常見問答集

首頁 > 常見問答集 > 07 其他相關應用

07 其他相關應用

  • Q01.
    請問安全保密函式庫之作用?

    安全保密函式庫依據GPKI技術規範、憑證及憑證廢止清冊格式剖繪、公鑰憑證處理安全事項檢查表以及相關國際相關標準,提供開發電子認證應用系統所需之安全保密函式,可呼叫編譯後提供數位簽章以及檢驗簽章、加密與解密、憑證解析、憑證廢止清冊查訊下載與檢驗、憑證線上狀態查詢等功能。以解決資訊安全上身份鑑別、資料完整性、系統真確性、機密性、不可否認性、存取控制、可歸責性之問題。

  • Q02.
    請問安全保密函式庫之語言及編譯平台版本?

    GPKI安全保密函式庫使用C語言與Java語言撰寫,都可在Windows與Linux平台編譯。GPKI安全保密函式庫最新版本名稱為HiSECURE v6.1.0,C語言版本係使用C++語言開發,並提供跨平台支援能力,包括
    Java(透過JNI的呼叫方式)、Win32 (直接使用或是再包裝成DLL、ActiveX COM元件均可)、LINUX等系統(提供相同函式介面之該平台API)環境均可支援。以下為編譯環境:
    (a)Windows平台之編譯環境:Windows作業系統 Visual Studio C++ 6.0
    (b) LINUX平台之編譯環境:Linux CentOS 2.6.18-92.el5 gcc version 4.1.2 20071124 (Red Hat 4.1.2-42)

    安全保密函式庫Java語言版本2.1可以適用於Win32/Linux環境。
    編譯環境包含:
    (a)Windows平台之編譯環境:JDK1.4.2以上
    (b)LINUX平台之編譯環境:JDK1.4.2以上

  • Q03.
    請問GPKI安全保密函式庫標準版的版權與函式散布?

    GPKI安全保密函式庫標準版係由中華電信研究所開發,匯集了先進的網路安全標準與多年的資訊安全及密碼學之研發經驗,其智慧財產權屬於中華電信公司所有。為配合電子化政府基礎建設的網路安全需求,使眾多植基於政府機關公開金鑰基礎建設的應用系統能儘速進行開發測試,授權提供國家發展委員會GPKI專案使用,由各機關發文向國家發展委員會提出申請,函式庫的散布由國家發展委員會控管。

  • Q04.
    請問安全保密函式庫在申請與下載時之版本控制機制為何?

    GPKI安全保密函式庫標準版-HiSECURE SDK(6.1.0版)目前雖為成熟的產品,但仍因為需求的變更與相關技術的演進而有版本更新的機會。目前函式庫是集中透過https://gpkiapi.nat.gov.tw/此網站進行下載。下載之機關單位需事先向國家發展委員會發文提出申請,並說明準備開發之電子化政府應用相關資料,公文經核准後可取得帳號密碼下載。網站上面也會放置最近的兩個版本供下載,並且只有通過身分驗證的授權使用者才可以進入此網站並經過SSL安全機制下載函式庫,並提供檔案完整性比對工具,如此可以有效杜絕不明版本的散佈與流傳。

  • Q05.
    請問GPKI安全保密函式庫與GTESTCA應用發展套件之差異。

    GTESTCA發展套件除了提供相同之GPKI安全保密函式庫(內含使用手冊及範例程式),還提供已制式化處理與印刷的RSA IC卡片6張,以及USB介面IC卡讀卡機兩部,開發人員可使用安全保密函式庫進行系統開發作業,並以RSA IC卡片至政府測試憑證管理中心進行憑證申請等相關作業,以利進行系統測試。建議申請機關/單位請先向政府測試憑證管理中心申購GTESTCA發展套件,等系統測試一切正常後,再申請正式憑證及安全保密函式庫標準版(建議系統正式上線前一至兩個月至GCA網站之安全保密函式庫提出申請。請於線上填寫安全保密函式庫申請書,填寫完畢列印安全保密函式庫申請書及保密切結書,以公文書方式函送國家發展委員會,若核准將提供帳號與密碼供下載安全保密函式庫。)

  • Q06.
    安全保密函式庫每個模組可以被同時開啟幾次?

