作者： 冉金龙   
 
 
　　Certificate

　　凭证，也称为数字凭证（Digital Certificate），是一种验证的技术，也是网络上的身分证明

　　我们在登入网页的时候常常需要输入账号与密码，初次登入某个网站时，还要先注册这些信息才能使用。输入账号跟密码最主要的目的，只是为了要作到身分的认证，也就是让信息系统能够认得你是谁，进而能赋予适当的权限，以及便于事后的追踪记录。

　　数字凭证的用意也是如此，让系统可以辨认、证明身分。简单地说，数字凭证就是网络上的个人身分证明，由凭证管理中心经过身分的验证程序后，发给你的一个数位的身分证明。数字凭证也是一种用来验证使用者或使用服务的身分的技术，利用PKI技术来提供身分识别的能力，以保护网络上数据存取的正确性、保密性等。它不仅可以代表使用者，也可以代表计算机／设备、组织机构，甚至是程序的身分，所以才有所谓的个人凭证、服务器凭证、认证机构凭证、软件出版者凭证。

要导入证书，先启动IE，在「工具」选项内选「Internet选项」，在分页「内容」选「证书」即可。

　　一般凭证有效期限为1至3年，视发行者而定，长度最低为40位，假如要破解目前采用的1024位RSA密钥，在短时间内是完全不可能的，所以凭证的安全性是非常高的，但需留意私钥的保管，这些档案最好是不能连上网络的地方，例如储存于磁盘。

　　现今凭证应用的范围很广。例如电子邮件方面，用来保障邮件传输的安全，也可用来加密与人交换或需要保存的数据文件；内部工作流程签核或申办窗体等数据的数字签章，也很普遍。目前最常见的运用是在证券公司、银行、保险等金融单位，主要因为发给客户的数字凭证（如网络银行凭证、网络下单凭证、网络保险凭证），是用来下单委托或是转帐，需要高度的正确性与保密性。而对银行业者来说，自动化与数字化的流程，也大大减少服务人员数量，以及降低手动操作上的失误机率。

　　除此之外，在网络报税时，我们也需要搭配使用，主要是以安全性为考虑，并希望行政作业流程更为便利。

　　Public Key Infrastructure， PKI

　　公开金钥基础架构

　　简单说，基本上它是一个服务群组，是指结合凭证管理中心，以及非对称性密码而形成的系统机制，用来强化网络安全，使用者可以透过网络，安全且经过验证地与他人交换信息，提供一个严密的服务平台。类似现实世界中，我们用签名、密封文件的方式来保全交换的讯息，PKI主要目的是提供使用者于电子讯息交换时，确保身份确认性、数据完整性、不可否认性、私密性。

　　RSA Algorithm

　　RSA加密算法

　　于1977年由R. Rivest、A. Shamir及L. Adleman三人所发布，取三人姓氏首字而命名，称为RSA。这套算法是以两个非常巨大的质数为私钥，两质数的乘积为公钥，钥匙的长度在客户端应使用1024位密钥，认证管理中心所应用的是2048位以上。若要强行破解则对方将进行质因子分解才行，但因为当两质数的值越大时，则质因子分解所耗用的时间成倍数成长。RSA密码法在目前算是相当安全。

　　Public Key、Private Key

　　公开金钥、私密金钥

　　使用非对称加密算法，加密端及解密端会分别使用不同的金钥。

　　这两个金钥一个称之为公开金钥（Public key），简称公钥；另一个称为私密金钥（Private Key）简称私钥。公钥公诸大众，私密金钥则由拥有人自行保存。像RSA算法就属于非对称加密算法，加密时用公开金钥，解密时须搭配私密金钥；以私密金钥产生签章，以公开金钥验证签章，而这两金钥就是一种非对称金钥。

　　Electronic Signature

　　电子签章

　　电子签章类似传统的签名或盖章，只是它是以电子形式存在。当签署者在电子文件上签章后，表示本人同意文件的内容，并留下可供识别签署者身分的证据。2002年以后，台湾开始实施电子签章法，效力已具备法律上的地位。由于近年来生物科技（指纹、声纹、眼虹膜、DNA）等用于鉴别身分的技术，也正快速的发展，整体而言，任何的电子技术只要能符合特定的安全需求，皆可用来制作电子签章。

　　Digital Signature

　　数位签章

　　它是电子签章技术的一种。以公开金钥基础建设为基础而制作。数字签章在签署时，将文件运用杂凑算法以及私密金钥进而产生数字签章。而在验证时，使用公开金钥验证签章的真实性。在签署以电子方式传送的文件时，确认发送对象的真实身分，防止传送数据时遭窜改伪造，并可避免事后发生否认的情形。目前数字签章已广泛用于各种电子方式交易，能够充分保障电子商务交易安全的信息。

　　Encryption、Decryption

　　加密、解密

　　指将可读的明文资料经由特定演算方式加以处理，转化为外人无法读取的密文数据。依特定演算方式将密文数据转换回原始明文数据的动作则称为解密。由于在网络上常见一些信息安全问题，如窜改、窃听、冒名传送、否认传送，我们需要使用加密的方式，来保护我们的数据不被窃取窜改。当然，简单的加密模式容易破解，重要数据的保护必须使用高安全性的加密模式处理，而不是一般的加密就可以了。

　　Certificate Authority，CA

　　凭证管理中心

　　简单地说，就是一个制作数字签章及提供电子认证服务的机构。它是一个具公信力的第三方单位，他们可以对个人及机关团体提供认证及凭证签发管理等服务，例如利用凭证管理信息系统（凭证管理系统、注册管理系统、目录服务器），严密管理凭证作业流程，并提供申请者注册、凭证的签发、废止、管理、产生稽核记录等服务，来建立具有机密性、识别性、完整性、不可否认性的信息安全环境。

　　Secure Sockets Layer，SSL

　　SSL网络安全传输协议

　　它是一个为保障网络上信息传输安全的安全协议，用来提供客户端和服务器端的数据加密和认证。SSL使用公开金钥加密方式作安全认证，而传递数据使用对称式密码加密。目前最新版本为SSL v3，国际标准组织将它稍微修改并重新命名为Transport Layer Security（TLS v1.0）。由于两者相差无几，故多半沿袭旧称SSL。现今SSL已成为国际标准，大多数网站要求身分认证的网站都会使用SSL加密技术。

　　X.509

　　X.509数字认证标准

　　X.509标准是由国际电信联盟（ITU-T）制定的数字认证标准，以公开金钥基础架构与电子签章为基础而建立。标准中含公开金钥和使用者的名称及信息，定义了数字凭证的结构，以及利用数字凭证作认证的协议。最新使用的版本为X.509 v3，目前电子商务的安全电子交易（SET）协议就是基于X.509 v3。X.509标准在公共金钥的密码格式方面已被广为接受。