中華電信憑證總管理中心憑證實務作業基準

Similar documents

智力测试故事

Microsoft Word - 强迫性活动一览表.docx

30,000,000 75,000,000 75,000, (i) (ii) (iii) (iv)

I. 1-2 II. 3 III. 4 IV. 5 V. 5 VI. 5 VII. 5 VIII. 6-9 IX. 9 X XI XII. 12 XIII. 13 XIV XV XVI. 16

Microsoft Word - Entry-Level Occupational Competencies for TCM in Canada200910_ch _2_.doc

「香港中學文言文課程的設計與教學」單元設計範本

Microsoft Word - John_Ch_1202

(b) 3 (a) (b) 7 (a) (i) (ii) (iii) (iv) (v) (vi) (vii) 57

施的年度維修工程已於 4 月 15 日完成, 並於 4 月 16 日重新開放給市民使用 ii. 天水圍游泳池的年度維修工程已於 3 月 31 日完成, 並於 4 月 1 日重新開放給市民使用 iii. 元

Microsoft Word - MP2018_Report_Chi _12Apr2012_.doc

南華大學數位論文

李天命的思考藝術

皮肤病防治.doc

中国南北特色风味名菜 _一）

509 (ii) (iii) (iv) (v) 200, , , , C 57

我非常希望该小组的建议尤其是其执行摘要能受到将于 2000 年 9 月来纽约参加千年首脑会议的所有领导人的注意这次历史性的高级别会议提供了一个独特的机会使我们能够

2015年廉政公署民意調查

_Chi.ps, page Preflight ( _Chi.indd )

2. 我沒有說實話, 因為我的鞋子其實是 [ 黑色 / 藍色 / 其他顏色.]. 如果我說我現在是坐著的, 我說的是實話嗎? [ 我說的對還是不對 ]? [ 等對方回答 ] 3. 這是 [ 實話 / 對的

<4D F736F F D203938BEC7A67EABD7B942B0CAC15AC075B3E6BF57A9DBA5CDC2B2B3B92DA5BFBD542E646F63>

(i) (ii) (iii) (iv) (v) (vi) (vii) (viii) (ix) (x) (i) (ii)(iii) (iv) (v)

Microsoft Word - COC HKROO App I _Chi_ Jan2012.doc

穨學前教育課程指引.PDF

中国南北特色风味名菜 _八）

電腦相關罪行跨部門工作小組-報告書

发展党员工作手册

目录院领导职责... 1 院长职责... 1 医疗副院长职责... 1 教学副院长职责... 2 科研副院长职责... 2 后勤副院长职责... 3 主管南院区副院长职责... 3 党委书记职责... 4

(i) (ii) (iii) (iv) (v) (vi) (vii) (viii) (ix) (x) (xi) 60.99%39.01%

兒童會 4 摩爾門經本教材專為 8-11 歲的兒童設計耶穌基督後期聖徒教會台北發行中心印行

Microsoft Word - NCH final report_CHI _091118_ revised on 10 Dec.doc

<4D F736F F D205B345DB5D8AE4CACD AECAAFC5C1C9C1DCBDD0AB48A4CEB3F8A657AAED>

歡迎您成為滙豐銀聯雙幣信用卡持卡人滙豐銀聯雙幣信用卡同時兼備港幣及人民幣戶口, 讓您的中港消費均可以當地貨幣結算, 靈活方便此外, 您更可憑卡於全球近 400 萬家特

中国民用航空规章

群科課程綱要總體課程計畫書

<4D F736F F D20B6ABD0CBD6A4C8AFB9C9B7DDD3D0CFDEB9ABCBBECAD7B4CEB9ABBFAAB7A2D0D0B9C9C6B1D5D0B9C9CBB5C3F7CAE9A3A8C9EAB1A8B8E C4EA33D4C23131C8D5B1A8CBCDA3A92E646F63>

第二輯目錄.indd 2 目錄編寫說明附 : 香港中學文憑中國語文科評核模式概述綜合能力考核考試簡介及應試技巧常用實用文文體格式及寫作技巧綜合能力分項等級描述練習一

我国服装行业企业社会责任问题的探讨.pages

Microsoft Word - Panel Paper on T&D-Chinese _as at __final_.doc

江苏宁沪高速公路股份有限公司.PDF

(2) (3) (4) (7)

Microsoft Word - Final Chi-Report _PlanD-KlnEast_V7_ES_.doc

5498 立法會 2013 年 3 月 27 日李國麟議員, S.B.S., J.P. 林健鋒議員, G.B.S., J.P. 梁君彥議員, G.B.S., J.P. 黃定光議員, S.B.S., J.P. 湯家驊議員, S.C. 何秀蘭議員李

榫卯是什麼? 何時開始應用於建築中? 38 中國傳統建築的屋頂有哪幾種形式? 40 大內高手的大內指什麼? 42 街坊四鄰的坊和街分別指什麼? 44 北京四合院的典型格局是怎樣的

尿路感染防治.doc

財務委員會審核 2014 至 2015 年度開支預算的報告 2014 年 7 月

心理障碍防治（下）.doc

<4D F736F F D20BB4FAA46BFA4B2C4A447B4C15F D313038A67E5FBAEEA658B56FAE69B9EAAC49A4E8AED72D5FAED6A977A5BB5F >

Microsoft Word - Paper on PA (Chi)_ docx

捕捉儿童敏感期

14A 0.1%5% 14A 14A

<D6D0B9FAB9C5CAB757512E6D7073>

Shandong International Trust Co., Ltd. SITC H

世界名画及画家介绍（四）.doc

飞行模拟设备的鉴定和使用规则

樹木管理專責小組報告人樹共融綠滿家園

緒言董事會宣佈, 為能更具效率調配本集團內的資金有效降低集團的對外貸款, 並促進本集團內公司間的結算服務, 於 2016 年 9 月 30 日, 本公司中糧財務與管理公司訂立財務

Teaching kit_A4_part4.indd

「保險中介人資格考試」手冊

<4D F736F F D20A4A4B0EAB371AB4FB3E65FA4A4A4E5AAA95F5F >

商丘职业技术学院

Microsoft Word 招股意向书

第四十七界水務督察理事會

Transcription:

中華電信憑證總管理中心憑證實務作業基準 epki Root Certification Authority, eca Certification Practice Statement 第 1.3 版中華民國 105 年 2 月 4 日

目錄 1 序論... 1 1.1 概要... 1 1.1.1 憑證實務作業基準... 1 1.1.2 憑證實務作業基準之適用範圍... 2 1.2 憑證實務作業基準之識別... 3 1.3 主要成員... 7 1.3.1 憑證機構... 7 1.3.2 註冊中心... 8 1.3.3 用戶... 9 1.3.4 信賴憑證者... 9 1.3.5 其他相關成員 (Other Participants)... 9 1.4 憑證用途... 10 1.4.1 憑證之適用範圍... 10 1.4.2 憑證之使用限制... 13 1.4.3 憑證之禁止使用情形... 14 1.5 聯絡方式... 15 1.5.1 憑證實務作業基準之制訂及管理機構... 15 1.5.2 聯絡資料... 15 1.5.3 憑證實務作業基準之審定... 15 1.5.4 憑證實務作業基準之審定程序... 16 1.6 名詞定義和縮寫... 17 2 公布及儲存庫之責任... 18 2.1 儲存庫... 18 2.2 中華電信憑證總管理中心之資訊公布... 19 2.3 公布頻率... 20 2.4 存取控制... 21 3 識別和鑑別程序... 21 3.1 命名... 22 i

3.1.1 命名種類... 22 3.1.2 命名須有意義... 22 3.1.3 用戶的匿名或假名... 22 3.1.4 命名形式之解釋規則... 22 3.1.5 命名之獨特性... 22 3.1.6 商標之辨識鑑別及角色... 23 3.1.7 命名爭議之解決程序... 24 3.2. 初始註冊... 24 3.2.1 證明擁有私密金鑰之方式... 24 3.2.2 組織身分鑑別之程序... 24 3.2.3 個人身分鑑別之程序... 26 3.2.4 沒有驗證的用戶訊息... 27 3.2.5 授權之確認... 27 3.2.6 互運之標準 (Criteria of Interoperation)... 28 3.3 金鑰更換請求之識別與鑑別... 29 3.3.1 憑證展期之金鑰更換... 29 3.3.2 憑證廢止之金鑰更換... 29 3.4 憑證廢止申請之識別與鑑別... 29 4 憑證生命週期營運規範... 30 4.1 申請憑證... 30 4.1.1 憑證之申請者... 30 4.1.2 註冊程序與責任... 30 4.2 申請憑證之程序... 34 4.2.1 執行識別和鑑別功能... 34 4.2.2 憑證申請之批准或拒絕... 35 4.2.3 處理憑證申請的時間... 36 4.3 簽發憑證之程序... 37 4.3.1 憑證簽發時憑證機構的作業... 37 4.3.2 憑證簽發時憑證機構對憑證申請者的通告... 37 4.4 接受憑證之程序... 38 4.4.1 構成接受憑證之事由... 38 ii

4.4.2 總管理中心之憑證發布... 39 4.4.3 總管理中心對其他實體的通告... 39 4.5 金鑰對與憑證的用途... 40 4.5.1 用戶私密金鑰與憑證的用途... 40 4.5.2 信賴憑證者與憑證的用途... 40 4.6 憑證展期... 42 4.6.1 憑證展期之事由... 42 4.6.2 憑證展期之申請者... 42 4.6.3 憑證展期之程序... 42 4.6.4 用戶進行憑證展期之注意事項... 42 4.6.5 構成接受展期憑證的行為... 42 4.6.6 憑證機構之展期憑證發布... 42 4.6.7 憑證機構對其他實體的展期憑證簽發通告... 42 4.7 憑證之金鑰更換... 43 4.7.1 憑證機構之金鑰更換的事由... 43 4.7.2 更換憑證金鑰之申請者... 44 4.7.3 憑證之金鑰更換的程序... 44 4.7.4 進行憑證金鑰更換之注意事項... 44 4.7.5 構成接受憑證更換金鑰的事由... 45 4.7.6 憑證機構之憑證更換金鑰發布... 45 4.7.7 總管理中心對其他實體的通告... 45 4.8 憑證變更... 46 4.8.1 憑證變更之事由... 46 4.8.2 憑證變更之申請者... 46 4.8.3 憑證變更的程序... 46 4.8.4 申請者進行憑證變更之注意事項... 46 4.8.5 構成接受憑證變更的事由... 47 4.8.6 憑證機構之憑證變更發布... 47 4.8.7 憑證機構對其他實體的通告... 47 4.9 憑證暫時停用及廢止... 48 4.9.1 廢止憑證之事由... 48 4.9.2 憑證廢止之申請者... 49 iii

4.9.3 憑證廢止之程序... 49 4.9.4 憑證廢止申請之寬限期... 50 4.9.5 憑證機構處理憑證廢止請求的處理期限... 51 4.9.6 信賴憑證者檢查憑證廢止的要求... 51 4.9.7 憑證機構廢止清冊之簽發頻率... 51 4.9.8 總管理中心廢止清冊發布之最大延遲時間... 51 4.9.9 線上憑證狀態查詢協定服務... 51 4.9.10 線上憑證狀態查詢協定服務之規定... 52 4.9.11 其他形式廢止公告... 52 4.9.12 金鑰被破解時之其他特殊需求... 53 4.9.13 暫時停用憑證之事由... 53 4.9.14 暫時停用憑證之申請者... 53 4.9.15 暫時停用憑證之程序... 53 4.9.16 暫時停用憑證之處理期間及停用期間... 53 4.9.17 恢復使用憑證之程序... 53 4.10 憑證狀態服務... 54 4.10.1 操作特性... 54 4.10.2 服務的可用性... 54 4.10.3 可選功能... 54 4.11 終止服務... 54 4.12 私密金鑰託管與回復... 55 4.12.1 金鑰託管與回復政策與實務... 55 4.12.2 通訊用金鑰封裝與回復政策與實務... 55 5 非技術性安全控管... 56 5.1 實體控管... 56 5.1.1 實體所在及結構... 56 5.1.2 實體存取... 56 5.1.3 電力及空調... 57 5.1.4 水災防範及保護... 57 5.1.5 火災防範及保護... 57 5.1.6 媒體儲存... 58 iv

5.1.7 廢料處理... 58 5.1.8 異地備援... 58 5.2 程序控制... 59 5.2.1 信賴角色... 59 5.2.2 角色分派... 61 5.2.3 每個任務所需之人數... 61 5.2.4 識別及鑑別每一個角色... 63 5.3 人員控管... 63 5.3.1 身家背景資格經驗及安全需求... 63 5.3.2 身家背景之查驗程序... 64 5.3.3 教育訓練需求... 64 5.3.4 人員再教育訓練之需求及頻率... 65 5.3.5 工作調換之頻率及順序... 65 5.3.6 未授權行動之制裁... 66 5.3.7 聘僱人員之規定... 66 5.3.8 提供之文件資料... 66 5.4 安全稽核程序... 67 5.4.1 被記錄事件種類... 67 5.4.2 紀錄檔處理頻率... 71 5.4.3 稽核紀錄檔保留期限... 72 5.4.4 稽核紀錄檔之保護... 72 5.4.5 稽核紀錄檔備份程序... 72 5.4.6 安全稽核系統... 72 5.4.7 對引起事件者之告知... 73 5.4.8 弱點評估... 73 5.5 紀錄歸檔之方法... 74 5.5.1 紀錄事件之類型... 74 5.5.2 歸檔之保留期限... 75 5.5.3 歸檔之保護... 75 5.5.4 歸檔備份程序... 75 5.5.5 時戳紀錄之要求... 75 5.5.6 歸檔資料彙整系統... 76 v