    不同的模組有不同的限制;不過並不建議這樣使用。由於起始一個密碼模組之後可以執行多次的密碼模組運算,因此程式設計應減少複雜性,不要起始過多的模組。

  • Q07.
    輸入IC卡PIN碼三次錯誤後被鎖卡,在啟始模組或起始Session時,會得到哪些Return Code?

    若IC卡已鎖卡,在起始Session時,InitSession函式將傳回十六進位為0xDB011204的錯誤代碼值。錯誤代碼定義於errortable.h之內(#define Smard_Card_Pin_Is_Locked 0xDB011204)。

  • Q08.
    請問取出公開金鑰及私密金鑰?

    私密金鑰是無法取出來的。 HiSECURE API並不提供取出公開金鑰或私密金鑰的方式,取代的用法為呼叫GetKeyObjectHandle()這個函式取出金鑰的控制指標來執行密碼模組運算功能,詳細的取得控制指標(HANDLE)方式請參照各個密碼模組的操作指引。

  • Q09.
    讀取憑證內容時,是否需要驗證PIN碼?

    讀取憑證及解析憑證內容時不需要驗證PIN碼。

  • Q10.
    取出私密金鑰時,是否需要驗證PIN碼?

    不論使用何種方式都無法取出私密金鑰,只能取得它的控制指標,在使用私密金鑰時需要驗證PIN碼。

  • Q11.
    GPKI 安全保密函式庫提供哪幾種雜湊運算演算法?各種演算法雜湊後的長度是多少?

    目前提供MD5、SHA-1、SHA-2(包含SHA-256、SHA-384、SHA-512)五種雜湊運算演算法,雜湊運算後的長度分別為16(MD5)、20(SHA-1)、32(SHA-256)、48(SHA-384)、64(SHA-512)個位元組長。

  • Q12.
    送入雜湊函數的資料長度是否有限制?

    沒有限制。

  • Q13.
    GCA憑證IC卡在加解密與簽驗章運算使用的金鑰對是否相同?

    GCA憑證採用雙金鑰對,也就是簽驗章和加解密是使用不同的金鑰對。

  • Q14.
    在使用加解密與簽章驗簽章運算時,應使用什麼金鑰?

    當您要做加密運算、驗證簽章時應該使用公鑰控制指標,並請注意分別採用收文者與發文者之公鑰控制指標。 若是要做解密運算、製作簽章時則應使用私鑰控制指標,並請注意分別採用收文者與發文者之私鑰控制指標。

  • Q15.
    GCA憑證製作的簽章長度是多少?

    GCA憑證對應1024位元私密金鑰所製作的簽章(簽體)長度是128個位元組長。
    GCA憑證對應2048位元私密金鑰所製作的簽章(簽體)長度是256個位元組長。

  • Q16.
    GPKI安全保密函式庫提供哪幾種加解密運算法?

    目前提供的加解密運算法為:
    非對稱式加解密運算法有RSA
    對稱式加解密運算法有 : DES CBC、DES ECB、3DES CBC、3DES ECB、AES CBC、AES ECB等六種。

  • Q17.
    被簽章的資料是否有長度限制?

    GPKI安全保密函式庫簽章前會先以SHA_1雜湊函式運算,再對運算結果進行簽章,所以簽章檔案沒有長度的限制。

  • Q18.
    GPKI安全保密函式庫提供哪幾種簽驗章運算法?

    目前只提供SHA_1 with RSA演算法。

  • Q19.
    非對稱式及對稱式運算法對被加密的資料是否有長度限制?

    目前GPKI安全保密函式庫6.1.0版標準版對被加密資料的長度有限制。
    使用非對稱式加解密運算法,若金鑰長度為1024位元,則被加密資料限制長度為117bytes以下;若金鑰長度為2048位元,則被加密資料限制長度為245 bytes以下。
    使用對稱式加解密運算法,被加密資料限制長度為20 Kbytes 以下。

  • Q20.
    GPKI安全保密函式庫之非對稱式加解密運算法的起始向量是否有長度限制?

    DES、3DES之CBC模式的起始向量長度請設定為8個位元組,AES之CBC模式的起始向量長度請設定為16個位元組。
    DES、3DES、AES之ECB模式的起始向量長度請設定為0(不需要使用起始向量)。

  • Q21.
    GCA機關或單位憑證每張憑證的大小大約是多少?

