數碼證書的用途
數碼證書透過公開密碼匙基礎建設的架構發揮其三個主要功能–公開密碼匙加密、數碼簽署和電子認證。
公開密碼匙加密是確保信息保密性的方法,涉及使用一對非對稱但相配的密碼匙–私人密碼匙和公開密碼匙為數據加密。私人密碼匙(下稱“私匙”)由數碼證書持有人以安全及保密的方式保管,而相配對的公開密碼匙(下稱“公匙”)則由核證機關在網上儲存庫公布,並公開提供他人使用。加密是以數碼證書持有人的公匙為數據編碼,而解密則只可用證書持有人所保管的相配對私匙為已加密的數據解碼。
以經電子郵件傳送的信息為例,電子郵件信息可用收件人的公匙加密,以保護私隱。由於除了收件人的私匙外,沒有其他方法/密碼匙可以為已加密的電子郵件信息解密,所以可確保電子郵件的內容得以保密。
通過數碼證書產生的數碼簽署可確保資料的完整性、用戶的真確性和交易的不可否定性。用數學函數將電子信息(例如信件)轉換成信息摘要,然後用發件人的私匙為信息摘要加密,便可產生數碼簽署。電子信息會連同數碼簽署一併發送給收件人。收件人可用發件人的公匙核實發件人的數碼簽署。
以簽署電子郵件為例,若附有數碼簽署的電子郵件在傳送過程中沒有受到干擾(資料的完整性),那麼該數碼簽署會經收件人所用的發件人公匙核實為正確無誤。由於只有發件人才能使用本身的私匙,所以數碼簽署一經使用發件人的公匙核實為有效,收件人便可以肯定該電子郵件確實來自發件人(用戶的真確性);而發件人不能拒絕承認曾經發出並簽署該電子郵件(交易的不可否定性)。
電子認證是使用者以電子形式向資訊系統確立其身分的程序,以便存取數據或進行交易。數碼證書是一種有效的認證方法,可在註冊及認證程序中,令人有高度信心確定使用者的身分。
現舉例說明如何進行電子認證。假設亞美進行網上交易,經香港政府一站通就選民登記服務更改選民登記資料。她使用儲存在電子證書檔案USB內的數碼證書作為認證方法,在輸入個人識別號碼後便可以在網上交易作電子認證。通過她的數碼證書,應用系統就能核實其身分,並允許她更改個人資料。
資訊安全網網站載有更多關於安全使用電子認證的資料。
公開密碼匙基礎建設為網上電子交易提供了一個安全和可靠的環境。這是一個涉及技術機制、政策和程序的保安架構,採用了公開密碼匙加密技術以保護資料的保密性、完整性、真確性和不可否定性。