5.5.7 取得及驗證歸檔資料之程序... 76 5.6 金鑰更換... 77 5.7 金鑰遭破解或災變時之復原程序... 78 5.7.1 緊急事件與系統遭破解的處理程序... 78 5.7.2 電腦資源軟體或資料遭破壞之復原程序... 78 5.7.3 中華電信憑證總管理中心之簽章金鑰遭破解之復原程序.. 78 5.7.4 中華電信憑證總管理中心安全設施之災後復原工作... 78 5.7.5 中華電信憑證總管理中心之簽章金鑰憑證被廢止之復原程序 79 5.8 中華電信憑證總管理中心之終止服務... 79 6 技術性安全控管... 80 6.1 金鑰對之產製及安裝... 80 6.1.1 金鑰對之產製... 80 6.1.2 私密金鑰安全傳送給下屬憑證機構與交互認證憑證機構.. 81 6.1.3 公開金鑰安全傳送給中華電信憑證總管理中心... 81 6.1.4 中華電信憑證總管理中心公開金鑰安全傳送給信賴憑證者 81 6.1.5 金鑰長度... 82 6.1.6 公鑰參數之產製與品質檢驗... 83 6.1.7 金鑰之使用目的... 83 6.2 私密金鑰保護及密碼模組安全控管措施... 84 6.2.1 密碼模組標準及控管措施... 84 6.2.2 金鑰分持之多人控管... 84 6.2.3 私密金鑰託管... 85 6.2.4 私密金鑰備份... 85 6.2.5 私密金鑰歸檔... 85 6.2.6 私密金鑰與密碼模組間傳輸... 86 6.2.7 私密金鑰儲存於密碼模組... 86 6.2.8 私密金鑰之啟動方式... 86 6.2.9 私密金鑰之停用方式... 87 6.2.10 私密金鑰之銷毀方式... 87 6.2.11 密碼模組評等... 88 vi

6.3 下屬憑證機構與交互認證憑證機構金鑰對管理之其他規定... 88 6.3.1 公開金鑰之歸檔... 88 6.3.2 公開金鑰及私密金鑰之使用期限... 88 6.4 啟動資料之保護... 91 6.4.1 啟動資料之產生... 91 6.4.2 啟動資料之保護... 91 6.4.3 其他啟動資料之規定... 92 6.5 電腦軟硬體安控措施... 92 6.5.1 特定電腦安全技術需求... 92 6.5.2 電腦安全評等... 92 6.6 生命週期技術控管措施... 93 6.6.1 系統研發控管措施... 93 6.6.2 安全管理控管措施... 93 6.6.3 生命週期安全評等... 94 6.7 網路安全控管措施... 94 6.8 時戳... 95 7 憑證憑證廢止清冊及憑證線上狀態查詢協定服務格式剖繪 96 7.1 憑證之格式剖繪... 96 7.1.1 版本序號... 96 7.1.2 憑證擴充欄位... 96 7.1.3 演算法物件識別碼... 96 7.1.4 命名形式... 97 7.1.5 命名限制... 97 7.1.6 憑證政策物件識別碼... 97 7.1.7 政策限制擴充欄位之使用... 97 7.1.8 政策限定元之語法及語意... 98 7.1.9 關鍵憑證政策擴充欄位之語意處理... 98 7.2 憑證機構廢止清冊之格式剖繪... 98 7.2.1 版本序號... 98 7.2.2 憑證機構廢止清冊擴充欄位... 98 vii

7.3 線上憑證狀態查詢協定服務之格式剖繪... 99 7.3.1 版本序號... 99 7.3.2 線上憑證狀態查詢協定擴充欄位... 100 8 稽核方法... 101 8.1 稽核之頻率... 101 8.2 稽核人員之身分及資格... 101 8.3 稽核人員及被稽核方之關係... 102 8.4 稽核之範圍... 102 8.5 對於稽核結果之因應方式... 102 8.6 稽核結果公開之範圍... 102 9 其他業務和法律事項... 104 9.1 費用... 104 9.1.1 憑證簽發展期費用... 104 9.1.2 憑證查詢費用... 104 9.1.3 憑證廢止狀態查詢費用... 104 9.1.4 其他服務之費用... 104 9.1.5 請求退費之程序... 104 9.2 財務責任... 105 9.2.1 財務保險... 105 9.2.2 其他資產... 105 9.2.3 對終端個體之保險或保固責任... 105 9.3 業務資訊之保密... 106 9.3.1 機密資訊之範圍... 106 9.3.2 非機密資訊之範圍... 106 9.3.3 保護機密資訊之責任... 107 9.4 個人資訊之隱私... 107 9.4.1 隱私保護計畫... 107 9.4.2 隱私資料之種類... 107 9.4.3 非隱私資訊... 108 9.4.4 保護隱私資訊的責任... 108 viii

9.4.5 使用隱私資訊的公告與同意... 108 9.4.6 應司法或管理程序釋出資訊... 108 9.4.7 其他資訊釋出之情形... 109 9.5 智慧財產權... 109 9.6 承諾和擔保... 110 9.6.1 總管理中心之承諾和擔保... 110 9.6.2 註冊中心之承諾和擔保... 111 9.6.3 下屬憑證機構及交互認證憑證機構之承諾和擔保... 111 9.6.4 信賴憑證者之承諾與擔保... 114 9.6.5 其他參與者之承諾與擔保... 116 9.7 免責聲明... 116 9.8 責任限制... 117 9.9 賠償... 117 9.9.1 總管理中心之賠償責任... 117 9.9.2 下屬憑證機構與交互認證機構之賠償責任... 118 9.10 有效期限與終止... 119 9.10.1 有效期限... 119 9.10.2 終止... 119 9.10.3 效力的終止與保留... 119 9.11 主要成員間的個別通告與溝通... 119 9.12 修訂... 119 9.12.1 修訂程序... 119 9.12.2 通知機制和期限... 120 9.12.3 必須修改憑證政策物件識別碼之事由... 121 9.13 爭議解決... 121 9.14 管轄法律... 122 9.15 適用法律... 122 9.16 雜項條款... 122 9.16.1 完整協議 (Entire Agreement)... 122 9.16.2 轉讓... 122 ix

9.16.3 可分割性... 122 9.16.4 契約履行... 123 9.16.5 不可抗力... 123 9.17 其他條款... 123 附錄 1: 縮寫和定義... 124 附錄 2: 名詞解釋... 127 x

摘要中華電信憑證總管理中心憑證實務作業基準之重要事項說明如下 : ( 依據電子簽章法第 11 條及經濟部頒訂之憑證實務作業基準應載明事項準則之規定 ) 1 主管機關核定文號 : 經商字第 10502201620 號 2 簽發之憑證 : (1) 種類 : 中華電信憑證總管理中心 ( 以下簡稱總管理中心 ) 之自簽憑證自發憑證簽發給下屬憑證機構之下屬憑證機構憑證與簽發給交互認證憑證機構之交互憑證 (2) 保證等級 : 依據中華電信公開金鑰基礎建設憑證政策, 簽發 5 種保證等級的憑證 (3) 適用範圍 : 自簽憑證之簽發對象為總管理中心本身, 內含總管理中心的公開金鑰, 可用來驗證總管理中心簽發之下屬憑證機構憑證交互憑證與憑證機構廢止清冊的數位簽章自發憑證為總管理中心更換金鑰或憑證政策所簽發之憑證, 用以建立新舊金鑰間或憑證政策互通信賴路徑之用下屬憑證機構憑證之簽發對象為中華電信公開金鑰基礎建設之下屬憑證機構下屬憑證機構憑證內含下屬憑證機 xi

構的公開金鑰, 可用來驗證下屬憑證機構所簽發之憑證與憑證廢止清冊的數位簽章交互憑證之簽發對象為與總管理中心進行交互認證之另一公開金鑰基礎建設的根憑證機構 (Root Certification Authority, Root CA), 亦即此憑證機構為中華電信公開金鑰基礎建設外之憑證機構交互憑證內含交互認證憑證機構的公開金鑰, 可用來驗證該憑證機構簽發之憑證與憑證機構廢止清冊的數位簽章 3 法律責任重要事項 : (1) 下屬憑證機構交互認證憑證機構或信賴憑證者如未依照憑證實務作業基準規定之適用範圍使用憑證所引發之後果, 總管理中心不負任何法律責任 (2) 與總管理中心交互認證之憑證機構, 因簽發憑證或使用憑證而發生損害賠償事件時, 總管理中心之損害賠償責任以本作業基準及與各該交互認證機構簽訂之契約所訂定之責任範圍為限 (3) 如因不可抗拒及其他非可歸責於總管理中心之事由, 所導致之損害事件, 總管理中心不負任何法律責任 (4) 如因總管理中心之系統維護轉換及擴充等需要, 得暫停 xii

部分憑證服務, 並公告於儲存庫及通知憑證機構, 信賴憑證者下屬憑證機構或交互認證憑證機構不得以此作為要求總管理中心損害賠償之理由 4 其他重要事項 : (1) 總管理中心直接受理憑證註冊與廢止申請等工作, 因此不另設立註冊中心 (2) 總管理中心簽發之憑證, 依不同保證等級有不同之適用範圍, 下屬憑證機構或交互認證憑證機構於提出下屬憑證機構憑證申請或交互認證申請時, 必須敘明所申請憑證之保證等級 (3) 申請下屬憑證機構憑證或交互認證之憑證機構必須自行產製私密金鑰, 並妥善保管及使用 (4) 在憑證機構接受總管理中心所簽發之憑證後, 即表示該憑證機構已確認憑證內容資訊之正確性 (5) 下屬憑證機構或交互認證憑證機構如有廢止憑證之必要時, 應儘速通知總管理中心, 並應遵守憑證實務作業基準規定程序辦理, 但下屬憑證機構或交互認證憑證機構於憑證廢止狀態未被公布之前, 應先行採取適當的行動, 以減少對下屬憑證機構或交互認證憑證機構或信賴憑證者之 xiii

影響, 並承擔所有因使用該憑證所引發之法律責任 (6) 信賴憑證者在使用總管理中心簽發之憑證時, 應先確認該憑證之正確性有效性保證等級及用途限制 (7) 本公司將委託公正之第三方, 就中華電信憑證總管理中心與下屬憑證管理中心的運作採用 Trust Service Principles and Criteria for Certification Authorities 與 WebTrust Principles and Criteria for Certification Authorities SSL Baseline with Network Security 進行稽核 xiv

1 序論 1.1 概要 1.1.1 憑證實務作業基準本文件的名稱為中華電信憑證總管理中心憑證實務作業基準 (epki Root Certification Authority Certification Practice Statement of Chunghwa Telecom; 以下簡稱為本作業基準 ) 本作業基準係依據中華電信公開金鑰基礎建設憑證政策 (Certificate Policy for the Chunghwa Telecom ecommerce Public Key Infrastructure, 以下簡稱憑證政策 ) 所訂定, 並遵循電子簽章法之子法憑證實務作業基準應載明事項準則相關規定及國際相關標準如 Internet Engineering Task Force (IETF) RFC 3647 ITU-T X.509 IETF PKIX Working Group 的 RFC 5280 CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates CA/Browser Forum Guidelines for the Issuance and Management of Extended Validation Certificates 訂定, 本作業基準主要說明中華電信憑證總管理中心 (epki Root Certification Authority, 以下簡稱總管理中心 ) 如何遵照憑證政策保證等級第 4 級的規定, 進行自簽憑證 (Self-Signed Certificate) 自發憑證 (Self-Issued Certificate) 下屬憑證機構憑證 (Subordinate 1

CA Certificate) 及交互憑證 (Cross-Certificate) 的簽發及管理作業依據憑證政策的規定, 總管理中心是中華電信公開金鑰基礎建設 (Chunghwa Telecom ecommerce Public Key Infrastructure, epki, 簡稱本基礎建設 ) 的最頂層憑證機構, 也是本基礎建設的信賴起源 (Trust Anchor), 具備最高的公信度, 信賴憑證者可直接信賴總管理中心本身的憑證 1.1.2 憑證實務作業基準之適用範圍本作業基準所載明之實務作業規範適用於與總管理中心相關之個體, 包括總管理中心下屬憑證機構 (Subordinate CA) 交互認證憑證機構 (Subject CA) 信賴憑證者 (Relying Parties) 及儲存庫 (Repository) 等本作業基準並未授權總管理中心以外的憑證機構使用, 其他憑證機構因引用本作業基準而引發的任何問題, 概由該憑證機構自行負責 2

1.2 憑證實務作業基準之識別本作業基準為第 1.3 版, 版本發行日期為中華民國 105 年 2 月 4 日本作業基準之最新版本可在以下網頁取得 : http://eca.hinet.net 或 http://epki.com.tw 本作業基準依據憑證政策訂定, 總管理中心之運作遵照憑證政策保證等級第 4 級之規定, 所簽發之憑證保證等級共分 5 級, 下表為在 id-cht arc 註冊的憑證政策物件識別碼 : id-cht ::= {2 16 886 1} id-cht-epki ::= {2 16 886 1 100} id-cht-epki-certpolicy::= {id-cht-epki 0} 保證等級物件識別碼名稱物件識別碼值測試級第 1 級第 2 級第 3 級第 4 級 id-cht-epki-certpolicy-testassuran ce id-cht-epki-certpolicy-class1assur ance id-cht-epki-certpolicy-class2assur ance id-cht-epki-certpolicy-class3assur ance id-cht-epki-certpolicyclass4assurance {id-cht-epki-certpolicy 0} {id-cht-epki-certpolicy 1} {id-cht-epki-certpolicy 2} {id-cht-epki-certpolicy 3} {id-cht-epki-certpolicy 4} 前述物件識別碼其數值自民國 103 年 12 月起將依照憑證政策 v1.1 版漸進移轉使用於網路通訊協定註冊中心 (Internet Assigned Numbers Authority, IANA) 註冊之私人企業數值 (Private Enterprise 3