    目前機關或單位憑證每張憑證的大小大約 1500 bytes。

  • Q22.
    為何憑證的開始有效期限與截止有效期限都少一個月?

    依照系統對日期時間格式的定義,月份是由0~11,而非1~12,星期是0~6,日期是1~31所以當使用API函式取得之日期時間資料,月份及星期均需加1才會正確。

  • Q23.
    請問如何下載CRL資料?

    1.可由GCA網站之儲存庫網頁,以手動方式下載。
    2. 透過HTTP 協定撰寫程式,由GCA目錄服務伺服器下載,網址為https://gca.nat.gov.tw

  • Q24.
    檢查CRL的流程為何?

    1. 下載CRL
    2. 下載簽發該CRL之GCA自身憑證
    3. 驗證CRL簽章
    4. 判斷CRL的起始有效時間
    5. 取得憑證廢止狀態
    相關程式請參照範例說明。

  • Q25.
    請問停用的憑證是否會紀錄在CRL中?如何分辨憑證是停用或廢止?

    憑證停用仍會紀錄在CRL中,辨視的方式可依廢止原因來分辨:6代表停用,5代表廢止。

  • Q26.
    請問用戶舊的憑證IC卡內的憑證會被憑證管理中心廢止並放到憑證廢止清冊嗎?舊的憑證IC卡要如何保管?

    依CPS規範,憑證IC卡在發出後,由用戶自行妥善保管,在憑證過期失去效力後也相同。用戶須自行保管到期的憑證IC卡。CA也不會廢止用戶到期之憑證,而是失去效力,所以依時間的流逝,逐漸有更多IC卡片失去效用, 無法使用於應用系統。
    到期的憑證依X.509的規範並不會放到憑證廢止清冊(CRL)中,如前所述憑證的自然到期並不會被視為廢止,再者如有在未到期之前已做憑證廢止者,則在該憑證到期後,將自CRL中被移除。對於應用系統來說,則CRL檔案有可能會變小。
    用戶如果有以舊IC卡片加密的檔案,應先做解密,以免卡片的晶片在更久的將來損毀,而無法做檔案的解密。如果確認所有加密的檔案都已解密,則該卡片可真正「退休」,至於要銷毀或是保存做紀念,則由用戶自行決定。
    至於解密的電子文件的安全保存方法,可重新申請一張新的憑證IC卡做檔案加密,或是以其他加密的方法做保存。

  • Q27.
    查詢OCSP是否需要費用?

    目前暫不收費。

  • Q28.
    檢查OCSP的流程為何?

    1. 準備OCSP查詢資料結構(取得欲查詢之憑證序號)
    2. 產生OCSP查詢資料結構(BuildTobesignedOCSPRequest())
    3. 送出OCSP查詢資料結構並取回查詢結果(QueryOCSfromOCSPRequest())
    4. GCA的OCSP伺服器位址為 http://gca.nat.gov.tw/cgi-bin/OCSP/ocsp_server.exe
    相關程式及參數請參照範例說明。

  • Q29.
    若使用安全保密函式庫從IC卡中讀取憑證資訊時,出現錯誤代碼0x8304,該如何解決呢?

    0x8304係指建立卡片通訊連結失敗。當發生此情形時,請您先檢查以下幾點事項:
    1. 讀卡機是否已安裝就緒
    2. 是否為有效的正確卡片
    3. 讀卡機是否能支援卡片讀取(卡片放入讀卡機是否能正常讀取)
    4. HiCOS卡片管理工具是否已安裝
    5. HiSecure API版本與底層HiCOSPKCS11.dll(HiCOS卡片管理工具安裝後產生)版本是否為最新版本。

  • Q30.
    請問『公鑰憑證處理安全事項檢查表』之功用?使用上有哪些應注意之事項?

