数位签章与电子签章的差异.PPT

數位簽章的產生流程 再以傳送者的私鑰對摘要加密, 所產生的結果便是數位簽章。這裡要強調的是：不是對整份電子文件加密, 而是對摘要加密！換言之, 即使文件長度從 1 KB 增加到 10 MB, 因為所產生的摘要都是同樣長度, 所以這加密步驟所花費的時間並不會增加。 數位簽章的產生流程 事實上, 第 2 步驟的動作就是一般人所謂的『簽署』（Sign）, 而所產生的結果在法律上稱為『簽體』。但是日常生活中很少人使用簽體這個名詞, 還是習慣稱為數位簽章。 產生數位簽章後, 將它附在電子文件資料一併傳送出去。對方收到這份附上數位簽章的電子文件後, 便會透過下列步驟查驗文件的正確性和寄件人的身分： 數位簽章的產生流程 數位簽章的產生流程 接收端收到附有數位簽章的電子文件後, 便用 A 君的公鑰將數位簽章解密, 得到一份文件摘要, 假設稱為 D1；並使用雜湊函數（與第 1 步驟所用的雜湊函數相同）同樣對文件資料產生一份文件摘要, 假設稱為 D2。 若 D1 與 D2 不同, 問題可能出在 D1－發送者根本不是 A 君, 所以用 A 君的公鑰解密而得的 D1 不是正確的摘要；或者問題在於 D2－文件資料遭竄改, 以致於 D2 並非正確的摘要。 16-5-2 數位簽章與電子簽章的差異 台灣於 2002 年 4 月 1 日實施電子簽章法, 為電子文件和電子簽章建立了法源依據, 賦予它們法律效力。 可是許多人常常將數位簽章與電子簽章混淆, 以為兩者是同樣的東西。其實當初制定電子簽章法時, 就已經對兩者做了以下的釐清： 數位簽章與電子簽章的差異 數位簽章（Digital Signature）係指對於電子文件以數學或其他方式, 轉換為特定長度的數位資料（也就是前文所述的『文件摘要』）, 再以簽署人私鑰對該資料加密而形成數位簽章, 並得以簽署人公鑰加以驗證者。 電子簽章（Electronic Signature）則包括了數位簽章, 及使用指紋、聲紋、視網膜、DNA、靜脈紋路等等生物辨識技術所製作的資料。 數位簽章與電子簽章的差異 所以電子簽章的涵蓋面比數位簽章更廣、在應用上更有彈性, 這也正是立法院將『數位簽章法』改名為『電子簽章法』的原因。 既然電子簽章的定義這麼廣, 是不是任何一種辨識技術所製作的資料, 都能成為電子簽章呢？ 數位簽章與電子簽章的差異 其實依據電子簽章法的規定, 必須具備以下 3 要件才能視為電子簽章： 1. 電子簽章必須依附在電子文件上。 2. 必須能利用電子簽章辨識簽署人的身分。 3. 必須能利用電子簽章辨識電子文件的真偽。 舉例而言, 小明將自己的簽名以掃描器輸入成為圖檔, 將此簽名圖檔附在電子文件上傳送給小華, 那麼該簽名圖檔能否視為電子簽章呢？此文件是否具有法律效力呢？ 數位簽章與電子簽章的差異 由於小華無法從簽名圖檔判斷該文件確實是小明傳來的（因為曾收過簽名圖檔的人, 都可以利用該圖檔冒充小明）；更無法判斷文件內容是否被竄改（因為修改文件內容不影響簽名圖檔）。 所以簽名圖檔雖然符合第 1 要件, 但是卻不符合第 2、3 要件, 不能視為電子簽章。而該電子文件既然未經有效的簽章確認, 便不具法律效力。 16-6 公開金鑰基礎建設（PKI） 簡言之, 公開金鑰基礎建設（PKI, Public Key Infrastructure）泛指將公鑰加解密相關技術實用化時, 所需的一切規範與建設。或許讀者會疑惑：為何要特別規範呢？因為當人們想把這些技術廣泛應用到日常生活時, 發現面臨了以下問題： 公開金鑰基礎建設（PKI） 既然可以將公鑰公布給大眾知道, 那麼應該將公鑰存放在哪部電腦？又該透過什麼管道公布呢？難道得自己架設一部 24 小時不關機的網站, 並在在各大媒體刊登廣告, 通知大家來下載嗎？ 如何防止某乙以自己的公鑰冒充某甲的公鑰？如果多個網站都有某甲的公鑰, 如何辨識哪一把才是正牌的公鑰？ 公開金鑰基礎建設（PKI） 以上問題的關鍵在於, 需要一個具有公信力的機構（姑且稱為『發鑰機構』）, 在確認某甲的身分之後, 才製作出某甲專屬的公鑰與私鑰, 公鑰由發鑰機構統一保管與公布；私鑰則發給某甲自行保管。大家一律使用這個發鑰機構所公布的公鑰, 不使用其他來源的公鑰。如此便能相信這把公鑰所代表的身分確實是某甲。 16-6-1 公鑰憑證 在實作上, 發鑰機構在發布公鑰時, 為了防止偽造, 會將公鑰與申請人姓名、發放日期、序號、有效期限、發鑰機構名稱和發鑰機構的數位簽章等等資訊整合在一起, 成為一份公鑰憑證（Public Key Certificate）, 又稱為數位憑證（Digital Certificate）, 通常簡稱為憑證（Certificate）。 公鑰憑證 我們從憑證可以得知裡面的公鑰是代表誰？由哪個機構所核發？採用哪種加密