Number,PEN) 註冊的 id-pen-cht arc 的憑證政策物件識別碼 id-pen-cht ::= {1 3 6 1 4 1 23459} id-pen-cht-epki ::= {1 3 6 1 4 1 23459 100} id-pen-cht-epki-certpolicy::= { id-pen-cht-epki 0} 保證等級物件識別碼名稱物件識別碼值測試級第 1 級第 2 級第 3 級第 4 級 id-pen-cht-epki-certpolicy-testass urance id-pen-cht-epki-certpolicy-class1a ssurance id-pen-cht-epki-certpolicy-class2a ssurance id-pen-cht-epki-certpolicy-class3a ssurance id-pen-cht-epki-certpolicyclass4assurance {id-pen-cht-epki-certpo licy 0} {id-pen-cht-epki-certpo licy 1} {id-pen-cht-epki-certpo licy 2} {id-pen-cht-epki-certpo licy 3} {id-pen-cht-epki-certpo licy 4} 下屬憑證管理中心所簽發之 SSL 類伺服器軟體憑證若符合 CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, 並通過 AICPA/CPA WebTrust for Certification Authorities SSL Baseline Requirements and Network Security 外稽, 將允許下屬憑證管理中心及其所簽發之 SSL 伺服器軟體憑證使用 CA/Browser Forum 之組織驗證 (Organization Validation, OV) SSL 憑證政策物件識別碼 ({joint iso itu t(2) international organizations(23) ca browser forum(140) certificate policies(1) baseline requirements(2) 4

organization-validated(2)} (2.23.140.1.2.2) ) 網域驗證 (Domain Validation, DV) SSL 憑證政策物件識別碼 ({joint iso itu t(2) international organizations(23) ca browser forum(140) certificate policies(1) baseline requirements(2) domain validated(1)} (2.23.140.1.2.1)) 與個人驗證 (Individual Validation, IV)SSL 憑證政策物件識別碼 ({joint iso itu t(2) international organizations(23) ca browser forum(140) certificate policies(1) baseline requirements(2) individual-validated(3)} (2.23.140.1.2.3)) 下屬憑證機構其 SSL 憑證簽發符合 CA/Browser Forum Guidelines for the Issuance and Management of Extended Validation Certificates 並和應用軟體廠商 ( 如瀏覽器或作業系統廠商 ) 個別商議其所支援之憑證處置方式, 下屬憑證機構的憑證及用戶之 SSL 憑證可使用 CA/Browser Forum 之延伸驗證 (Extended Validation, EV) SSL 憑證政策物件識別碼 ({joint iso itu t(2) international organizations(23) ca browser forum(140) certificate policies(1) ev-guidelines (1) }(2.23.140.1.1)) 本作業基準符合在憑證機構與瀏覽器論壇 (CA/Browser Forum) 網站 http://www.cabforum.org 發行的 Baseline Requirements for the 5

Issuance and Management of Publicly-Trusted Certificates 及 Guidelines for the Issuance and Management of Extended Validation Certificates 現行正式版本, 若有任何本作業基準與 Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates 及 Guidelines for the Issuance and Management of Extended Validation Certificates 現行正式版本對於根憑證機構規定不一致的情形, 將優先遵循 Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates 及 Guidelines for the Issuance and Management of Extended Validation Certificates 的條款 6

1.3 主要成員本作業基準之主要成員包括 : (1) 中華電信憑證總管理中心 (2) 下屬憑證機構 (3) 交互認證憑證機構 (4) 信賴憑證者 1.3.1 憑證機構 1.3.1.1 中華電信憑證總管理中心總管理中心是本基礎建設的信賴起源, 除負責簽發管理總管理中心及本基礎建設第 1 層之下屬憑證機構 (Level 1 Subordinate CA) 的憑證外, 並與本基礎建設領域外其他公開金鑰基礎建設之根憑證機構 (Root CA) 進行交互認證 (Cross-Certification), 簽發和管理本基礎建設外之憑證機構的交互憑證總管理中心直接受理憑證註冊與廢止申請等工作, 負責蒐集及驗證下屬憑證機構交互認證憑證機構之身分及憑證相關資訊, 不另設立註冊中心 (Registration Authority, RA) 1.3.1.2 下屬憑證機構下屬憑證機構為本基礎建設中的另一種憑證機構, 主要負責簽發及管理終端個體的憑證, 必要時也可依階層式公開 7

金鑰基礎建設的建構方式, 由第 1 層下屬憑證機構簽發憑證給第 2 層下屬憑證機構, 或由第 2 層下屬憑證機構簽發憑證給第 3 層下屬憑證機構, 依此類推而建構 1 個多層次的 PKI 但下屬憑證機構不可以直接與本基礎建設外的憑證機構進行交互認證下屬憑證機構之建置應依照憑證政策相關規定, 並設置聯絡窗口, 負責與 eca 及其他下屬憑證機構之互運工作 1.3.1.3 交互認證憑證機構交互認證憑證機構係指與總管理中心進行交互認證之憑證機構, 為本基礎建設外之根憑證機構欲向總管理中心申請交互認證之根憑證機構, 首先必須符合所引用的憑證政策保證等級之安全性規定, 同時具備公開金鑰基礎建設及數位簽章及憑證簽發技術之建置及管理能力, 並訂定憑證機構註冊中心及信賴憑證者之相關責任及義務, 並通過與本基礎建設相同強度的憑證機構外部稽核 1.3.2 註冊中心總管理中心直接受理憑證註冊與廢止申請等工作, 負責蒐集及驗證下屬憑證機構交互認證憑證機構之身分及憑證相關資訊, 不另設立註冊中心 (Registration Authority, RA) 8

1.3.3 用戶對於組織及個人而言, 用戶 (Subscribers) 係指憑證之憑證主體 (Subject) 所記載的名稱, 並擁有與憑證之公開金鑰相對應之私密金鑰的個體用戶必須依據憑證所記載的憑證政策正確地應用憑證另外, 對於財產類別 ( 例如應用程式 (Application Process) 及硬體設備 (Device)) 而言, 由於財產本身並無行為能力, 因此憑證用戶為申請憑證的個人或組織在本基礎建設中, 上層憑證機構會簽發憑證給下屬 ( 層 ) 憑證機構, 在憑證政策中並不稱下屬憑證機構為用戶 1.3.4 信賴憑證者信賴憑證者係指相信憑證主體名稱 (Certificate Subject Name) 與公開金鑰間連結關係之第三者信賴憑證者必須依照相對的憑證機構憑證及憑證狀態資訊, 以驗證所使用的憑證有效性在確認憑證的有效性後, 才可使用憑證進行以下作業 : (1) 驗證具有數位簽章的電子文件之完整性 (2) 驗證電子文件簽章產生者的身分 (3) 與憑證主體間建立安全之通訊管道 1.3.5 其他相關成員 (Other Participants) 若本管理中心有選擇其他相關提供信賴服務機構做為協同 9

運作的夥伴, 例如橋接式憑證管理中心時戳服務機構 (Time Stamp Authority) 資料存證服務機構 (Data Archiving Service) 等, 會於網站揭露並於本作業基準中訂定相互運作機制及彼此的權利與義務關係, 以確保本管理中心服務品質的有效及可靠 1.4 憑證用途 1.4.1 憑證之適用範圍總管理中心簽發的憑證有 4 種, 分別為自簽憑證自發憑證下屬憑證機構憑證與交互憑證自簽憑證用以建立中華電信公開金鑰基礎建設信賴的起源自發憑證為總管理中心更換金鑰或憑證政策互通信賴路徑之用下屬憑證機構憑證用以建立基礎建設之憑證機構間的互相信賴關係, 以建構憑證機構互通所需的憑證信賴路徑之用交互憑證用以建立不同公開金鑰基礎建設之憑證機構間的互相信賴關係, 以建構憑證機構互通所需的憑證信賴路徑之用自簽憑證之簽發對象為總管理中心本身, 內含總管理中心的公開金鑰, 可用來驗證總管理中心簽發之下屬憑證機構憑證交互憑證與憑證機構廢止清冊的數位簽章下屬憑證機構憑證之簽發對象為中華電信公開金鑰基礎建 10

設之下屬憑證機構下屬憑證機構憑證內含下屬憑證機構的公開金鑰, 可用來驗證下屬憑證機構所簽發之憑證與憑證廢止清冊的數位簽章交互憑證之簽發對象為與總管理中心進行交互認證之本基礎建設外之公開金鑰基礎建設的根憑證機構交互憑證內含交互認證憑證機構的公開金鑰, 可用來驗證該憑證機構簽發之憑證與憑證機構廢止清冊的數位簽章總管理中心簽發之憑證依據憑證政策之規定分為 5 種保證等級, 各保證等級建議之適用範圍如下 : 保證等級適用範圍測試級僅供測試 (Test) 用, 對於傳送的資料不負任何法律責任第 1 級第 2 級第 3 級第 4 級以電子郵件方式確認申請人確實可操作該電子郵件帳號, 適合應用於遭到惡意篡改威脅很低的網路環境, 或無法提供較高保證等級時, 應用於數位簽章時可識別用戶來自於某一個特定電子郵件帳號及保證被簽署文件的完整性 ; 應用於加密時, 信賴憑證者可藉由用戶憑證之公鑰加密傳送訊息或對稱式金鑰保障其機密性, 但不適合應用於需要鑑別身分與不可否認服務的線上交易適合應用於資訊可能被篡改, 但不會有惡意篡改之網路環境 ( 資訊可能被截取但機率不高 ), 且不適合做為重要文件 ( 與生命及高金額相關的交易之文件 ) 的簽署例如小額度電子商務交易所需之資料保護與身分鑑別適合應用於有惡意使用者會截取或篡改資訊並較第 2 級危險之網路環境, 傳送的資訊可包括金錢或財產的線上交易適合應用於潛在威脅很高之網路環境或資訊被篡改後復原的代價很高, 傳送的資訊包括高金額的線上交易或極機密的文件 11

針對 SSL 憑證, 其保證等級鑑別方式適用範圍及風險與後果除符合上表對應之適用範圍外並說明如下 : 保證等級及憑證類別第 2 級 DV SSL 憑證第 3 級 OV SSL 憑證第 3 級 IV SSL 憑證鑑別方式適用範圍風險與後果依照 CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates 及保證等級第 2 級之規定鑑別遠端之網域名稱與網頁服務依照 CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates 及保證等級第 3 級之規定鑑別申請者可控制遠端之網域名稱與網頁服務及該網域名稱之擁有者是屬於那一組織依照 CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates 及保證等級第 3 級之規定鑑別申請者可控制遠端之網域名稱與提供通訊管道之加密 ( 通訊管道之加密是指促成加密金鑰之交換以達到用戶之瀏覽器和網站之間資訊傳遞的加密 ), 適用於保護網路通訊提供通訊管道之加密, 且必須鑑別網域名稱擁有者屬於那一個組織的場合, 適用於保護網路通訊提供通訊管道之加密, 且必須鑑別網域名稱擁有者屬於那一個自然人的場合, 適用於保護網路通訊適用於保護網路通訊, 風險和資料外洩的後果低, 包括非金錢或非財產交易或是詐騙或惡意的存取不大可能發生之交易適用於保護網路通訊, 風險和資料外洩的後果是中等的, 包括重要的金錢或財產交易欺詐的風險或牽涉個人資料會有遭受惡意存取的可能性適用於保護網路通訊, 風險和資料外洩的後果是中等的, 包括重要的金錢或財產交易欺詐的風險或牽涉個人資料會有遭受惡意存取的可能性 12

第 3 級 EV SSL 憑證網頁服務及該網域名稱之擁有者是屬於那一組織依照 CA/Browser Forum Guidelines for the Issuance and Management of Extended Validation Certificates 鑑別遠端之網域名稱與網頁服務其擁有者是屬於那一組織, 及該組織確實在其法律管轄區域存在, 並透過參與憑證透明化 (Certificate Transparency) 防止憑證誤發提供通訊管道之加密, 且必須鑑別網域名稱擁有者屬於那一個組織的場合, 適用於保護網路通訊瀏覽器於網址列標示綠色底並直接顯示 EV SSL 憑證主體之組織資訊方便用戶識別適用於保護網路通訊, 風險和資料外洩的後果很高, 包括具有高金錢或高財產價值的交易欺詐的風險或牽涉個人資料遭受惡意存取的可能性很高的 1.4.2 憑證之使用限制信賴憑證者應依照第 6.1.4 節所述之自簽憑證安全散布管道取得所信賴的總管理中心之公開金鑰或自簽憑證, 始可用以驗證總管理中心簽發之自發憑證下屬憑證機構憑證交互憑證與憑證機構廢止清冊的數位簽章信賴憑證者應慎選安全的電腦環境及可信賴的應用系統, 避免所取得儲存的總管理中心之公開金鑰或自簽憑證遭破壞或更換, 俾可確保使用正確的總管理中心公開金鑰或自簽憑證來驗證總管理中心簽發之自發憑證下屬憑證機構憑證交互憑證與憑 13