    『公鑰憑證處理安全事項檢查表』條列出應用系統在處理X.509公鑰憑證(一般檢簡稱「憑證)時應注意的基本安全事項。應用系統上線前應逐項檢查是否符合各安全事項的規定,確定安全無虞後才可上線。『公鑰憑證處理安全事項檢查表』共有十八條,詳見GPKI各CA網站之儲存庫。其中第二到第十五條可用GPKI 安全保密函式庫HiSECURE SDK 解決,第一、十六、十七及十八條可用其他方式解決。『公鑰憑證處理安全事項檢查表』主要分為兩個階段的檢查,一為CA端憑證的檢驗;另一為用戶端憑證的檢驗。主要的原因為GPKI為三層式的憑證機構架構,因此第三到第八條的檢查方式同第九到第十四條。本安全事項檢查表僅列出與憑證相關的「基本」安全事項,不同的應用系統有不同的特性與複雜度,應用系統管理者應該根據系統的特性與複雜度,考慮是否有其他憑證相關的安全事項需納入檢查。 本安全事項檢查表僅列出與憑證相關的安全事項,憑證相關安全事項僅是整體系統安全的其中一個環節,其他與憑證無關的安全事項例如作業系統安全漏洞修補(Patch)、電腦病毒防治、防火牆設定、入侵偵測、系統安全功能的啟用、非必要服務的關閉等,應用系統管理者應該制訂一套完整的安全政策( Security Policy ),並實施必要的措施以符合安全政策對所有安全事項的要求。

  • Q31.
    請問『公鑰憑證處理安全事項檢查表』之條文內容?

    1. 系統應該由安全管道取得Root CA的自簽憑證,並妥善地安全保存於系統中。
    2. 系統應該設定所信賴的憑證保證等級,並檢查憑證之憑證政策欄位所記載的Policy OID是否符合憑證保證等級的要求,並對於不符保證等級的憑證應該加以拒絕。
    3. 系統應該檢查CA本身的憑證確實為Root CA所簽發的憑證。
    4. 系統應該檢查CA本身的憑證確實為合法的CA憑證。
    5. 系統應該檢查CA本身的憑證是否仍在有效期限之內。
    6. 系統應該檢查CA本身的憑證是否已被廢止。
    7. 系統應該檢查CARL是否確實是Root CA所簽發。
    8. 系統應該檢查CARL是否為最新公佈的CARL。
    9. 系統應該檢查用戶的憑證確實為合法CA所簽發的憑證。
    10. 系統應該檢查用戶憑證金鑰用途欄位所記載的金鑰用途符合使用目的。
    11. 系統應該檢查用戶的憑證是否仍在有效期限之內。
    12. 系統應該檢查用戶的憑證是否已被廢止。
    13. 系統應該檢查CRL是否確實是合法CA所簽發。
    14. 系統應該檢查CRL是否為最新公佈的CRL。
    15. 系統應該要求用戶對傳送的訊息加簽電子簽章以驗證用戶身分。
    16. 系統應該要具備防止或偵測用戶加簽之訊息遭到非法重送的機制。
    17. 系統傳送用戶隱私資料時應該要以強度128 bits以上的安全通道加以保護。
    18. 系統應該定期校時,以保持系統時間之正確性。

  • Q32.
    請問憑證IC卡基本應用程式具備之功能?

    於GCA網站上提供具備GCA憑證IC卡與讀卡機之用戶,顯示憑證資訊、進行資料的非對稱式金鑰加解密、電子文件簽章及驗證等功能,以瞭解憑證IC卡所能提供在資訊安全上之保障。

  • Q33.
    請問GDS目錄服務API具有哪些功能?

    1.利用oid查詢機關代碼
    2.利用oid查詢機關名稱
    3.利用機關代碼查詢oid
    4.利用機關名稱查詢oid

  • Q34.
    請問GCA目前有哪些應用?

    至少包括
    1. 政府採購領投標系統
    提供機關單位利用憑證進行電子採購招標與開標作業。
    2. 公文交換e網通
    提供政府機關單位應用憑證與公司、商號或組織、團體進行公文交換。
    3. 勞農保網路申辦
    提供機關單位對其聘僱人員提供勞農保及勞退網路線上申辦、查詢。
    4. e政府服務平台
    『我的e政府平台提供的創新服務是以整合政府資訊服務為目的,達到『一處收件,全程服務』的目標。 將原分散至各政府機關之業務整合,讓企業與民眾不受時間、地域的限制,透過各創新服務之單一入口網獲得所需服務。』
    5. 中央健保局多憑證網路承保作業平台
    利用憑證進行網路加退保申辦或健保個人資料與欠費查詢。
    6. 網網相連電子閘門
    透過憑證以及SSL Relay安全機制, 提供機關與機關間大型行政資訊系統之資料交換、線上查詢、查驗。
    7. 中央銀行「公債及國庫券電子投標系統」
    提供公立銀行、私人銀行、券商等藉由PKI安全機制透過網路投標公債及國庫券

  • Q35.
    請問GTestCA (or GCA標準API套件)是否支援Redhat Linux 9.x 版本,或是否能提供目前最新支援Linux 版本為何?

