電子識別、簽章與資訊系統安全

目錄

• 1. 簡介
• 2. 電子識別元素概述
  • 2.1 知識基礎驗證
  • 2.2 生物辨識驗證
  • 2.3 持有基礎驗證
• 3. 電子簽章：定義與功能
  • 3.1 憑證類別
  • 3.2 實際應用
• 4. 技術細節與數學架構
• 5. 實驗結果與圖表說明
• 6. 案例研究：電子銀行中的多因子驗證
• 7. 未來應用與發展方向
• 8. 原始分析
• 9. 參考文獻

1. 簡介

資訊系統的安全性日益依賴於一系列現代安全技術，包括防火牆、加密方法及電子簽章。其中，驗證技術是關鍵組成部分，能確保使用者身分的可靠核實。驗證可透過三種主要方式進行：基於使用者知識、基於生物特徵，以及基於持有識別元素。強驗證結合了這些方法，例如在客戶與銀行關係中用於ATM提款，或行動網路客戶使用搭載PIN碼的SIM卡。

2. 電子識別元素概述

2.1 知識基礎驗證

知識基礎驗證，主要透過靜態密碼，是最古老且最常見的技術。它已整合至作業系統與應用程式中，無需額外成本。然而，這也是最不安全的做法，因為存在密碼被猜測、遭竊，以及多組密碼氾濫導致使用者採取不安全行為（如寫下密碼）等風險。更安全的替代方案包括動態密碼（每次連線產生的一次性密碼）以及單一登入（SSO）策略，後者在電子商務環境中能減輕使用者與管理員管理多組憑證的負擔。

2.2 生物辨識驗證

生物辨識驗證利用獨特的生理或行為特徵。方法包括：

• 指紋掃描：使用電容式、光學式、超音波、熱感應或壓力感測器。超音波感測器精確度極高，但價格昂貴。主要弱點在於可能被人造指紋欺騙。
• 視網膜與虹膜掃描：視網膜掃描複雜且具侵入性；透過相機進行的虹膜掃描較簡單且更具前景，但仍成本高昂。
• 臉部辨識：使用神經網路與人工智慧學習並比對臉部特徵。
• 語音辨識：可靠性低於其他方法，易受生病或背景噪音影響，但成本低且不具侵入性。
• 按鍵動態學：分析打字模式（按鍵時間間隔），即使密碼遭竊也能偵測出冒充者。

2.3 持有基礎驗證

此類別包含實體令牌，例如智慧卡、驗證計算器（如產生一次性密碼的RSA SecurID令牌）以及SIM卡。這些通常會與知識因子（PIN碼）結合，以實現強驗證。

3. 電子簽章：定義與功能

電子簽章是手寫簽章的數位對應物，提供真實性、完整性及不可否認性。它基於公開金鑰基礎建設（PKI），使用非對稱加密技術。簽署者使用私密金鑰建立簽章；接收者則使用簽署者的公開金鑰進行驗證。

3.1 憑證類別

數位憑證由憑證授權機構（CA）簽發，將公開金鑰與身分綁定。類別包括：

• 第1類：電子郵件憑證，僅驗證電子郵件地址。
• 第2類：個人身分憑證，需進行身分驗證。
• 第3類：適用於組織與軟體發行商的高保證憑證。

3.2 實際應用

實際應用包括取得數位憑證、簽署外寄電子郵件、接收已簽署訊息，以及驗證簽章。隨著立法支持，電子簽章的使用日益增長，並擴展至所有領域，包括政府、金融及醫療保健。

4. 技術細節與數學架構

電子簽章依賴於非對稱加密技術。簽章產生與驗證過程可用數學方式描述。令 $H(m)$ 為訊息 $m$ 的密碼學雜湊值。簽章 $s$ 計算為 $s = E_{priv}(H(m))$，其中 $E_{priv}$ 是使用簽署者私密金鑰的加密函數。驗證涉及計算 $H(m)$ 並將其與 $D_{pub}(s)$ 進行比較，其中 $D_{pub}$ 是使用公開金鑰的解密函數。若 $H(m) = D_{pub}(s)$，則簽章有效。

對於RSA演算法，簽章為 $s = H(m)^d \mod n$，驗證時檢查 $H(m) = s^e \mod n$，其中 $(e, n)$ 為公開金鑰，$d$ 為私密金鑰。

