電子商務資訊安全 網路資訊安全
不確定性對購物意願之影響 2019/5/11
資訊安全特性 目的在於達成: → 資訊安全機制降低不確定性 機密性 (Confidentiality) 識別性 (Authentification) 完整性 (Integrity) 無法否認性 (Non-Repudiation) → 資訊安全機制降低不確定性 2019/5/11
網路安全攻擊 常見的形式: 中斷 (Interrupt) 介入 (Interception) 篡改 (Modification) 假造 (Fabrication) 2019/5/11
中斷 (Interrupt) 訊息沒被收到! 2019/5/11
介入 (Interception) 資料被截取竊讀! 2019/5/11
篡改 (Modification) 收到錯誤訊息! 2019/5/11
假造 (Fabrication) 收到偽造訊息! 2019/5/11
身份識別 為確認進行交易的是當事人本人 現行常見的身份識別機制 資料詢問 (Ex:身份證) 印章 簽名 密碼 (可能被破解盜用) 數位簽章 2019/5/11
身份識別-2 新型的身份識別機制 無需電子證書的數位簽章 生物特徵識別 動態簽章識別 銀行直接從資料庫中取出客戶金鑰進行驗證,效率較高。 避免PKI的複雜程序。 省去建立CA的成本。 能在對客戶原先習慣造成最少改變的情況下,提高識別效率的安全機制。 生物特徵識別 指紋、掌紋、視網膜、聲紋、臉部特徵識別。 動態簽章識別 參考簽章的速度與力道 2019/5/11
加密技術 2019/5/11
加密技術 -2 加密技術的精神 公正第三者: 訊息加解密的方式,又可分為兩大類: 運用加解密技術,將訊息轉換為密文 (Cipher text)。所以即使訊息在中途遭到攔截,其也無法解讀。 通訊雙方共享某機密資訊,例如加解密用的金鑰 (Key)。唯有擁有此資訊者,才能解讀加密過的訊息。 公正第三者: 擔任機密資訊 (如金鑰) 的保管與分配。 當通訊雙方發生爭議時,則可扮演仲裁者的角色。 負責認證通訊雙方的身份,並核發公開金鑰證書。 訊息加解密的方式,又可分為兩大類: 對稱式密碼系統 (Symmetric Key Cryptosystem) 非對稱式密碼系統 (Asymmetric Key Cryptosystem) 2019/5/11
對稱式密碼系統 Private Key Cryptosystem 使用者必須產生一把自己的金鑰 (Key),由數個位元 (Byte) 所組成 並用這把金鑰與資料作數位運算,以產生「密文 (Cipher text)」 2019/5/11
對稱式密碼系統 -2 私鑰 私鑰 加密 解密 演算法 演算法 密文 原文 原文 2019/5/11
對稱式密碼系統 -3 資料加密標準 Data Encryption Standard,簡稱 DES 基本原理,就是混淆 (Confusion) 及擴散 (Diffusion)。 所謂混淆,就是將明文轉換成其它的樣子 所謂擴散,則是指明文中的任何一個小地方的變更,都將之擴散到密文的各部分 DES最主要的優點就在於加解密速度快,並且可以用硬體實作。 主要的缺點,就在於金鑰的傳輸過程必須絕對地安全。 2019/5/11
非對稱式密碼系統 公開金鑰加密法 Public Key Encryption 其中一把可以向他人公開的,稱為「公鑰 (Public Key)」,另一把必須自己保存,且不可公開的稱為「私鑰 (Private Key)」 非對稱式密碼系統具有下列工作項目: 金鑰管理 (Key Management) 數位簽章 (Digital signature) 資料真確性 (Integrity) 無法否認性 (Non-repudiation) 2019/5/11
非對稱式密碼系統-2 以公鑰加密 以私鑰解密 加密 解密 演算法 演算法 密文 原文 原文 2019/5/11
非對稱式密碼系統-3 非對稱式加密法的運作方式如下: RSA技術 有加密速度較慢的問題 假設B小姐想傳送機密資料給A先生。 即使中途被截取,也無法揭露訊息內容。 RSA技術 Rivest、Shamir、 Adleman三位學者發表的 RSA原理,其運作主要來自以下數學原理: 尤拉函數(Euler’s Function) 費碼定理(Fermat’s Theorem) 尤拉定理(Euler’s Theorem) 有加密速度較慢的問題 2019/5/11
數位簽章 (Digital Signature) 主要在確定兩件事情: 這份文件到底是不是B先生的「親筆簽名」? 如果檢查通過後,再確認文件在傳遞過程中有無被他人竄改過。 2019/5/11
數位簽章之產生 雜湊函數 私鑰 2019/5/11
數位簽章之解讀 雜湊函數 公鑰 2019/5/11
電子憑證 電子憑證 (Digital Certificate) 又稱「數位證書」 電子憑證的內容包括以下欄位: 主要是用來證明公鑰效力的電子證書。 相當於我們在網路上的證明文件,證明這一把公鑰的擁有者就是證書上所記載的使用者。 電子憑證的內容包括以下欄位: 版本 (Version) 序號 (Serial Version) 演算法 (Algorithm Identifier) 發證者 (Issuer) 發證者識別碼 (Issuer Unique Identifier) 使用者 (Subject) 使用者識別碼 (Subject Unique Identifier) 公鑰資訊 (Public Key Information) 有效日期 (Period of Validity) 2019/5/11
電子憑證 認證中心 (Certification Authority,簡稱 CA) 「憑證路徑」(Certificate Path) ITU-T的 X.509,可說是金鑰管理系統的始祖。 TTP:可信賴之第三者 (Trusted Third Party) ; 公鑰之認證單位。 若要讓這份電子憑證獲得信賴,則必須由一個可以信賴的來源為此份證書作背書,而此信賴的來源稱為認證中心,其乃負責發出公開金鑰的使用憑證。買賣雙方在獲得自己的憑證後,在未來進行電子交易時可用以表明自己身份並確認對方的身份,以防止交易雙方事後否認交易的事情發生。 「憑證路徑」(Certificate Path) 不同階層的CA中心之間,依照簽發憑證與背書的先後順序,建立了一個可以獲得信任的路徑。 2019/5/11
電子憑證的申請與匯入 2019/5/11