證機構廢止清冊的數位簽章總管理中心簽發給下屬憑證機構的憑證中, 將記載該下屬憑證機構可以簽發何種保證等級之憑證, 以供信賴憑證者決定是否信賴該下屬憑證機構及其所簽發的憑證總管理中心簽發給本基礎建設外的根憑證機構的交互憑證中, 將記載該憑證機構可以簽發何種保證等級之憑證及可再與其他憑證機構進行交互認證之層數, 以供信賴憑證者決定是否信賴該憑證機構及其所簽發的憑證交互憑證會包括該憑證機構所採用的憑證政策對應 (Policy Mapping) 關係, 信賴憑證者可依據該對應關係決定是否信賴該憑證機構及其所簽發的憑證信賴憑證者必須依照第 6.1.7 節金鑰之使用目的之規定, 適當地使用金鑰, 並使用符合國際標準 ( 例如 ITU-T X.509 標準或 IETF RFC5280 等 ) 定義之憑證驗證 (certificate validation) 方法來驗證憑證的有效性 (validity) 信賴憑證者在使用總管理中心所提供的認證服務前, 必須詳細閱讀本作業基準, 並遵守本作業基準之規定, 同時必須注意本作業基準之更新 1.4.3 憑證之禁止使用情形 (1) 犯罪 14

(2) 軍令戰情及核生化武器管制 (3) 核能運轉設備 (4) 航空飛行及管制系統 (5) 法令公告禁止適用之範圍 1.5 聯絡方式 1.5.1 憑證實務作業基準之制訂及管理機構 ( 以下簡稱本公司 ) 1.5.2 聯絡資料對本作業基準有任何疑慮時或用戶報告遺失金鑰等事件, 可直接與總管理中心聯絡聯絡電話 :0800080365 郵遞地址 : 台北市信義路一段 21 號數據通信大樓中華電信憑證總管理中心電子郵件信箱 :caservice@cht.com.tw 其他聯絡資料或聯絡資料有所更動, 請上 http//eca.hinet.net 或 http://epki.com.tw 查詢 1.5.3 憑證實務作業基準之審定本管理中心於檢查憑證實務作業基準是否符合憑證政策相 15

關規定後, 送政策管理委員會進行審查及核定另依據我國電子簽章法規定, 憑證機構訂定之憑證實務作業基準, 必須經主管機關經濟部核定後, 始得對外提供簽發憑證服務本憑證管理中心定期自行稽核, 以證明遵照引用於憑證政策的保證等級進行營運為使本基礎建設所發之憑證順暢運作於各作業系統瀏覽器與軟體平台, 本基礎建設已經申請參與各作業系統瀏覽器與軟體平台之根憑證計畫 (Root Certificate Program), 將中華電信憑證總管理中心之自簽憑證廣泛部署於各軟體平台之憑證機構信賴清單 (CA Trust List) 依據根憑證計畫之規定, 採連續不中斷涵蓋整個公開金鑰基礎建設之原則, 每年併同各下屬憑證機構執行外部稽核並將最新之憑證實務作業基準與外部稽核的結果提供給各大根憑證計畫, 並持續維護稽核標章公告於本管理中心網站 1.5.4 憑證實務作業基準之審定程序本作業基準經電子簽章法主管機關經濟部核定後, 由總管理中心公布如憑證政策的修訂公告後, 本作業基準將配合修訂, 先送中華電信公開金鑰基礎建設政策管理委員會審查後, 再送交電子簽章法主管機關經濟部核定 16

本作業基準修訂生效後, 除另有規定外, 如修訂之本作業基準之內容與原本作業基準有所牴觸時, 以修訂之本作業基準之內容為準 ; 如以附加文件方式修訂, 而該附加文件之內容與原本作業基準有所牴觸時, 以該附加文件之內容為準 1.6 名詞定義和縮寫參見附錄 1 縮寫和定義與附錄 2 名詞解釋 17

2 公布及儲存庫之責任 2.1 儲存庫儲存庫由總管理中心負責管理, 公告由總管理中心簽發之憑證憑證機構廢止清冊 (Certification Authority Revocation List, CARL) 及其他憑證相關資訊, 並提供 24 小時全天的服務總管理中心儲存庫之網址為 :http://eca.hinet.net 或 http://epki.com.tw 如因故無法正常運作, 將於 2 個工作天內恢復正常運作儲存庫之責任包括 : (1) 依照第 2.2 節規定, 定期公布簽發之憑證憑證機構廢止清冊及其他憑證相關資訊 (2) 公布憑證政策及本作業基準的最新資訊 (3) 儲存庫之存取控制依照第 2.4 節規定辦理 (4) 保障儲存庫資訊之可接取狀態及可用性 18

2.2 中華電信憑證總管理中心之資訊公布總管理中心於儲存庫公布 : (1) 憑證政策 (2) 本作業基準 (3) 憑證機構廢止清冊 (4) 憑證線上狀態查詢協定服務 (5) 總管理中心本身之自簽憑證 (6) 總管理中心新舊金鑰互簽之自發憑證 (7) 下屬憑證機構之憑證 (8) 交互認證憑證機構之憑證 (9) 隱私權保護政策 (10) 最近 1 次之外部稽核結果 (11) 相關最新消息 19

2.3 公布頻率總管理中心每天至少簽發兩次的憑證機構廢止清冊, 並公布於儲存庫所簽發的憑證機構廢止清冊之有效期限不超過 36 小時在憑證機構廢止清冊尚未過期前, 總管理中心即可能簽發新的憑證機構廢止清冊, 因此新憑證機構廢止清冊的效期與舊的憑證機構廢止清冊的效期會可能有所重疊, 在效期重疊期間, 即使舊的憑證機構廢止清冊尚未過期, 信賴憑證者仍可至總管理中心儲存庫取得新的憑證機構廢止清冊, 以獲得更即時的憑證機構憑證廢止資訊 20

2.4 存取控制總管理中心主機與儲存庫主機之間並無任何網路連線, 因此總管理中心主機簽發的憑證及憑證機構廢止清冊無法直接透過網路傳送到儲存庫主機在總管理中心需要公布簽發的憑證及憑證機構廢止清冊時, 由總管理中心之相關人員以離線手動方式, 將需公布的憑證及憑證機構廢止清冊儲存在可攜式媒體中, 再將檔案複製到儲存庫主機中公布有關第 2.2 節總管理中心公布的資訊, 主要提供下屬憑證機構交互認證憑證機構及信賴憑證者查詢之用, 因此開放提供閱覽存取, 並為保障儲存庫之安全應進行存取控制, 且應維持其可接取狀態及可用性 21

3 識別和鑑別程序 3.1 命名 3.1.1 命名種類總管理中心簽發憑證之憑證主體名稱為 X.500 唯一識別名稱 (Distinguished Name, DN) 簽發給總管理中心的自簽憑證自發憑證簽發給下屬憑證機構之下屬憑證機構憑證及簽發給交互認證憑證機構的交互憑證使用此唯一識別名稱的格式 3.1.2 命名須有意義申請成為下屬憑證機構或交互認證憑證機構之名稱應符合相關法令對於命名之規定, 並足以代表及識別該憑證機構 3.1.3 用戶的匿名或假名總管理中心所簽發給憑證機構的憑證不適用 3.1.4 命名形式之解釋規則各式命名形式之解釋規則依 ITU-T X.520 名稱屬性定義 3.1.5 命名之獨特性總管理中心將審核申請成為下屬憑證機構與交互認證憑證機構所提出的憑證機構名稱之獨特性, 如名稱重複時得要求該憑證機構修改名稱為便於與國際互通, 總管理中心第 1 代的自簽憑證使用以下 22

名稱格式 : C = TW, O = Chunghwa Telecom Co., Ltd., OU = epki Root Certification Authority 為便於與國際互通, 總管理中心第 2 代起的自簽憑證使用以下名稱格式 : C = TW, O = Chunghwa Telecom Co., Ltd., CN= epki Root Certification Authority - Gn 其中 n=2,3., 此外, 總管理中心之自簽憑證中, 憑證簽發者與憑證主體名稱相同 3.1.6 商標之辨識鑑別及角色下屬憑證機構與交互認證憑證機構提供之憑證主體名稱包含商標或任何受法律保護之姓名商號名稱表徵時, 總管理中心雖不負審查之責, 但其命名必須符合我國商標法公平交易法及其相關規定, 總管理中心不保證憑證主體名稱商標之認可驗證合法及唯一性, 相關之糾紛或仲裁處理, 非總管理中心之權責範圍, 由下屬憑證機構與交互認證憑證機構向相關主管機關或法院提出申請 23

3.1.7 命名爭議之解決程序對於名稱所有權爭議由本公司處理 3.2. 初始註冊 3.2.1 證明擁有私密金鑰之方式憑證機構申請憑證時, 總管理中心檢驗憑證機構之私密金鑰與將記載於憑證中之公開金鑰是否成對由該憑證機構產生 1 個 PKCS#10 憑證申請檔, 總管理中心使用該憑證機構的公開金鑰檢驗簽章, 以證明該憑證機構擁有相對應之私密金鑰 3.2.2 組織身分鑑別之程序總管理中心之身分鑑別, 由本公司召開政策管理委員會會議審核由本公司自行設立之憑證機構成為下屬憑證機構時 ( 例如 : 中華電信通用憑證管理中心 ), 其身分鑑別由本公司召開政策管理委員會會議審核非本公司自行設立之憑證機構, 由憑證機構提交交互認證申請書, 申請書中包含組織名稱所在地及代表人等足以識別該組織之資料總管理中心將確認該組織是否存在, 驗證申請書之真偽代表人身分及代表人是否有權代表該組織, 代表人應親臨本公司辦理憑證申請 24

如下屬憑證機構核發之憑證用途為電子郵件之簽章及加密, 下屬憑證機構應鑑別該組織身分並確認該組織確實擁有或被授權使用記載於憑證內之電子郵件信箱如下屬憑證機構核發之憑證用途為 SSL 伺服器加密傳輸, 下屬憑證機構應遵循 CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates, 下屬憑證機構應鑑別憑證申請者具有其網域名稱 (domain name) 控制權, 若該 SSL 伺服器憑證屬於組織驗證型 (Organization Validation), 下屬憑證機構應鑑別該組織之身分並確認該組織確實擁有或被授權使用記載於憑證中之完全吻合網域名稱 (Fully Qualified domain name), 下屬憑證機構得與可信賴之資料庫登記資料進行比對若該 SSL 伺服器憑證屬於個人驗證型 (Individual Validation), 下屬憑證機構應鑑別該自然人之身分並確認該自然人確實擁有或被授權使用記載於憑證內之完全吻合網域名稱, 下屬憑證機構得與可信賴之資料庫登記資料進行比對若該 SSL 伺服器憑證屬於延伸驗證型 (Extended Validation), 下屬憑證機構應依照 CA/Browser Forum Guidelines for the Issuance and Management of Extended Validation Certificates 鑑別該組織之身分並確認該組織確實擁有或被授權使用記載於憑證內之完全吻合 25

網域名稱, 下屬憑證機構得與可信賴之資料庫登記資料進行比對如下屬憑證機構核發之憑證用途為專屬類伺服器之簽章與加密, 下屬憑證機構應鑑別該組織之身分並確認該組織記載於憑證內之專屬類軟體名稱是否恰當如下屬憑證機構核發之憑證用途為時戳類伺服器之簽章與加密, 下屬憑證機構應鑑別該組織之身分並確認該組織記載於憑證內之時戳伺服器的應用軟體名稱是否恰當如下屬憑證機構核發之憑證用途為程式碼簽章 (code signing), 下屬憑證機構應鑑別該組織之身分並確認該組織確實與記載於憑證內之組織名稱相符 3.2.3 個人身分鑑別之程序本公司所設立之憑證機構不適用非本公司所設立之憑證機構, 必須以公文書指派代表人 ( 被授權辦理交互認證申請的個人 ) 申請憑證機構之憑證, 鑑別程序如下 : (1) 核對書面證件 : 在申請憑證時, 代表人應出示中華民國國民身分證正本或護照, 供總管理中心鑑別代表人之身分代表人的身分證 26

字號姓名及戶籍地址等資料, 需與憑證機構提交的申請資料進行比對 (2) 提交代表人之授權證明書代表人必須親自證明其身分 3.2.4 沒有驗證的用戶訊息簽發保證等級第 4 3 與 2 級的憑證機構不適用憑證機構可不需要驗證保證等級第 1 級或測試級的個人憑證其通用名稱 (Common Name) 是否為憑證申請者的法定名稱 3.2.5 授權之確認當某個個人 ( 憑證申請者 ) 與憑證主體之名稱有關連, 進行憑證生命週期活動如憑證申請或廢止請求時, 總管理中心或下屬憑證機構或其註冊中心應進行授權之確認 (Validation of Authority), 確認該個人可代表憑證主體, 例如 : (1) 藉由第三方之身分鑑別服務或資料庫驗證政府機關或有權責及公信力之團體的文書證明組織之存在 (2) 藉由電話郵件電子郵件等聯絡方式或其他相當之程序確認該個人確實任職於該憑證主體 ( 某組織或公司 ) 得到授權代表該憑證主體 (3) 藉由臨櫃面對面核對身分或其他可信賴的通訊方式確認 27