5. 實驗結果與圖表說明

雖然PDF未提供明確的實驗數據，但我們可以描述一個典型的驗證系統架構。圖1（以文字描述）說明了多因子驗證流程：

• 步驟1：使用者輸入使用者名稱與靜態密碼（知識因子）。
• 步驟2：系統提示輸入來自硬體令牌的一次性密碼（持有因子）。
• 步驟3：系統可選擇要求進行生物辨識掃描（指紋或虹膜）（固有因子）。
• 步驟4：所有因子均與驗證伺服器進行比對；僅在所有因子皆通過時才授予存取權限。

實證研究（例如來自NIST）顯示，與僅使用密碼相比，多因子驗證可將帳戶被盜用的風險降低超過99%。生物辨識系統的準確度各有不同：指紋掃描器的錯誤接受率（FAR）約為0.001%，錯誤拒絕率（FRR）約為1-2%；虹膜辨識的FAR可低至0.0001%。

6. 案例研究：電子銀行中的多因子驗證

情境：一家銀行針對線上交易實施強驗證。

• 因子1（知識）：使用者輸入靜態密碼。
• 因子2（持有）：使用者透過簡訊或硬體令牌接收一次性密碼（OTP）。
• 因子3（固有）：對於高價值交易，使用者必須透過行動應用程式掃描指紋。

結果：即使密碼遭竊，該系統也能防止未經授權的存取，因為攻擊者還需要OTP令牌及使用者的指紋。根據業界報告，這可將詐騙案件減少95%。

7. 未來應用與發展方向

電子識別與簽章的未來在於：

• 行為生物辨識：基於使用者行為（滑鼠移動、打字節奏、步態）進行持續驗證，無需明確操作。
• 抗量子密碼學：開發能抵抗量子計算攻擊的簽章演算法（例如基於格密碼學的簽章）。
• 去中心化身分（DID）：使用區塊鏈實現自我主權身分，使用者無需中央機構即可控制自己的憑證。
• FIDO2/WebAuthn：使用公開金鑰密碼學進行無密碼驗證的標準，已被主要平台採用。
• AI增強生物辨識：使用深度學習模型進行更準確且能抵抗偽造的生物辨識。

8. 原始分析

核心見解：該PDF提供了驗證與電子簽章的基礎概述，但其價值在於凸顯了安全性與可用性之間的取捨——這一張力至今仍是現代網路安全的核心。

邏輯流程：本文從簡單的密碼方法逐步進展到生物辨識與PKI，邏輯性地為多因子驗證建立了論證基礎。然而，它在討論實作挑戰與真實世界攻擊向量方面缺乏深度。

優勢與缺陷：優勢包括對驗證因子的清晰分類以及對電子簽章工作流程的實用說明。一個主要缺陷是忽略了現代威脅，例如抗網路釣魚驗證、針對生物辨識感測器的旁路攻擊，以及PKI的可擴展性問題。本文也未探討多因子系統的可用性負擔，這通常會導致使用者採取變通方法。

可行見解：組織應優先採用抗網路釣魚的MFA（例如FIDO2），而非基於簡訊的OTP。對於電子簽章，採用符合eIDAS（歐盟）或類似框架的合格憑證可確保法律效力。投資行為生物辨識技術可在不干擾使用者體驗的情況下提供持續驗證。正如美國國家標準與技術研究院（NIST）在SP 800-63B中所指出的，密碼政策應側重於長度而非複雜度，且生物辨識系統應具備活體檢測功能以防止偽造。

9. 參考文獻

1. Horovčák, P. (2002). Elektronická identifikácia, elektronický podpis a bezpečnosť informačných systémov. Acta Montanistica Slovaca, 7(4), 239-242.
2. NIST. (2020). Digital Identity Guidelines (SP 800-63B). National Institute of Standards and Technology.
3. Rivest, R. L., Shamir, A., & Adleman, L. (1978). A method for obtaining digital signatures and public-key cryptosystems. Communications of the ACM, 21(2), 120-126.
4. Jain, A. K., Ross, A., & Prabhakar, S. (2004). An introduction to biometric recognition. IEEE Transactions on Circuits and Systems for Video Technology, 14(1), 4-20.
5. FIDO Alliance. (2021). FIDO2: WebAuthn & CTAP Specification. Retrieved from https://fidoalliance.org/specifications/
6. European Parliament. (2014). Regulation (EU) No 910/2014 on electronic identification and trust services (eIDAS).