電子身份識別、電子簽名同資訊系統安全

目錄

• 1. 引言
• 2. 電子身份識別元素概覽
  • 2.1 基於知識嘅認證
  • 2.2 生物特徵認證
  • 2.3 基於擁有物嘅認證
• 3. 電子簽名：定義同功能
  • 3.1 證書類別
  • 3.2 實際應用
• 4. 技術細節同數學框架
• 5. 實驗結果同圖表說明
• 6. 案例研究：網上銀行嘅多重因素認證
• 7. 未來應用同發展方向
• 8. 原始分析
• 9. 參考文獻

1. 引言

資訊系統嘅安全越來越依賴一系列現代安全技術，包括防火牆、加密方法同電子簽名。其中一個關鍵組件係認證技術，佢確保用戶身份嘅可靠驗證。認證可以透過三種主要方法進行：基於用戶知識、基於生物特徵同基於擁有身份識別元素。強認證會結合呢啲方法，例如喺銀行客戶關係中用嚟提款嘅ATM，或者用SIM卡加PIN碼嘅流動網絡客戶。

2. 電子身份識別元素概覽

2.1 基於知識嘅認證

基於知識嘅認證，主要係透過靜態密碼，係最古老同最常見嘅技術。佢內置喺操作系統同應用程式入面，唔使額外成本。不過，佢係最唔安全嘅，因為有密碼被猜測、被盜竊嘅風險，而且多個密碼嘅泛濫會導致唔安全嘅做法，例如將佢哋寫低。更安全嘅替代方案包括動態密碼（每次會話生成嘅一次性密碼）同單一登錄（SSO）策略，呢個策略可以減輕電子商務環境中用戶同管理員管理多個憑證嘅負擔。

2.2 生物特徵認證

生物特徵認證利用獨特嘅身體或行為特徵。方法包括：

• 指紋掃描：使用電容、光學、超聲波、熱感或壓力感應器。超聲波感應器好準確但好貴。一個主要弱點係可以用假指紋嚟欺騙。
• 視網膜同虹膜掃描：視網膜掃描複雜且有侵入性；透過相機嘅虹膜掃描比較簡單同有前景，不過仍然好貴。
• 面部識別：使用神經網絡同人工智能嚟學習同比較面部特徵。
• 語音識別：冇其他方法咁可靠，會受疾病或背景噪音影響，但成本低同冇侵入性。
• 按鍵動力學：分析打字模式（按鍵嘅時間）嚟檢測冒充者，即使密碼被盜都冇用。

2.3 基於擁有物嘅認證

呢個類別包括實體令牌，例如智能卡、認證計算器（例如生成一次性密碼嘅RSA SecurID令牌）同SIM卡。呢啲通常會同知識因素（PIN）結合，用嚟實現強認證。

3. 電子簽名：定義同功能

電子簽名係手寫簽名嘅數碼等價物，提供真實性、完整性同不可否認性。佢係基於公開金鑰基礎設施（PKI），使用非對稱加密技術。簽署者使用私鑰嚟創建簽名；接收者使用簽署者嘅公鑰嚟驗證佢。

3.1 證書類別

數碼證書由認證機構（CA）發出，將公鑰綁定到一個身份。類別包括：

• 第1類：電郵證書，只驗證電郵地址。
• 第2類：個人身份證書，需要身份驗證。
• 第3類：適用於組織同軟件發佈商嘅高保證證書。

3.2 實際應用

實際使用涉及獲取數碼證書、簽署外發電郵、接收已簽署訊息同驗證簽名。隨住立法支持，電子簽名嘅使用正在增長，並擴展到所有行業，包括政府、金融同醫療保健。

4. 技術細節同數學框架

電子簽名依賴非對稱加密技術。簽名生成同驗證過程可以用數學方式描述。設 $H(m)$ 為訊息 $m$ 嘅加密哈希值。簽名 $s$ 計算為 $s = E_{priv}(H(m))$，其中 $E_{priv}$ 係使用簽署者私鑰嘅加密函數。驗證涉及計算 $H(m)$ 並將佢同 $D_{pub}(s)$ 比較，其中 $D_{pub}$ 係使用公鑰嘅解密函數。如果 $H(m) = D_{pub}(s)$，簽名就係有效。