該個人代表組織 3.2.6 互運之標準 (Criteria of Interoperation) 不做規定 28

3.3 金鑰更換請求之識別與鑑別憑證之金鑰更換係指簽發 1 張與舊憑證具有相同特徵及保證等級的新憑證, 而新的憑證除有新的不同的公開金鑰 ( 對應新的不同的私密金鑰 ) 及不同的序號外, 亦可能被指定不同的有效期限下屬憑證機構或交互認證憑證機構更換金鑰時, 應向總管理中心重新申請憑證, 總管理中心依照第 3.2.2 節規定, 對於重新申請憑證之憑證機構進行識別及鑑別 3.3.1 憑證展期之金鑰更換總管理中心不允許本身的自簽憑證自發憑證及下屬憑證機構的交互憑證進行展期 3.3.2 憑證廢止之金鑰更換憑證機構之憑證廢止後, 新憑證申請之識別與鑑別程序依照 3.2 節規定, 重新辦理初始註冊 3.4 憑證廢止申請之識別與鑑別總管理中心自簽憑證下屬憑證機構憑證與交互認證憑證廢止申請之鑑別程序與第 3.2.2 節規定相同 29

4 憑證生命週期營運規範 4.1 申請憑證 4.1.1 憑證之申請者憑證申請者包括總管理中心下屬憑證機構或是本基礎建設外之根憑證機構 4.1.2 註冊程序與責任 4.1.2.1 中華電信憑證總管理中心之義務 (1) 依據憑證政策保證等級第 4 級規定與本作業基準運作 (2) 訂定下屬憑證機構申請與憑證機構的交互認證申請程序 (3) 執行下屬憑證機構申請與憑證機構交互認證申請之識別與鑑別程序 (4) 簽發及公布憑證 (5) 廢止憑證 (6) 簽發及公布憑證機構廢止清冊 (7) 執行憑證機構人員之識別與鑑別程序 (8) 安全產製總管理中心之私密金鑰 (9) 保護總管理中心之私密金鑰 (10) 執行總管理中心自簽憑證之金鑰更換及其自發憑證之簽發 30

(11) 受理下屬憑證機構之憑證註冊及廢止申請 (12) 受理交互認證憑證機構之交互憑證註冊及廢止申請 4.1.2.2 下屬憑證機構之義務 (1) 遵守本作業基準之規定, 如未遵守導致信賴憑證者遭受損害時, 應負損害賠償責任 (2) 總管理中心簽發之憑證, 依據憑證政策的規定, 不同保證等級有不同之適用範圍, 下屬憑證機構於提出憑證申請時, 必須敘明所申請憑證之保證等級 (3) 下屬憑證機構申請憑證應依照第 4.2 節之程序進行申請, 並確認申請資料之正確性 (4) 在核可下屬憑證機構之申請及總管理中心簽發憑證後, 下屬憑證機構應依照第 4.4 節規定接受憑證 (5) 下屬憑證機構在接受總管理中心所簽發之憑證後, 即表示已確認憑證內容資訊之正確性, 並依照第 4.5 節規定使用憑證 (6) 下屬憑證憑證機構應依照第 6 章規定, 自行產製私密金鑰 (7) 下屬憑證機構應妥善保管及使用私密金鑰 (8) 使用與憑證之公開金鑰相對應之私密金鑰簽署之數位簽 31

章即為下屬憑證機構之數位簽章, 下屬憑證機構在產生數位簽章時, 必須確認已接受該下屬憑證機構憑證, 且該憑證仍在有效期間並未被廢止 (9) 下屬憑證機構如發生第 4.9.1 節廢止憑證之事由 ( 如私密金鑰資料外洩或遺失 ), 必須廢止憑證時, 應立即通知總管理中心, 並依照第 4.9 節規定辦理憑證暫時停用或廢止, 但下屬憑證機構仍應承擔憑證廢止狀態未被公布前所有使用該憑證之法律責任 (10) 總管理中心如因故無法正常運作時, 下屬憑證機構應儘速尋求其他途徑完成與他人應為之法律行為, 不得以總管理中心無法正常運作, 作為抗辯他人之事由 4.1.2.3 交互認證憑證機構之義務 (1) 遵守本作業基準及交互認證協議之規定, 如未遵守導致信賴憑證者遭受損害時, 應負損害賠償責任 (2) 總管理中心簽發之憑證, 依據憑證政策的規定, 不同保證等級有不同之適用範圍, 憑證機構於提出交互認證申請時, 必須敘明所申請憑證之保證等級 (3) 憑證機構申請憑證應依照第 4.2 節之程序進行交互認證申請, 並確認申請資料之正確性 32

(4) 在核可憑證機構之交互認證申請及總管理中心簽發憑證後, 憑證機構應依照第 4.4 節規定接受憑證 (5) 憑證機構在接受總管理中心所簽發之憑證後, 即表示已確認憑證內容資訊之正確性, 並依照第 4.5 節規定使用憑證 (6) 申請交互認證之憑證機構應依照第 6 章規定, 自行產製私密金鑰 (7) 交互認證憑證機構應妥善保管及使用私密金鑰 (8) 使用與憑證之公開金鑰相對應之私密金鑰簽署之數位簽章即為憑證機構之數位簽章, 憑證機構在產生數位簽章時, 必須確認已接受該憑證, 且該憑證仍在有效期間並未被廢止 (9) 憑證機構如發生第 4.9.1 節廢止憑證之事由 ( 如私密金鑰資料外洩或遺失 ), 必須廢止憑證時, 應立即通知總管理中心, 並依照第 4.9 節規定辦理憑證暫時停用或廢止, 但憑證機構仍應承擔憑證廢止狀態未被公布前所有使用該憑證之法律責任 (10) 總管理中心如因故無法正常運作時, 憑證機構應儘速尋求其他途徑完成與他人應為之法律行為, 不得以總管理中心無法正常運作, 作為抗辯他人之事由 33

4.2 申請憑證之程序 4.2.1 執行識別和鑑別功能 4.2.1.1 起始 (Initiation) (1) 起始申請本公司所設立之憑證機構, 由本公司召開政策管理委員會會議審核 PKCS#10 憑證申請檔及欲簽發之憑證效期與憑證主體名稱等資訊, 非本公司設立之憑證機構須送交互認證申請書憑證實務作業基準及 PKCS#10 憑證申請檔等資料, 如憑證機構遵循的憑證政策非中華電信公開金鑰基礎建設憑證政策時, 應另檢附所遵循的憑證政策 (2) 身分識別與鑑別依照第 3.2.2 節規定, 執行申請總管理中心下屬憑證機構或交互認證之憑證機構的身分識別與鑑別程序 (3) 執行以下檢查程序確認申請成為下屬憑證機構或交互認證之憑證機構與總管理中心間沒有技術上不相容之問題如申請交互認證之憑證機構遵循的憑證政策非中華電信公開金鑰基礎建設憑證政策時, 應檢查其憑證政策與總管理中心在憑證政策的對應關係 34

檢查憑證機構之憑證實務作業基準是否遵循各該機構所引用的憑證政策檢驗起始申請交付的 PKCS#10 憑證申請檔, 以確認是否可以完成實際的交互認證作業 4.2.2 憑證申請之批准或拒絕 4.2.2.1 審查申請 (Examination) 總管理中心提出自簽憑證申請時, 將召開政策管理委員會會議審查憑證機構提出下屬憑證機構憑證申請時, 將召開政策管理委員會會議審查憑證機構提出交互認證申請時, 將召開政策管理委員會會議, 審查申請之憑證機構提交之相關文件資料及總管理中心之檢查結果, 以決定憑證機構與總管理中心交互認證之妥適性最後依該委員會之決議, 決定進入下一階段, 或要求補送資料, 或駁回申請 4.2.2.2 協議 (Arrangement) 本公司設立之憑證機構, 不用簽署交互認證協議書非本公司設立之憑證機構提出交互認證申請時, 將召開會議通知申請交互認證之憑證機構參加, 並進行以下步驟 : (1) 身分識別與鑑別 35

會議開始前, 依照第 3.2.3 節規定, 執行申請交互認證之憑證機構代表人的身分識別與鑑別程序 (2) 與申請交互認證之憑證機構協商必須遵守之條款與條件 (3) 核定是否與申請交互認證之憑證機構進行交互認證, 如同意則與申請交互認證之憑證機構簽署交互認證協議書 (Cross-Certification Agreement, CCA) (4) 進入簽發憑證程序 4.2.3 處理憑證申請的時間憑證機構提出憑證申請所提交的資料齊全且符合憑證政策及總管理中心實務作業基準, 技術與總管理中心相容下, 經政策管理委員會會議審查通過後, 總管理中心應於 7 個工作天內完成憑證之簽發 36

4.3 簽發憑證之程序 4.3.1 憑證簽發時憑證機構的作業總管理中心依照政策管理委員會會議決議 ( 會議紀錄 ) 簽發自簽憑證與自發憑證總管理中心將簽發 1 張自簽憑證 (Self-Signed Certificate), 此憑證依照第 6.1.4 節規定傳送給信賴憑證者總管理中心依照政策管理委員會會議核定結果 ( 會議紀錄 ) 決定是否簽發下屬憑證機構憑證或交互認證之憑證機構憑證 4.3.2 憑證簽發時憑證機構對憑證申請者的通告如核可憑證申請將通知下屬憑證機構或交互認證之憑證機構, 由總管理中心執行憑證簽發之相關工作憑證簽發後, 如為非本公司設立之憑證機構, 本公司將發函通知該憑證機構並檢附簽發的憑證如未核可憑證申請, 將發函通知申請成為下屬憑證機構或交互認證之憑證機構, 並說明未核可的理由 37

4.4 接受憑證之程序總管理中心確認自簽憑證與自發憑證之資訊無誤後, 經內部簽核程序將自簽憑證與自發憑證公布於儲存庫申請成為下屬憑證機構或交互認證之憑證機構在收到核可憑證通知後, 必須檢查所附的憑證, 確認該憑證內容之正確性, 如憑證內容無誤, 應通知總管理中心, 非本公司設立之憑證機構必須簽署憑證接受確認文件, 並函復本公司, 以完成憑證接受程序本公司設立之下屬憑證機構經內部簽核程序將自簽憑證與自發憑證公布於儲存庫總管理中心在收到憑證接受確認文件後, 將簽發給下屬憑證機構之憑證機構憑證或簽發給憑證機構之交互憑證公布於儲存庫如憑證機構於 30 個日曆天內未能函復憑證接受確認文件, 則視為拒絕接受憑證, 總管理中心將廢止該憑證, 並不另行公布 4.4.1 構成接受憑證之事由總管理中心確認自簽憑證與自發憑證之資訊無誤後, 經內部簽核程序將自簽憑證與自發憑證公布於儲存庫申請成為下屬憑證機構或交互認證之憑證機構在收到核可憑證通知後, 必須檢查所附的憑證, 確認該憑證內容之正確性, 38

如憑證內容無誤, 應通知總管理中心, 非本公司設立之憑證機構必須簽署憑證接受確認文件, 並函復本公司, 以完成憑證接受程序如憑證機構於 30 個日曆天內未能函復憑證接受確認文件, 則視為拒絕接受憑證, 總管理中心將廢止該憑證, 並不另行公布 4.4.2 總管理中心之憑證發布總管理中心在收到憑證接受確認文件後, 將簽發給下屬憑證機構之憑證機構憑證或簽發給憑證機構之交互憑證公布於儲存庫本公司設立之下屬憑證機構經內部簽核程序將下屬憑證機構憑證公布於儲存庫 4.4.3 總管理中心對其他實體的通告總管理中心若有新簽發的自簽憑證, 將會依照各作業系統瀏覽器與軟體平台之根憑證計畫 (Root Certificate Program) 之規定提出申請植入自簽憑證於憑證機構信賴清單 39

4.5 金鑰對與憑證的用途 4.5.1 用戶私密金鑰與憑證的用途用戶係指已申請並取得憑證之個體, 對組織與個人而言係指憑證主體 (Subject) 所記載的名稱, 並擁有與憑證之公開金鑰相對應之私密金鑰的個體對於財產類別 ( 例如應用程式及硬體設備 ) 而言由於財產本身無行為能力, 因此憑證用戶為申請憑證的個人或組織用戶金鑰對的產製應符合憑證政策第 6.1.1 節之規定, 並且用戶必須獨自擁有控制憑證相對應私密金鑰的權力與能力, 用戶本身不簽發憑證給其他方用戶應保護其私密金鑰不被他人未經授權的使用或揭露, 且只使用其私密金鑰於正確的金鑰用途 ( 於憑證之擴充欄位有註記金鑰用途 ) 用戶必須依據憑證所記載的憑證政策正確地應用憑證 4.5.2 信賴憑證者與憑證的用途信賴憑證者係指相信憑證主體名稱與公開金鑰間連結關係之第三人信賴憑證者應使用符合 ITU-T X.509 Internet Engineering Task Force (IETF) 的 RFC CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates 或 CA/Browser Forum Guidelines for the Issuance and Management of Extended Validation Certificates 相 40

關標準或規範的軟體信賴憑證者必須依照相對的憑證機構憑證及憑證狀態資訊, 以驗證所使用憑證的有效性在確認憑證的有效性後, 才可使用憑證進行以下作業 : (1) 驗證具有數位簽章的電子文件之完整性 (2) 驗證文件簽章產生者的身分 (3) 與用戶間建立安全之通訊管道前述憑證狀態資訊可透過憑證廢止清冊或憑證線上狀態查詢協定服務取得, 憑證廢止清冊散布點 (CRL Distribution Point) 的位置可在憑證的詳細資訊取得此外, 信賴憑證者也應檢驗簽發憑證機構與用戶憑證之憑證政策, 確認憑證之保證等級 41

