,(Digital,Signature),公開金鑰基礎建設,(Public Key Infrastructure,PKI),數位憑證,(Digital Certificate),電子商務的需求,隱密性,(confidential),完整性,(integrity),可驗證性,(authentication),不可否認性,(non-repudiation,),電子簽章與數位簽章,電子簽章:,以,電子形式,存在,依附在電子文件並與其,邏輯相關,可用以辨識電子文件簽署者身分及表示簽,署者同意電子文件之內容。,數位簽章:,使用數學演算法,(,例如用雜湊函數,,one-,way hash function),將電子文件轉化為固定長度之數位,資料,(,訊息摘要,,message digest),,並用簽署者之私鑰,對其加密形成一簽體,使任何人可藉未轉化前之,原始,資料訊息,、,簽體,及,與私鑰相關連之公鑰,,驗證該簽體是,否使用與簽章公鑰相對應之私鑰製作,以及簽體製作,後,原始資料訊息是否遭受竄改。,電子簽章的範圍較廣,可以包含數位簽章、指紋、聲,紋、眼紋或,DNA,等,因此數位簽章只是電子簽章之一種,公開金鑰基礎建設,(PKI),非對稱型加密技術,其最重要的之基礎便是公開金鑰基,礎建設,(PKI),。,PKI,架構:以非對稱加密技術,利用配對唯一的公鑰及私,鑰作為加密及解密的工具,也就是當我們以某甲的公鑰,將電子文件加密,僅可用與其相配對唯一之甲的私鑰來,解密;或者是以甲的私鑰將電子文件加密,也僅可用與,其配對唯一之甲的公鑰解密。,公開金鑰基礎建設,(PKI),在,PKI,架構中,所有公鑰都被集中保管於公正第三人,(,也,就是憑證機構,Certificate Authority,CA),手中,任何要驗證,之人都可向,CA,查詢交易相對人的公鑰。,例如當文件以發送方的私鑰加密,則文件的任何收受方,都可向,CA,取得發送方的公鑰,此時若可解開該文件,便,可驗證文件是發送方所簽署,該文件便具有可驗證性及,不可否認性;若以文件發送者以收受方的公鑰將文件加,密,此時僅有收受者能以其自身保管的私鑰解密,因此,該文件便可具有不被外人探知的隱密性。,名詞解釋,公鑰,(public key),與密鑰相配對,可以用來驗證數位簽章具有配對關係之一,組數位資料,其對外公開者,在,PKI,的架構下是交由憑證,機構保管,而讓交易相對人可以查尋及驗證之用。,密鑰,(private key),與公鑰相配對,可以用來驗證數位簽章具有配對關係之一,組數位資料,其由簽署人所保有。,憑證機構,(certificate authority),指提供數位簽章製作及電子認證服務之機構。,數位簽章,(digital signature),指將將電子文件以數學演算法或其他方式運算為一定長度,之數位資料,並以簽署人之密鑰對其加密,形成電子簽章,數位憑證技術簡介,數位簽章與憑證,數位憑證,數位憑證的產生與驗證,憑證的撤銷,憑證機構,(Certificate Authority,CA),的主要功能,憑證的種類,CA,相關的技術規範,數位簽章作業流程,簽章過程,電子文件先通過單向雜湊函數的運算,產生訊息摘要,將該訊息摘要以發送人的密鑰加密,(,不可否認性,可,驗證性,),。,嗣後再將該訊息摘要以收受方寄存於,CA,處的公開金,鑰加密,(,隱密性,),。,經過上述兩個步驟後,形成一個簽體,我們在網路上,所傳輸的便是電子文件以及附隨其上的簽體。,數位簽章作業流程,驗證過程,當收受方接收到該電子文件及簽體之後,首先用自己的密,鑰解密。此時僅有收受者可以解密,因此具有隱密性。,收受者在以發送者寄存於,CA,處的公鑰解密。此時收受者,可以確認該文件是由發送人所簽發的,因此發送人不能否,認該數位簽章是由其所簽署的,故具不可否認性。,經由上述兩次解密,我們可以得到完整的訊息摘要。,同時我們可以將電子文件全文再經單向雜湊函數運算一,次,也可以得到一個訊息摘要。