    在Linux平台之下,函式介面的使用可否的最重要關鍵因素是在於開發過程所使用的Compiler(編譯器),而非系統的版本。目前所提供的版本是使用gcc 4.1.2的版本所編繹出來的。

  • Q36.
    我的GCA憑證IC卡,在程式測試中,不小心被Lock,然後至測試憑證管中心解除卡片鎖卡,為何無法操作,煩請告知,謝謝!!

    GTtestCA網站上面的鎖卡解碼是專門針對測試的IC卡,而非正式的IC卡。如果是GCA的IC卡鎖卡,請連上GCA網站:https://gca.nat.gov.tw,點選[憑證及IC卡相關作業],點選[鎖卡解碼],進行鎖卡解PIN碼作業。

  • Q37.
    經過study測試sample例子,我知道GTestCA發展套件是來發展整套PKI之解決工具,但我目前只是開發PKI應用層面而已,所以很多功能大概都用不到,我在開發的應用使用政府機關憑證(IC卡)去簽章,然後由民眾自行DownLoad回去,再由特定解簽中心驗簽解簽等動作,由於我要作的動作是用政府機關憑證(IC卡)去簽章所以用到的function是MakeSignature(),解簽是用VerifySignature(),我現在想問是當文件及簽章要包裝成MIME格式時,要用那個Function去包,且使用那個Function去解包呢?

    HiSECURE函式介面是整套PKI的解決工具您所提出的MIME格式封包必須自行處理。HiSECURE所扮演的角色是將相關的資料予以簽章,您必須自行將所有的東西自行包裝成MIME的格式。

  • Q38.
    HiSecure 6.1.0所提供的API ,是否可包裝成讓VB.NET、ASP.NET直接引用及呼叫?是否有相關的範例可以參考或訓練課程?或是否有提供此服務?若提供此服務所需費用為何?
    需求如下:
    1. 適用於各種憑證(工商憑證,自然人憑證......)、憑證IC卡及讀卡機。
    2. 可線上驗證憑證廢止清單。
    3. 提供數位信封功能。
    4. VB.NET、ASP.NET開發工具,可以直接引用及呼叫。

    由LIB包裝成VB .NET以及ASP .NET可以使用的方式當然是作得到 (猶如開發一個ActiveX COM元件般),目前沒有相關的範例。

  • Q39.
    請問為何要使用安全電子郵件?

    由於冒名郵件、垃圾郵件、黑函(詐騙)郵件、病毒(木馬)郵件、釣魚郵件盛行,傳送電子郵件時可以使用兩項安全功能:
    1. 數位簽章:
    傳送郵件時加入數位簽章可以確保郵件的完整性、身份鑑別以及不可否認性
    2. 加密:
    傳送郵件時可以將郵件和附件加密,以確保郵件的機密性 來解決上述電子郵件所面臨之威脅。 數位簽章與加密是兩項獨立的功能,一個郵件可以只加數位簽章但不加密,但是此種郵件只能做為確認寄件者的身分,郵件內容仍以明文形式傳送,無法保持機密;另一方面,一個郵件也可以不加數位簽章而只加密,此種郵件雖然將內容編碼成密文而能夠保持機密,但卻無法確認寄件者身分。

  • Q40.
    請問安全電子郵件可對電子郵件哪些部份加密?

    安全電子郵件加密時,不管是e-mail本文或是附加檔案均以相同的方式進行加密,但郵件主旨、寄件人及收件人資訊不加密

  • Q41.
    請說明使用Web Mail看到電子簽章之安全性以及無法進行驗簽之處理方式。

    使用Webmail收取經電子簽章之郵件時,會看到原始信件內容及一個p7s的數位簽章,簽章供驗證,被看到並無安全疑慮。因為Webmail伺服器不會驗簽章,而客戶端要從webmail伺服器所傳來的訊息直接進行驗簽章亦有困難,故較好的方式是讓webmail伺服器提供整封郵件的下載機制,讓使用者能將信件下載到自己的電腦透過電子郵件軟體進行簽章的驗證。

  • Q42.
    為什麼電子郵件地址要記載於憑證內?不記載會有什麼影響?