4.6 憑證展期憑證機構的憑證不可展期, 只有用戶的憑證才可展期 4.6.1 憑證展期之事由不適用 4.6.2 憑證展期之申請者不適用 4.6.3 憑證展期之程序不適用 4.6.4 用戶進行憑證展期之注意事項不適用 4.6.5 構成接受展期憑證的行為不適用 4.6.6 憑證機構之展期憑證發布不適用 4.6.7 憑證機構對其他實體的展期憑證簽發通告不適用 42

4.7 憑證之金鑰更換 4.7.1 憑證機構之金鑰更換的事由總管理中心本身的私密金鑰長度為 RSA 4096 位元, 用來簽發憑證用途的效期至多為 10 年, 公開金鑰憑證效期為 30 年但總管理中心私密金鑰用來簽發憑證機構廢止清冊憑證線上狀態查詢協定服務伺服器憑證或憑證線上狀態查詢協定服務回應訊息之用途不在此限總管理中心在以下兩種情形會更換金鑰並簽發新的自簽憑證 : (1) 目前使用之金鑰生命週期結束 (2) 目前使用之金鑰的安全性有問題時 ( 例如懷疑或確定金鑰被破解 ) 下屬憑證機構在以下 3 種情形會更換金鑰並由總管理中心簽發新的下屬憑證機構憑證 : (1) 目前使用之金鑰生命週期結束 (2) 目前使用之金鑰的安全性有問題時 ( 例如懷疑或確定金鑰被破解 ) (3) 憑證所使用之密碼演算法安全性有疑慮或因國際間採預防性措施提前淘汰 ( 例如 CA/Browser Forum 於 103 年 10 月決議淘汰 SHA-1 雜湊函數演算法 ) 43

交互認證憑證機構在以下兩種情形會更換金鑰並由總管理中心簽發新的交互認證憑證 : (1) 目前使用之金鑰生命週期結束 (2) 目前使用之金鑰的安全性有問題時 ( 例如懷疑或確定金鑰被破解 ) 4.7.2 更換憑證金鑰之申請者憑證申請者包括總管理中心下屬憑證機構或是本基礎建設外之根憑證機構 4.7.3 憑證之金鑰更換的程序憑證機構更換金鑰時, 應向總管理中心重新申請憑證, 總管理中心處理金鑰更換時之程序必須依照第 3.1 3.2 3.3 4.1 及 4.2 節之規定辦理 4.7.4 進行憑證金鑰更換之注意事項憑證機構之私密金鑰必須依照第 6.3.2 節規定定期更換當憑證機構的憑證被廢止後, 其私密金鑰應停止使用, 並於更換金鑰對後, 依照第 4.2 節規定向總管理中心申請新憑證簽發保證等級第 2 第 3 及第 4 級之憑證的憑證機構, 如其憑證沒有被廢止, 總管理中心可於該憑證機構私密金鑰使用期限到期前 1 個月開始受理其更換金鑰並申請新的憑證, 申請新憑證 44

之程序依照第 4.2 節規定辦理憑證機構的憑證如因國際間預防性之安全控制措施如逐步淘汰 SHA-1 雜湊函數演算法而在該憑證機構私密金鑰使用期限尚未到期前, 得依照第 4.2 節規定提出新憑證之申請 4.7.5 構成接受憑證更換金鑰的事由同第 4.4.1 節 4.7.6 憑證機構之憑證更換金鑰發布同第 4.4.2 節 4.7.7 總管理中心對其他實體的通告同第 4.4.3 節 45

4.8 憑證變更 4.8.1 憑證變更之事由憑證變更係指對同一憑證主體提供 1 張新的憑證其鑑別資訊和舊的憑證有些許不同 ( 例如更新電子郵件位址或其他較不重要之屬性資訊 ) 且符合憑證政策及憑證實務作業基準之相關規定, 新的憑證可能有新的憑證主體公開金鑰或使用原有的主體公開金鑰, 但憑證有效截止日和原有之憑證到期日相同憑證變更後, 舊憑證應予以廢止 4.8.2 憑證變更之申請者憑證申請者包括總管理中心下屬憑證機構或是本基礎建設外之根憑證機構 4.8.3 憑證變更的程序憑證變更的申請程序如第 4.2 節之規定 4.8.4 申請者進行憑證變更之注意事項總管理中心於憑證變更簽發後以會議紀錄或內部簽核程序通知總管理中心及本公司所設立之下屬憑證管理中心, 總管理中心以發函方式通知非本公司所設立之下屬憑證管理中心與交互認證機構 46

總管理中心如不同意簽發憑證變更之憑證, 將以會議紀錄或內部簽核程序通知總管理中心及本公司所設立之下屬憑證管理中心, 總管理中心以發函方式通知非本公司所設立之下屬憑證管理中心與交互認證機構總管理中心並明確告知不同意簽發的理由除因申請者之身分識別與鑑別之原因外, 總管理中心得因其他原因不同意簽發憑證 4.8.5 構成接受憑證變更的事由憑證申請者預先審視將簽發之憑證內容或審視憑證內容無誤, 憑證經憑證機構公布於儲存庫或傳遞給憑證申請者 4.8.6 憑證機構之憑證變更發布憑證機構的儲存庫服務應定期公布所簽發經憑證變更之憑證註冊中心得與憑證機構協議將憑證透過註冊中心傳遞給用戶 4.8.7 憑證機構對其他實體的通告不做規定 47

4.9 憑證暫時停用及廢止總管理中心不提供暫時停用與恢復使用服務, 憑證廢止資訊公布於總管理中心儲存庫 4.9.1 廢止憑證之事由總管理中心在以下情形時 ( 但不限 ) 必須提出廢止憑證申請 : (1) 懷疑或證實私密金鑰遭到破解, 包括私密金鑰資料外洩或遺失 (2) 憑證不再需要使用, 包括總管理中心終止服務下屬憑證機構或交互認證憑證機構在以下情形時 ( 但不限 ) 必須提出廢止憑證申請 : (1) 懷疑或證實私密金鑰遭到破解, 包括私密金鑰資料外洩或遺失 (2) 憑證不再需要使用, 包括憑證機構終止服務或停止與總管理中心的隸屬或交互認證關係另外, 總管理中心得就以下情形逕行廢止憑證, 毋須事先經過下屬憑證機構或交互認證憑證機構同意 : (1) 確認憑證記載之內容不實 (2) 確認下屬憑證機構或交互認證憑證機構之簽章用私密金鑰遭冒用偽造或破解 48

(3) 確認總管理中心之私密金鑰或系統遭冒用偽造或破解, 則廢止總管理中心簽發的所有交互認證憑證機構之憑證 (4) 確認總管理中心下屬憑證機構或交互認證憑證機構的憑證未依本作業基準之程序簽發 (5) 確認總管理中心下屬憑證機構或交互認證憑證機構違反其憑證實務作業基準或交互認證協議書或相關法令規定 (6) 依據總管理中心下屬憑證機構或交互認證憑證機構主管機關之通知或相關法令規定 (7) 總管理中心終止服務如憑證之憑證主體資訊必須變更時, 由總管理中心審查是否同意廢止憑證申請 4.9.2 憑證廢止之申請者 (1) 欲廢止憑證的下屬憑證機構 (2) 下屬憑證機構的主管機關或負責單位 (3) 欲廢止憑證的交互認證憑證機構 (4) 交互認證憑證機構的主管機關或負責單位 4.9.3 憑證廢止之程序 4.9.3.1 起始 (Initiation) (1) 起始申請 49

發函提出申請, 並檢具憑證廢止申請書 (2) 身分識別與鑑別依照第 3.2.2 節規定, 執行總管理中心下屬憑證機構或交互認證憑證機構的身分識別與鑑別程序 (3) 審查申請審查提交之相關文件資料, 以決定憑證廢止申請之妥適性 (4) 決定點決定進入下一階段, 或要求補送資料, 或發函通知下屬憑證機構或該交互認證憑證機構未核可憑證廢止申請, 並明確說明未核可之理由 4.9.3.2 廢止憑證總管理中心最遲於下次公布憑證機構廢止清冊前, 將廢止憑證加入憑證機構廢止清冊中, 並公告於儲存庫憑證廢止後將發函通知下屬憑證機構或交互認證憑證機構, 儲存庫公告的憑證狀態資訊將包括廢止的憑證, 直到憑證到期為止 4.9.4 憑證廢止申請之寬限期總管理中心下屬憑證機構或交互認證憑證機構如發生第 50

4.9.1 節之情形, 最遲應於 10 個工作天內提出憑證廢止申請, 並且儘可能於總管理中心下一次簽發憑證機構廢止清冊前提出 4.9.5 憑證機構處理憑證廢止請求的處理期限總管理中心在收到憑證廢止申請後, 最遲於 10 個工作天內完成憑證廢止相關作業 4.9.6 信賴憑證者檢查憑證廢止的要求信賴憑證者在使用總管理中心公布於儲存庫之憑證機構廢止清冊時, 應先檢驗其數位簽章, 以確認該憑證機構廢止清冊是否正確有關信賴憑證者查詢儲存庫公布資訊須具備之要件, 詳見於第 2.4 節之說明 4.9.7 憑證機構廢止清冊之簽發頻率憑證機構廢止清冊之簽發頻率為每天至少 1 次, 更新後之憑證機構廢止清冊公布於儲存庫 4.9.8 總管理中心廢止清冊發布之最大延遲時間總管理中心最遲在憑證廢止清冊所記載之下次更新時間 (the nextupdate) 前將憑證機構廢止清冊公布 4.9.9 線上憑證狀態查詢協定服務總管理中心提供線上憑證狀態查詢協定服務 (OCSP, Online Certificate Status Protocol) 信賴憑證者使用線上憑證狀態查詢協 51

定服務時, 須檢驗相關查詢結果資料之數位簽章, 確認資料來源之完整性為了加速高流量網站的 SSL 憑證之驗證, 以完成即時線上 SSL 憑證狀態之驗證作業, 總管理中心支援時戳式線上憑證狀態查詢協定服務 (OCSP Stapling) 運作 4.9.10 線上憑證狀態查詢協定服務之規定如信賴憑證者無法依照第 4.9.6 節之規定查詢憑證廢止清冊, 則應使用第 4.9.9 節之線上憑證狀態查詢協定服務, 檢驗所使用的憑證是否有效遵照 CA/Browser Forum 之規範, 至 105 年 12 月 31 日止仍可使用 SHA-1 雜湊函數演算法簽發驗證 OCSP 回應訊息的憑證,eCA SHA-1 自簽憑證對應之簽章私密金鑰會使用 SHA-1 雜湊函數演算法簽發驗證 OCSP 回應訊息的憑證, 最遲至 106 年 1 月 1 日起會改用 SHA 256 雜湊函數演算法簽發驗證 OCSP 回應訊息的憑證 eca SHA 256 自簽憑證對應之簽章私密金鑰會使用 SHA 256 雜湊函數演算法簽發驗證 OCSP 回應訊息的憑證 4.9.11 其他形式廢止公告不提供其他形式廢止公告 52

4.9.12 金鑰被破解時之其他特殊需求如下屬憑證機構或交互認證憑證機構之私密金鑰被破解時, 總管理中心將於公布之憑證機構廢止清冊中註明該憑證廢止的原因為金鑰被破解 4.9.13 暫時停用憑證之事由不提供暫時停用憑證服務 4.9.14 暫時停用憑證之申請者不提供暫時停用憑證服務, 故不適用 4.9.15 暫時停用憑證之程序不提供暫時停用憑證服務, 故不適用 4.9.16 暫時停用憑證之處理期間及停用期間不提供暫時停用憑證服務, 故不適用 4.9.17 恢復使用憑證之程序不提供恢復停用憑證服務, 故不適用 53

4.10 憑證狀態服務 4.10.1 操作特性總管理中心提供憑證機構廢止清冊, 並於下屬憑證機構憑證裡註記憑證機構廢止清冊散布點 (CRL Distribution Point), 總管理中心並自 104 年 5 月 22 日起提供憑證線上查詢協定服務 4.10.2 服務的可用性總管理中心提供 7 天 24 小時不中斷之憑證狀態服務 4.10.3 可選功能不做規定 4.11 終止服務終止服務是指憑證用戶終止使用憑證機構的服務, 包含憑證到期時終止憑證機構提供用戶的服務或者是用戶憑證廢止而終止服務憑證機構應允許用戶藉由廢止憑證或憑證到期而不做更新或是用戶約定條款失效而終止其對於憑證服務之訂購 54

4.12 私密金鑰託管與回復 4.12.1 金鑰託管與回復政策與實務簽章用之私密金鑰不可被託管 (Escrowed) 4.12.2 通訊用金鑰封裝與回復政策與實務總管理中心未支援通訊用金鑰 (Session Key) 封裝與回復 (Encapsulation and Recovery) 55

5 非技術性安全控管 5.1 實體控管 5.1.1 實體所在及結構總管理中心機房位於中華電信數據通信分公司, 符合儲存高重要性及敏感性資訊的機房設施水準, 並具備門禁保全入侵偵測及監視錄影等實體安全機制, 以防止未經授權存取總管理中心之相關設備 5.1.2 實體存取總管理中心以保證等級第 4 級的實體控管規定運作機房共有四層門禁, 第 1 層和第 2 層分別為全年無休的大門及大樓警衛, 第 3 層為樓層讀卡機進出管制系統, 第 4 層為機房人員指紋辨識進出管制系統, 指紋辨識器採用三度空間指紋取樣, 可以判別辨識物的紋深色澤及是否為活體除門禁系統可限制不相干人員接近機房外, 機箱之監控系統可控制機箱之開啟, 以防止未經授權存取硬體軟體和硬體密碼模組等相關設備任何可攜式儲存媒體帶進機房, 需檢查並確認沒有電腦病毒及任何可能危害總管理中心系統的惡意軟體非總管理中心人員進出機房, 需填寫進出紀錄, 並由總管理 56