,將此二訊息摘要作比對,如果完全相同,便可以信賴該電,子文件從傳輸之初到結束都未經過更改,在傳輸過程也沒,有偽造、變造或竄改等問題產生,因此具有訊息傳輸的完,整性。,電子簽章與電子簽章法,資訊安全技術搭配,PKI,架構,可以達到隱密性、,完整性、不可否認性及可驗證性。,數位簽章技術在相當的情形之下是具有取代傳統,簽名蓋章的可能性,而且如果制度設計得當,比,傳統手寫簽名具有更多附加優點。,電子簽章的技術隨科技演進,其形式亦然。,電子簽章法的立法目的便是要,將合乎最低標準的,電子簽章技術賦予法律效力,建立安全的電子商,務交易環境。,現行電子簽章法草案介紹,數位簽章效力,電子文件效力,收發文時間與地點之認定,憑證機構設立與管理,憑證機構罰則,數位簽章效力,第九條,(,簽名或蓋章得以電子簽章代之,),依法令規定應簽,名或蓋章者,得經當事人約定以電子簽章代之。但法律,明定或經政府機關公告不適用者,不在此限。,前項電子簽章以當事人依約定之安全技術、程序及方法,製作可資驗證電子文件真偽者為限。,第十條,(,數位簽章之作成應符合之要件,),以數位簽章簽署,電子文件者,應符合下列各款規定:,一、使用憑證機構簽發之公開金鑰憑證。,二、未逾公開金鑰憑證之有效期限及其使用範圍。,三、經驗證公開金鑰憑證記載之內容無誤。,電子文件效力,依法律應以書面為之的要式行為,(written),。,依法令應提出文書原本或正本的行為,(original),。,書面文件之法定保存,(retention),。,依法律應以書面為之的要式行為,第四條,(,書面文件得以電子文件代之,),法律行為得經當事人,約定以電子文件為之。其應以書面為之或訂定字據者,,亦同。但法律明定或經政府機關公告不適用者,不在此,限。,前項情形當事人依約定之安全技術、程序及方法所製作,之電子文件,足以驗證其內容真偽者,推定為真正。,依法令應提出文書原本或正本的行為,第五條,(,書面文件之原本或正本得以電子文件代之,),依法令,之規定應提出文書原本或正本者,得由原製作者以其電,子簽章作成與原本或正本之內容相符且可驗證真偽之電,子文件代之。但應核對筆跡、印跡或其他為辨識文書真,偽之必要者,不在此限。,前項所稱內容相符,不含以電子方式發送、收受、儲存,及顯示作業附加之資料訊息。,書面文件之法定保存,第六條,(,書面文件之法定保存,得以電子文件為之,),文書依,法令之規定應以書面保存者,如其內容得以電子文件完,整顯現且可驗證真偽者,得以電子文件為之。但經政府,機關公告不適用者,不在此限,。,因情事變更致未能驗證前項電子文件真偽者,仍應將其,內容作成書面保存。第一項電子文件以其發送地、收受,地、日期與驗證、鑑別電子文件內容真偽之資料訊息,,得併同其主要內容保存者為限。,收發文時間與地點之認定,收發文時間之認定。,收發文地點之認定。,收發文地點之認定,第八條,(,電子文件之收、發文地,),電子文件以發送,者主要執行業務之所在地為發文地,以收受者主,要執行業務之所在地為收文地。但當事人對收發,文地另有約定者,從其約定。發送者無主要執,行業務場所者,以其住所為發文地。,現行電子簽章法草案之問題,對憑證機構之設立與管理缺乏政策原則之說明,將來恐,窒礙難行。,憑證機構恐怕會形成壟斷,使得消者的選擇將會減少。,網站經營者無法在現行草案之架構得到充分保障。,罰則並無法充分約束憑證機構、保消費大眾。,現行草案架構並無交互認證之機制的設計,將來恐形成,電子商務另一個障礙。,缺乏跨國承認憑證效力之設計。,本草案過度仰賴業者自律,但我國現階段尚未能形成自,律規則,若無相關配套設計,立法通過後將會形成更大,之問題。,適用範圍不清楚,公法私法行為混雜易生爭議,相關政,府委託行為亦未見規範。,結論,網路時代來臨,人類進入電子虛擬世界。,電子簽章法等相關法案存在之必要與意義。,隨資訊科技演進將有不同強度與形式之簽章方法,政府應教育民眾瞭解相關法令。,主管機關亦應隨科技同步修正法令。,
展开阅读全文