    安全電子郵件的國際標準為提高電子郵件的安全度,規定憑證中必須記載E-mail Address以便確認電子郵件發文者及收文者的身分,若憑證中沒有記載用戶的Email Address,則無法用來收發加密或簽章的安全電子郵件(Secure Email),也就是說用戶所申請的IC卡將無法與Lotus Notes, Thundbird,Outlook或Outlook Express等支援安全電子郵件的用戶軟體來搭配使用。
    GCA、XCA憑證裡面,機關、單位或組織團體之電子郵件位址會寫入憑證之憑證主體別名擴充欄位,所以可以直接使用安全電子郵件。
    MOICA所提供的折衷做法是讓申請者在戶政事務所進行憑證IC卡接受確認階段,選擇是否公佈憑證。

  • Q43.
    何謂 CSP?

    CSP(Cryptographic Service Provider) 是一個動態連結資料庫(Dynamic Link Library, DLL檔),你使用的應用程式透過CryptoAPI呼叫CSP提供的函式。利用這些功能,應用程式可以輕易的達到資料加解密、認證的功能,而不需要知道這些密碼功能的演算法。由於應用程式和CSP是分別獨立的個體,當密碼演算法更新時,只需要以新的CSP替換,而不用重新改寫或編譯應用程式,減少開發程式的成本。

  • Q44.
    請問SafeSign CSP要去那邊下載以便安裝?

    請至GCA網站儲存庫https://gca.nat.gov.tw/web2/database04.html,找尋HiCOS卡片管理工具下載進行安裝,HiCOS卡片管理工具包含支援機關單位憑證IC卡、組織團體憑證IC卡、公司商號憑證IC卡、自然人憑證IC卡的CSP。

  • Q45.
    請問設定安全電子郵件大致上的步驟?

    步驟依序如下:
    1.申請憑證
    2.請參考讀卡機安裝手冊,正確安裝讀卡機
    3.安裝IC卡驅動程式Safe Sign CPS並匯入使用者憑證
    4.匯入CA憑證
    5.於電子郵件軟體進行設定
    6.建立安全電子郵件電子管道
    詳細步驟請參考儲存庫之安全電子郵件講義。

  • Q46.
    若憑證到期或就憑證作廢更換新卡,能否透過新卡讀取舊卡加密之電子郵件?

    因為每張卡片之金鑰對均不相同,因此新卡無法解密舊卡的加密郵件。建議憑證到期先將先前用舊卡加密之資料解密後另外以其他方式安全儲存。

  • Q47.
    無法使用安全電子郵件之可能原因分析

    1.憑證中Subject Directory Attribute中並沒有記載email位址。
    2.憑證裡面憑證主體別名擴充欄位所存放的email位址和收發信的mail帳號不一致。
    3.未安裝SafeSign CSP,或安裝後被移除。

  • Q48.
    請問GPKI為安全散播GRCA自簽憑證所實施的措施

    1.國家發展委員會於91年10月30日在中國時報、聯合報、自由時報及台灣日報公布GRCA之公開金鑰值,可至圖書館影印跟所取得之GRCA自簽憑證核對。
    2.所有GPKI之IC卡內都含有一份GRCA自簽憑證,驅動程式光碟也都含有GRCA自簽憑證的安裝程式。
    3.GRCA網頁上提供了一種經由網路安全下載GRCA自簽憑證的方式。
    4.Windows XP(含以後版本)自93年第三季內建GRCA自簽憑證,Windows 2000等早期版本可透過
    Windows Update手動取得GRCA自簽憑證

  • Q49.
    請問GCA目前有哪些應用?

    可至政府憑證總管理中心(http://grca.nat.gov.tw)之[儲存庫]超連結找尋[GCA憑證下載]、[XCA憑證下載] 、[MOICA憑證下載] 、[MOEACA憑證下載]超連結下載上述CA之自身憑證。

  • Q50.
    outlook出現簽章驗證失敗處理方式為何?

    請用戶手動匯入GCA2跟New-with-Old這兩張憑證。