中心相關人員全程陪同總管理中心相關人員離開機房時, 將進行以下之查驗工作並記錄, 以防止未授權人員進入機房 : (1) 確認設備是否正常運作 (2) 確認機箱門是否關閉 (3) 確認門禁系統是否正常運作 5.1.3 電力及空調總管理中心機房的電力系統, 除市電外, 另設有發電機 ( 滿載油料可連續運轉 6 天 ) 及不中斷電源系統 (UPS), 並具有市電及發電機的電源自動切換功能, 可提供至少 6 小時以上備用電力, 供儲存庫備援資料總管理中心機房設有恆溫恆濕空調系統, 以控制環境的温度及濕度, 使機房保持最佳運作環境 5.1.4 水災防範及保護總管理中心機房設置在基地墊高的建築物第 3 樓層 ( 含 ) 以上, 該建築物並有防水閘門和抽水機, 且沒有因為水災造成重大損害紀錄 5.1.5 火災防範及保護總管理中心機房具備自動偵測火災預警功能, 系統可自動啟 57

動滅火設備, 並設置手動開關於各機房主要出入口, 以供現場人員於緊急情況時以手動方式啟動 5.1.6 媒體儲存稽核紀錄歸檔和備援資料的儲存媒體於總管理中心機房儲存 1 年,1 年後將移到異地備援場所儲存 5.1.7 廢料處理第 9.3.1 節所述之總管理中心機密資訊, 文件資料部分在不需使用時, 將經碎紙機處理 ; 磁帶硬碟磁碟磁光碟 (MO) 及其他形式的記憶體, 在報廢前, 將經格式化程序清除儲存的資料, 光碟將被實體銷毀 5.1.8 異地備援異地備援的地點在臺中, 與總管理中心機房距離 30 公里以上備援的內容包括資料與系統程式, 全部資料備份 1 個星期至少執行 1 次, 異動資料備份於異動當天執行, 異地備援之非技術安全控管與總管理中心為相同的安全等級 58

5.2 程序控制總管理中心經由作業程序控管 (Procedural Controls), 以規定執行系統相關作業的各種可信賴角色 (Trusted Role) 每項工作的人員需求數及每個角色的識別與鑑別, 以確保系統作業程序之安全 5.2.1 信賴角色總管理中心為使執行系統相關作業的責任, 能做適當的區隔, 以防止某人惡意使用系統而不被察覺, 對於每項系統存取作業, 明確規定那些信賴角色才能執行此項作業總管理中心共有 5 種不同的信賴角色, 分別為管理員 (Administrator) 簽發員 (Officer) 稽核員 (Auditor) 維運員 (Operator) 和實體安全控管員 (Controller), 每種信賴角色將依照 5.3 節規定進行人員控管, 以防止可能的內部攻擊 1 種信賴角色可由多人擔任, 每種信賴角色設有 1 名主管 (Chief Role),5 種信賴角色的工作內容說明如下 : (1) 管理員負責 : 安裝設定和維護總管理中心系統建立和維護總管理中心系統之使用者帳號設定稽核參數產製和備份總管理中心之金鑰 59

公布憑證機構廢止清冊於儲存庫 (2) 簽發員負責 : 執行憑證簽發執行憑證廢止 (3) 稽核員負責 : 對稽核紀錄的查驗維護和歸檔執行或監督內部的稽核, 以確認總管理中心運作是否遵照本作業基準的規定 (4) 維運員負責 : 系統設備的日常運作維護系統的備援及復原作業儲存媒體的更新除總管理中心憑證管理系統外之軟硬體更新網路及網站的維護 : 建置系統安全與病毒防護機制及網路安全事件的偵測與通報等 (5) 實體安全控管員負責 : 系統的實體安全控管 ( 如機房的門禁管理防火防水及空調系統等 ) 60

5.2.2 角色分派依照第 5.2.1 節定義的 5 種信賴角色, 總管理中心之角色分派必須符合以下規定 : (1) 管理員簽發員和稽核員 3 種信賴角色不得相互兼任, 但可兼任維運員 (2) 實體安全控管員不得兼任其他 4 種信賴角色 (3) 任何 1 種信賴角色均不允許執行自我稽核功能 5.2.3 每個任務所需之人數依據各種信賴角色的作業安全需求, 所需之人數如下 : (1) 管理員 : 至少 3 位合格人員擔任 (2) 簽發員 : 至少 3 位合格人員擔任 (3) 稽核員 : 至少 2 位合格人員擔任 (4) 維運員 : 至少 2 位合格人員擔任 (5) 實體安全控管員 : 至少 2 位合格人員擔任每個任務所需之人數說明如下 : 任務名稱管理員簽發員稽核員維運員實體安全控管員安裝設定和維護總管理中心憑證管理系統 2 1 61

任務名稱管理員簽發員稽核員維運員實體安全控管員建立和維護總管理中心憑證管理系統之使用者帳號 2 1 設定稽核參數 2 1 產製和備份總管理中心之金鑰 2 1 1 執行憑證簽發 2 1 執行憑證廢止 2 1 公布憑證機構廢止清冊在儲存庫對稽核紀錄的查驗維護和歸檔系統設備的日常運作維護系統的備援及復原作業 1 1 1 1 1 1 1 1 儲存媒體的更新 1 1 除總管理中心憑證管理系統外之軟硬體更新 1 1 網路和網站的維護 1 1 設定系統的實體安全控管 2 62

5.2.4 識別及鑑別每一個角色總管理中心利用使用者帳號密碼和群組之系統帳號管理功能及 IC 卡, 識別及鑑別管理員簽發員稽核員及維運員等不同角色, 並利用中央門禁系統之權限設定功能, 識別及鑑別實體安全控管員 5.3 人員控管 5.3.1 身家背景資格經驗及安全需求 (1) 人員甄選及進用之安全評估個人性格之評估申請者經歷之評估學術專業能力及資格之評估人員身分之確認人員操守之評估 (2) 人員之考核管理總管理中心之相關人員在進用前先進行資格審查, 以確認其資格及工作能力正式進用後, 必須接受適當之教育訓練, 並以書面方式簽定應負之責任, 同時每年進行資格複查, 如無法通過資格複查將調離現職, 改派其他符合資格人員擔任 63

(3) 人員之任免及遷調管理如人員之進用約聘僱條件或契約有所變更, 特別是人員離職或約聘僱契約終止時, 將遵守維護機密責任之約定 (4) 維護機密責任之約定總管理中心之相關人員均負維護機密之責任, 並簽署保密切結書, 不得以口頭影印借閱交付文章發表或其他方法洩漏機密 5.3.2 身家背景之查驗程序總管理中心對於第 5.2.1 節所述之各種信賴角色人員, 在進用前予以資格審查, 以確認其身分資格相關證明文件是否屬實 5.3.3 教育訓練需求信賴角色教育訓練需求 1 總管理中心之安全認證機制 2 總管理中心系統安裝設定和維護之操作程序管理員 3 建立和維護系統交互認證憑證機構帳號之操作程序 4 設定稽核參數之操作程序 5 產製和備份總管理中心金鑰之操作程序 6 災後復原及業務永續經營之程序簽發員 1 總管理中心之安全認證機制 2 總管理中心系統軟硬體的使用及操作程序 64

信賴角色教育訓練需求 3 憑證簽發之操作程序 4 憑證廢止之操作程序 5 災後復原及業務永續經營之程序 1 總管理中心之安全認證機制 2 總管理中心系統軟硬體的使用及操作程序稽核員 3 產製和備份總管理中心金鑰之操作程序 4 稽核紀錄的查驗維護和歸檔之程序 5 災後復原及業務永續經營之程序 1 總管理中心之安全認證機制 2 系統設備日常運作之維護程序維運員 3 儲存媒體之更新程序 4 災後復原以及業務永續經營之程序 5 網路和網站的維護程序實體安全控管員 1 設定實體門禁權限程序 2 災後復原以及業務永續經營之程序 5.3.4 人員再教育訓練之需求及頻率在總管理中心之軟硬體升級工作程序改變設備更換或相關法規改變時, 將安排相關人員再教育訓練並記錄受訓情形, 以確實瞭解相關作業程序及法規之改變 5.3.5 工作調換之頻率及順序管理員調離原職務滿 1 年後, 才可轉任簽發員或稽核員 65

簽發員調離原職務滿 1 年後, 才可轉任管理員或稽核員稽核員調離原職務滿 1 年後, 才可轉任管理員或簽發員擔任維運員滿 2 年, 且已接受相關教育訓練及通過審核, 才可轉任管理員簽發員及稽核員 5.3.6 未授權行動之制裁總管理中心之相關人員, 如違反憑證政策與本作業基準或其他總管理中心公布之程序, 將接受適當的管理與懲處, 如情節重大而造成損害者, 將採取法律行動追究其責任 5.3.7 聘僱人員之規定總管理中心聘僱人員安全要求遵照第 5.3 節規定 5.3.8 提供之文件資料總管理中心提供中華電信公開金鑰基礎建設憑證政策技術規範本作業基準系統操作手冊及電子簽章法等相關文件給總管理中心之相關人員 66

5.4 安全稽核程序總管理中心之安全相關事件, 均具有安全稽核紀錄 (Audit Log) 安全稽核紀錄採系統自動產生工作記錄本及紙張等方式所有安全稽核紀錄均妥善保存, 且在執行稽核時可立即取得安全稽核紀錄之維護依照第 5.5.2 節歸檔之保留期限規定辦理 5.4.1 被記錄事件種類 (1) 安全稽核任何重要稽核參數之改變, 如稽核頻率稽核事件型態新舊參數的內容等任何嘗試刪除或修改稽核紀錄檔 (2) 識別與鑑別嘗試新角色的設定不論成功或失敗身分鑑別嘗試的最高容忍次數改變使用者登入系統時身分鑑別嘗試的失敗次數之最大值如管理者將已被鎖住的帳號解鎖, 而且該帳號是因為多次失敗的身分鑑別嘗試而被鎖住的管理者改變系統的身分鑑別機制, 例如從通行密碼改為生物特徵值 67

(3) 金鑰產製總管理中心產製金鑰時 (4) 私密金鑰之載入和儲存載入私密金鑰到系統元件中所有為進行金鑰回復工作, 對保存在憑證機構的憑證主體之私密金鑰所做的存取 (5) 可信賴公開金鑰之新增刪除及儲存可信賴公開金鑰之改變, 包括新增刪除及儲存 (6) 私密金鑰之輸出私密金鑰之輸出 ( 不包括只用在單次或只限一次使用之金鑰 ) (7) 憑證之註冊憑證之註冊申請過程 (8) 廢止憑證憑證之廢止申請過程 (9) 憑證狀態改變之核可核可或拒絕憑證狀態改變之申請 (10) 總管理中心組態設定總管理中心安全相關之組態設定改變 68

(11) 帳號之管理加入或刪除角色和使用者使用者帳號或角色之存取權限修改 (12) 憑證格式剖繪之管理憑證格式剖繪之改變 (13) 憑證機構廢止清冊格式剖繪之管理憑證機構廢止清冊格式剖繪之改變 (14) 其他安裝作業系統安裝總管理中心系統安裝硬體密碼模組移除硬體密碼模組銷毀硬體密碼模組啟動系統嘗試登入總管理中心的憑證管理作業硬體及軟體之接收嘗試設定通行碼嘗試修改通行碼總管理中心之內部資料備份 69

總管理中心之內部資料回復檔案操作 ( 例如產生重新命名及移動等 ) 傳送任何資訊到儲存庫公布存取總管理中心之內部資料庫任何憑證被破解之申告憑證載入符記符記之傳遞過程符記之零值化總管理中心或交互認證憑證機構之金鑰更換 (15) 總管理中心之伺服器設定改變硬體軟體作業系統修補程式 (Patches) 安全格式剖繪 (16) 實體存取及場所之安全人員進出總管理中心之機房存取總管理中心之伺服器得知或懷疑違反實體安全規定 70

(17) 異常軟體錯誤軟體檢查完整性失敗接收不合適訊息非正常路由之訊息網路攻擊 ( 懷疑或確定 ) 設備失效電力不當不斷電系統 (UPS) 失敗明顯及重大的網路服務或存取失敗憑證政策之違反本作業基準之違反重設系統時鐘 5.4.2 紀錄檔處理頻率總管理中心每月檢視 1 次稽核紀錄, 追蹤調查重大事件檢視工作包括驗證稽核紀錄是否被竄改檢視所有的紀錄項目及檢查任何警示或異常等憑證機構自上次稽核檢視後所發生的重大安全稽核紀錄都應加以檢視, 並且對任何可能之惡意活動應進一步調查檢視稽核紀錄之結果以文件記錄 71