對於RSA，簽名係 $s = H(m)^d \mod n$，驗證係檢查 $H(m) = s^e \mod n$，其中 $(e, n)$ 係公鑰，$d$ 係私鑰。

5. 實驗結果同圖表說明

雖然PDF冇提供明確嘅實驗數據，但我哋可以描述一個典型嘅認證系統架構。圖1（以文字描述）展示咗一個多重因素認證流程：

• 步驟1：用戶輸入用戶名同靜態密碼（知識因素）。
• 步驟2：系統提示輸入來自硬件令牌嘅一次性密碼（擁有物因素）。
• 步驟3：系統可選地要求進行生物特徵掃描（指紋或虹膜）（固有因素）。
• 步驟4：所有因素都針對認證伺服器進行驗證；只有全部通過先會授予存取權限。

實證研究（例如來自NIST）顯示，同淨係用密碼相比，多重因素認證可以將帳戶被入侵嘅風險降低超過99%。生物特徵系統有唔同嘅準確度：指紋掃描器嘅錯誤接受率（FAR）約為0.001%，錯誤拒絕率（FRR）約為1-2%；虹膜識別嘅FAR可以低至0.0001%。

6. 案例研究：網上銀行嘅多重因素認證

場景：一間銀行為網上交易實施強認證。

• 因素1（知識）：用戶輸入靜態密碼。
• 因素2（擁有物）：用戶透過SMS或硬件令牌收到一次性密碼（OTP）。
• 因素3（固有）：對於高價值交易，用戶需要使用手機應用程式掃描指紋。

結果：即使密碼被盜，系統都可以防止未經授權嘅存取，因為攻擊者仲需要OTP令牌同用戶嘅指紋。根據行業報告，呢個可以將欺詐減少95%。

7. 未來應用同發展方向

電子身份識別同簽名嘅未來在於：

• 行為生物特徵：基於用戶行為（滑鼠移動、打字節奏、步態）嘅持續認證，唔需要明確操作。
• 抗量子密碼學：開發能夠抵抗量子計算攻擊嘅簽名算法（例如基於格嘅簽名）。
• 去中心化身份（DID）：使用區塊鏈實現自我主權身份，用戶可以控制自己嘅憑證，而唔需要中央機構。
• FIDO2/WebAuthn：使用公開金鑰密碼學實現無密碼認證嘅標準，已經被主要平台採用。
• 人工智能增強生物特徵：用深度學習模型實現更準確同更難欺騙嘅生物特徵識別。

8. 原始分析

核心見解：呢份PDF提供咗認證同電子簽名嘅基礎概覽，但佢嘅價值在於突出安全同可用性之間嘅取捨——呢個張力喺現代網絡安全中仍然係核心問題。

邏輯流程：論文從簡單嘅密碼方法進展到生物特徵同PKI，邏輯上為多重因素認證建立咗論據。不過，佢喺討論實施挑戰同現實世界攻擊向量方面缺乏深度。

優點同缺點：優點包括清晰分類認證因素同實際解釋電子簽名工作流程。一個主要缺點係遺漏咗現代威脅，例如抗釣魚認證、針對生物特徵感應器嘅側通道攻擊，以及PKI嘅可擴展性問題。論文亦冇處理多重因素系統嘅可用性負擔，呢個負擔經常導致用戶採取變通方法。

可行見解：組織應該優先考慮抗釣魚MFA（例如FIDO2），而唔係基於SMS嘅OTP。對於電子簽名，採用符合eIDAS（歐盟）或類似框架嘅合格證書可以確保法律效力。投資行為生物特徵可以提供持續認證，而唔會干擾用戶體驗。正如美國國家標準與技術研究院（NIST）喺SP 800-63B中指出，密碼政策應該專注於長度而唔係複雜度，生物特徵系統應該有活體檢測嚟防止欺騙。

9. 參考文獻

1. Horovčák, P. (2002). Elektronická identifikácia, elektronický podpis a bezpečnosť informačných systémov. Acta Montanistica Slovaca, 7(4), 239-242.
2. NIST. (2020). Digital Identity Guidelines (SP 800-63B). National Institute of Standards and Technology.
3. Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2), 120-126.
4. Jain, A. K., Ross, A., & Prabhakar, S. (2004). An introduction to biometric recognition. IEEE Transactions on Circuits and Systems for Video Technology, 14(1), 4-20.
5. FIDO Alliance. (2021). FIDO2: WebAuthn & CTAP Specification. Retrieved from https://fidoalliance.org/specifications/
6. European Parliament. (2014). Regulation (EU) No 910/2014 on electronic identification and trust services (eIDAS).