1 5 Table of Contents 7 8

Newsletter No. 143

中大九月推行核證機關 核實網民身分防止欺詐 難辨真假 你有沒有收過以虛假身分發出的電 郵呢? 也許,你根本不知或不曾懷疑過電 郵的真偽。但《紐約時報》曾指出:「網上 沒人知道你是狗來的。」所以,我們應有 所警惕。 對電郵如是。對網址也如是。研究 院院務會去年計劃將一些機密文件由網 上發放予所有委員閱覽,但如何確知閱 讀文件者的身分呢?委員又如何確定自己 沒有給虛假的網頁瞞騙呢?他們邀請電算 機服務中心和資訊科技服務處提供解決 方案,由是觸發本校在學界率先大規模 發展和應用核證技術。 電子加密技術 參與開發中大核證機關 (certification authority) 的電算機服務中心助理電算師 阮家和先生表示,核證機關主要應用加 密 (encrypt) 和解碼 (decrypt) 的技術,核實 用戶的身分和為文件保密。電子加密技 術的發展已有二十年,直至互聯網普及 後,才廣泛應用於個人電腦通訊。 初期的加密技術只能製造對稱的密 碼匙,只要知道對方的密碼匙,便可收 取對方的機密,故與一百個人的通訊要 有一百條不同的密碼匙,在儲存和使用 上皆不便。阮先生說,中大採用不對稱 密碼技術,一組兩條的密碼匙是相關 的,兩條密碼匙均可用作加密和解碼, 放在核證機關任人取用的稱為公開密碼 匙 (public key) ,自己留用的稱為私人密 碼匙 (private key)。 關鍵在於經私人密碼 匙加密的文件,只能由相關的公開密碼 匙解碼,反之亦然。 由於加密和解碼程序須使用一對有 關連的密碼匙,通訊雙方便要預先給予 對方一條自己的密碼匙(一般為公開密碼 匙),倘若通訊雙方並不認識,他們怎能 核實密碼匙主人的身分呢?這個疑問衍生 了核證機關的概念。 核證機關 核證機關是通訊或交易雙方的中介 者,作用是向機構、團體或個人發出數 碼證書 (digital certificate) ,以確認通訊者 的身分,使偽冒者的詐騙或惡作劇伎倆 不得逞。基本的操作概念見左下角圖示。 數碼證書 實際的運作是:核證機關會先向登 記了身分的用戶發出數碼證書,上面列 出用戶的姓名和電郵,並附連他的公開 密碼匙。數碼證書是經核證機關的私人 密碼匙加密,只要利用該核證機關的公 開密碼匙便可檢測證書的真偽,從而知 道電郵是否由證書持有人發出。 數碼簽名 為整份文件加密是最機密的做法, 但頗耗時間,而且加密後的電子檔案會 大了許多,傳送不便。電腦專家於是發 明了數碼簽名 (digital signature) ,適用於 必須證明發信者身分但文件不須保密的 通訊。方法是利用一些軟件在文件各部 分選取一些內容(稱為文摘,英文為 digest) ,再以發信者的私人密碼匙為文摘 加密。收信者收到電郵後,利用發信者 數碼證書上的公開密碼匙將數碼簽名解 碼,還原為文摘,另用軟件為文件抽取 一份文摘,便可檢測兩份文摘的內容有 沒有不同。假如不同,便表示文件在傳 送途中曾被更改。這個方法並不保證文 件在傳送途中沒有給第三者偷看過,因 為偷看者只要不改動文件內容,兩份文 摘都會相同的。 中大核證機關計劃其中一名主要成 員、資訊科技服務處電算師林成勇先生 說,在用戶的層面上,從驗證數碼證 書,以至文摘的製造、加密、解碼和檢 測,都是由電腦自動處理,用戶只要設 定了各項條件後,便不須操心。 開發中大核證機關 他透露,他們去年中激發了設立核 證機關的構思後,便著手研究合適的軟 件,發現市面發售的不是不合用,便是 價格太高,其中一款符合要求又不太 貴,卻已停產。他們退而揀選了一款共 用軟件,加以修改,並於去年十二月供 研究院院務會使用,效果良好。電算機 服務中心和資訊科技服務處則自本年初 起,於內部電郵試用,察看軟件有沒有 需要改進的地方。 整個系統的技術部分已完成,但現 在是考試季節,學生忙於溫習,接著又 放暑假,所以核證機關會在九月新學年 才全面推廣。阮家和先生說,現階段他 們會釐定申請密碼匙的程序及規章。 林成勇先生表示,密碼匙是由電腦 軟件編製的,他們可代員生製造,員生 也可利用坊間一些軟件自行製造。無論 怎樣製造,員生的公開密碼匙均由中大 核證機關保管,並存放在名為 LDAP 的伺 服器,供人取用,而員生則自行保管私 人密碼匙。 用途廣泛 有了數碼證書是否全球通行呢?「不 是。」林先生斬釘截鐵說:「這等於中大 核證機關發予你一張信用卡,對方不一 定承認它,你可能要向不同機構申請和 登記數碼證書才行。這一如你身上同時 懷有多張信用卡,視乎商店的認受而使 用不同的信用卡。」 阮先生補充說,數碼證書除可為電 子文件簽署和加密,其應用範圍更可擴 大至供網站與瀏覽者核實彼此的身分, 在線上呈報高度保密的個人資料(如教職 員更新存放於人事處的資料)和供學生查 閱自己的考試成績等。由中大核實的數 碼證書可在校內使用,至於能否在校外 通用,則要校方與校外機構達成核證聯 繫和相互認可。 香港特別行政區政府的資訊科技及 廣播局已表明會積極推動公開密碼匙的 基礎建設,並透過郵政署於本年內成立 公共核證機關,以開展公共服務電子化 計劃,便利市民網上使用政府提供的服 務如申請證件、報稅等,以及全面開展 電子交易。屆時,只要中大的核證機關 與政府的公共核證機關聯繫起來,員生 的數碼證書用途應會很廣泛。 蔡世彬 都只是一些電子檔案 密碼匙固然不像房門或抽屜的鑰匙,也不像提款卡般有一組六個的數目 字。它其實是一個電子檔案,包含一長串的符號,並且具有加密和解碼的功 能。私人密碼匙可存放在磁碟或硬碟,要輸入密碼(這個才像提款卡密碼)才 能啟動。 數碼證書和數碼簽名都是一些電子檔案。前者像畢業證書般,依據核證 機關的不同而有不同的設計,但證書上總有一些可閱讀的資料;後者並非真 的簽名,只是一大堆沒有意義的字母和符號。 中大通訊 3 第一四三期 一九九九年四月四日

RkJQdWJsaXNoZXIy NDE2NjYz