安全性
网络服务面临的安全性议题有二:一是网络与设备上的安全议题,另一是资讯的安全议题。
网络服务可以穿过传统的网络保护机制,同时网络服务也可以携带筹载物(payload),还可以与企业内部应用程序沟通,如此等于大开安全之门。因此在网络安全问题上,可能会面临假身份问题,以及利用无效的SQL语法、LDAP或是XPath作攻击,另外,攻击者也可以使用XML的阻断服务攻击(DoS)来瘫痪网络连线。另外,在内容安全议题上,由于传递的是XML明码,因此极易被有心人给窥视,因此网络服务也需对其传递内容进行保护,以免泄漏重要资讯。
凭证应用风险规划
电子凭证主要目的为让网络交易双方建立信赖关系,其法律效力在于内含之数位签章,而非凭证本身;凭证只在确认此数位签章的正确性与使用者身份真实性。电子凭证内含密码学技术,且由具公信力的CA所核发,其安全性不置可否。然而,若将凭证与其他应用一起使用,例如同时作为企业内部管理的功能,则必须考虑可能造成的风险。
企业在应用电子凭证时,应有完整的风险规划,例如凭证的选择、CA的选择、了解凭证应用范围的限制、了解凭证服务契约之赔偿责任、利用各项功能或机制(如黑名单机制、在线凭证状态查询等)控制交易风险等。如此,才能在不逾越凭证使用范围的法律效力下,适度做好交易风险控管,达到凭证最终目的。
工商凭证应用服务
继自然人凭证后,经济部刻正推动公司行号之工商凭证服务,亦即签发公司行号凭证IC卡,作为企业与政府之间的网络身份证,提供各项安全的网络申办服务。现阶段应用包括工商登记、领投标、公司报税、劳保加退保等等,后续将朝向文件(如誊本)申请之电子化目标迈进,一方面减少各项文书使用量,一方面提供公司及政府单位便利的在线作业,简化整体申办流程,为另一项电子化政府服务。
对一般使用者的影响
PKI对我们日常生活有何影响呢?最主要看使用者对资讯安全的需求程度而定;换句话说,只要对“资料身份识别”、“交易资料完整”、“交易不可否认”或“保密”等其中之一有所需求,就可以使用PKI。
以社区管理为例,管理委员会挨家挨户向住户发送通知单或收取管理费,相当耗费时间与人力;如果以e-mail或在线缴费就方便多了。住户透过网络运用电子凭证进行缴费的动作,就是使用 PKI 当中的“身份识别”与“交易不可否认”等功能–在整个过程中,管理委员会就能够依凭证辨识用户的身份,而用户也不能否认其缴费动作。
PKI的应用范围不仅于此,例如目前流行的网络银行或网络下单等服务,都必须仰赖PKI机制并配合使用
电子签章所给予之法律地位,以确保交易双方交易记录的存在(“交易资料完整”与“交易不可否认”)与身份确认,使业者与消费者的权益都受到保障、以及利用网络达到安全传递资讯的目的。
日常生活中会接触到的PKI应用还包括网络报税、高速公路收费自动化智能卡、电子邮件加密签名、上网购物、与大楼门禁系统等。