5.4.3 稽核紀錄檔保留期限稽核紀錄檔現場 (on site) 保留兩個月, 並依照第 5.4.4 第 5.4.5 第 5.4.6 及第 5.5 節記錄保留管理機制等相關規定辦理如稽核紀錄檔的保留期限屆滿, 由稽核員負責移除資料, 不可由其他人員代理 5.4.4 稽核紀錄檔之保護使用簽章加密技術保存目前和已歸檔之稽核紀錄, 並使用 CD-R 或其他無法更改稽核紀錄的媒體儲存簽署事件紀錄的私密金鑰不能再使用於其他用途, 嚴禁稽核系統之私密金鑰另作他用, 稽核系統不可洩漏私密金鑰手動的稽核紀錄存放於安全場所 5.4.5 稽核紀錄檔備份程序電子式稽核紀錄每月備份 1 次總管理中心週期性地將事件紀錄備份 : 稽核系統將稽核軌跡資料以每日每星期及每月等條件週期性地自動歸檔總管理中心將事件紀錄檔存放於安全場所 5.4.6 安全稽核系統稽核系統內建於總管理中心的系統稽核程序在總管理中心系統啟動時啟用, 唯有在總管理中心系統關閉時才停止 72

如自動稽核系統無法正常運作, 同時保護系統資料之完整性機密性的安全機制處於高風險狀態時, 總管理中心將暫停憑證簽發服務, 直到問題解決後再行提供服務 5.4.7 對引起事件者之告知如因發生事件而被稽核系統記錄, 稽核系統並不需要告知引起該事件的個體其所引發的事件已經被系統記錄 5.4.8 弱點評估作業系統的弱點評估實體設施的弱點評估憑證管理系統的弱點評估網路的弱點評估 73

5.5 紀錄歸檔之方法 5.5.1 紀錄事件之類型總管理中心被主管機關認證 (Accreditation) 的資料 ( 假設適用 ) 憑證實務作業基準交互認證協議書 ( 假設適用 ) 系統與設備組態設定系統或組態設定修改與更新的內容憑證申請資料廢止申請資料憑證接受的確認文件已簽發或公告的憑證總管理中心金鑰更換的紀錄已簽發或公告的憑證機構廢止清冊稽核記錄用來驗證及佐證歸檔內容的其它說明資料或應用程式稽核人員要求的文件依照第 3.2.2 節及第 3.2.3 節所定的組織身分及個人身分鑑別資料 74

5.5.2 歸檔之保留期限總管理中心歸檔資料之保留期限為 20 年, 用來處理歸檔資料的應用程式也將維護 20 年歸檔資料逾保留期限後, 書面資料應以安全方式銷毀 ; 電子形式資料備份得另備份至其他儲存媒體並提供適當保護, 或逕行以安全方式銷毀 5.5.3 歸檔之保護不允許新增修改或刪除歸檔資料總管理中心可將歸檔資料移到另一個儲存媒體, 並提供適當的保護, 保護等級不低於原保護等級歸檔資料存放於安全場所 5.5.4 歸檔備份程序歸檔資料備份至異地備援中心, 異地備援的地點參閱第 5.1.8 節 5.5.5 時戳紀錄之要求歸檔之電子式紀錄 ( 例如憑證憑證機構廢止清冊及稽核紀錄等 ) 包含日期與時間資訊, 而且這些紀錄皆經過適當的數位簽章保護, 可用以檢測紀錄中的日期與時間資訊是否遭到篡改但是, 這些電子式紀錄中的日期與時間資訊並非公正第三者所提供 75

之電子式時戳資料, 而是電腦作業系統的日期與時間總管理中心的所有電腦系統都會定期進行校時, 以確保電子式紀錄中日期與時間資訊的準確性與可信度歸檔的書面紀錄也將記載日期資訊, 必要時並將記載時間資訊書面紀錄的日期與時間紀錄不可任意更改, 如需更改必須由稽核人員簽名確認 5.5.6 歸檔資料彙整系統總管理中心沒有歸檔資料彙整系統 5.5.7 取得及驗證歸檔資料之程序必須以書面申請獲得正式授權後, 才可取得歸檔資料由稽核員負責驗證歸檔資料, 書面文件必須驗證文件簽署者及日期等之真偽, 電子檔則驗證歸檔資料的數位簽章 76

5.6 金鑰更換總管理中心之私密金鑰依照第 6.3.2.1 節規定定期更換, 並於更換金鑰後簽發 1 張新的自簽憑證及 2 張自發憑證新簽發的自簽憑證依照第 6.1.4 節規定傳送給信賴憑證者, 自發憑證公布在儲存庫供信賴憑證者下載下屬憑證機構應依照第 6.3.2.2 節規定定期更換其金鑰對下屬憑證機構更換金鑰對後, 依照第 4.1 及第 4.2 節規定向總管理中心申請新的憑證交互認證憑證機構應依照第 6.3.2.2 節規定定期更換其金鑰對交互認證憑證機構更換金鑰對後, 依照第 4.1 及第 4.2 節規定向總管理中心申請新的憑證 77

5.7 金鑰遭破解或災變時之復原程序 5.7.1 緊急事件與系統遭破解的處理程序總管理中心訂定緊急事件或系統遭破解後之通報與處理程序, 同時每年進行演練 5.7.2 電腦資源軟體或資料遭破壞之復原程序總管理中心訂定電腦資源軟體及資料遭破壞之復原程序, 同時每年進行演練如總管理中心的電腦設備遭破壞或無法運作, 但總管理中心的簽章金鑰並未被損毀, 則優先回復總管理中心儲存庫之運作, 並迅速重建憑證簽發及管理的能力 5.7.3 中華電信憑證總管理中心之簽章金鑰遭破解之復原程序總管理中心訂定簽章金鑰遭破解之復原程序, 同時每年進行演練 5.7.4 中華電信憑證總管理中心安全設施之災後復原工作總管理中心每年對安全設施之災後復原工作進行演練 78

5.7.5 中華電信憑證總管理中心之簽章金鑰憑證被廢止之復原程序總管理中心訂定簽章金鑰憑證被廢止之復原程序, 同時每年進行演練 5.8 中華電信憑證總管理中心之終止服務總管理中心終止服務時, 將依據電子簽章法相關規定辦理總管理中心遵守以下事項, 以確保終止服務對於下屬憑證機構交互認證憑證機構與信賴憑證者造成之影響最小 : (1) 總管理中心於預定終止服務 3 個月前, 將通知下屬憑證機構交互認證憑證機構 ( 無法通知者, 不在此限 ), 並公告於儲存庫 (2) 總管理中心終止服務時, 廢止所有未廢止及未過期之憑證, 並依電子簽章法相關規定進行檔案紀錄之保管及移交 79

6 技術性安全控管 6.1 金鑰對之產製及安裝 6.1.1 金鑰對之產製總管理中心依照第 6.2.1 節規定, 於硬體密碼模組內產製金鑰對, 依照 NIST FIPS 140-2 規範之演算法, 私密金鑰之匯出與匯入依照第 6.2.2 與第 6.2.6 節規定辦理總管理中心之金鑰產製由相關人員見證並簽署金鑰啟用見證書 ( 其中記載產製的金鑰對之公開金鑰 ), 並透過公信管道公布, 以昭公信下屬憑證機構與交互認證之憑證機構必須依照憑證政策之規定進行金鑰對之產製總管理中心在簽發下屬憑證機構與交互認證憑證機構之憑證時, 將檢查憑證申請檔中之公開金鑰, 確定該憑證機構的公開金鑰在總管理中心所簽發過的憑證中是唯一的總管理中心使用硬體密碼模組產製亂數公開金鑰對和對稱金鑰下屬憑證機構必須依照憑證政策之規定, 選擇適當的軟體或硬體進行金鑰產製 ; 總管理中心於簽發下屬憑證機構憑證前將審查該下屬憑證機構所選擇的軟體或硬體是否恰當 80

交互認證之憑證機構必須依照憑證政策之規定, 選擇適當的軟體或硬體進行金鑰產製 ; 總管理中心於簽發交互憑證前將審查該憑證機構所選擇的軟體或硬體是否恰當 6.1.2 私密金鑰安全傳送給下屬憑證機構與交互認證憑證機構下屬憑證機構必須自行產製私密金鑰, 因此總管理中心不需將私密金鑰傳送給下屬憑證機構與總管理中心交互認證憑證機構必須自行產製私密金鑰, 因此總管理中心不需將私密金鑰傳送給交互認證憑證機構 6.1.3 公開金鑰安全傳送給中華電信憑證總管理中心由憑證機構於申請憑證時提交 PKCS#10 的憑證申請檔 6.1.4 中華電信憑證總管理中心公開金鑰安全傳送給信賴憑證者總管理中心本身之自簽憑證內含總管理中心之公開金鑰, 安全散布管道包括以下幾種 : (1) 總管理中心在簽發交互憑證給憑證機構後, 於遞交交互憑證時, 一併將總管理中心之自簽憑證或公開金鑰遞交給該憑證機構, 該憑證機構以符記 ( 例如 IC 卡 ) 儲存總管理中 81

心之自簽憑證或公開金鑰, 並以安全方式傳送給該憑證機構的用戶或信賴憑證者 (2) 將總管理中心本身之自簽憑證存至 (Build-in) 可信賴之第三者所發行的軟體中, 使用者透過安全管道取得軟體 ( 例如向可信賴的經銷商購買軟體的安裝光碟或是透過各大作業系統或瀏覽器之安裝 ) 並安裝後, 便可得到總管理中心本身之自簽憑證 (3) 在大量發行的光碟中放置總管理中心之自簽公開金鑰憑證, 使用者透過安全管道取得這些光碟, 便可得到總管理中心本身之自簽憑證 (4) 總管理中心啟用時, 當場公布總管理中心之公開金鑰, 並由相關人員簽署總管理中心公開金鑰見證書, 同時交由媒體公布 ( 例如登報以及留存於圖書館 ) 信賴憑證者可利用媒體公布之總管理中心公開金鑰, 比對從網路下載之總管理中心自簽公開金鑰憑證中所記載之公開金鑰 6.1.5 金鑰長度總管理中心使用 RSA 4096 位元的 RSA 金鑰及 SHA-1 或 SHA256 SHA 384 SHA 512 雜湊函數演算法簽發憑證下屬憑證機構與交互認證之憑證機構必須依照憑證政策之 82

規定選擇適當的金鑰長度 ; 總管理中心於簽發下屬憑證機構憑證與交互憑證前將審查該憑證機構所選擇的金鑰長度是否恰當 6.1.6 公鑰參數之產製與品質檢驗採用 RSA 演算法之公開金鑰參數為空的 (Null) 總管理中心與下屬憑證機構採用 ANSI X9.31 演算法或 NIST FIPS 186-4 規範產生 RSA 演算法所需的質數, 並保證該質數為強質數 (Strong Prime) 交互認證之憑證機構必須依據所選用的演算法, 進行適當的金鑰參數品質檢驗 6.1.7 金鑰之使用目的總管理中心之自簽憑證相對應的私密金鑰僅限用於簽發憑證及憑證機構廢止清冊, 但總管理中心之自簽憑證並不含金鑰用途擴充欄位總管理中心簽發給下屬憑證機構的憑證, 其中憑證金鑰用途擴充欄位設定使用的金鑰用途位元為 keycertsign 與 crlsign 總管理中心簽發給交互認證憑證機構的憑證, 其中憑證金鑰用途擴充欄位設定使用的金鑰用途位元為 keycertsign 與 crlsign 83

6.2 私密金鑰保護及密碼模組安全控管措施 6.2.1 密碼模組標準及控管措施總管理中心依據憑證政策的規定, 使用安全等級 3 的硬體密碼模組下屬憑證機構必須依照憑證政策之規定, 選擇適當的密碼模組 ; 總管理中心於簽發下屬憑證機構憑證前將審查該憑證機構所選擇的密碼模組之安全等級是否恰當交互認證之憑證機構必須依照憑證政策之規定, 選擇適當的密碼模組 ; 總管理中心於簽發交互憑證前將審查該憑證機構所選擇的密碼模組之安全等級是否恰當 6.2.2 金鑰分持之多人控管總管理中心金鑰分持之多人控管, 採 LaGrange 多項式內插法 (LaGrange Polynomial Interpolation) 的 m-out-of-n( 以下簡稱 m-out-of-n), 它是一種完全隱密 (Perfect Secret) 的秘密分享 (Secret Sharing) 方式, 可做為私密金鑰分持備份及回復方法採用此方法可使總管理中心私密金鑰的多人控管具有最高的安全度, 因此也用來做為私密金鑰之啟動方式 ( 參閱第 6.2.8 節 ) 如欲簽發保證等級第 3 及第 4 級憑證的憑證機構之簽章用私 84

密金鑰, 必須依據憑證政策規定採用多人控管程序總管理中心於簽發下屬憑證機構憑證與交互憑證前將審查該憑證機構所採用的多人控管程序是否恰當 6.2.3 私密金鑰託管總管理中心簽章用私密金鑰不可被託管, 總管理中心也不負責保管下屬憑證機構與交互認證憑證機構的簽章用私密金鑰 6.2.4 私密金鑰備份依照 6.2.2 節的金鑰分持之多人控管方法備份私密金鑰, 並使用高安全性的 IC 卡做為秘密分持的儲存媒體下屬憑證機構與交互認證之憑證機構必須依照憑證政策之規定, 選擇適當的私密金鑰備份方法 ; 總管理中心於簽發下屬憑證機構與交互憑證前將審查該憑證機構所選擇的私密金鑰備份方法是否恰當總管理中心不負責保管下屬憑證機構與交互認證憑證機構的私密金鑰備份 6.2.5 私密金鑰歸檔總管理中心簽章用私密金鑰不可被歸檔總管理中心亦不對下屬憑證機構與交互認證憑證機構簽章用私密金鑰進行歸檔 85

6.2.6 私密金鑰與密碼模組間傳輸總管理中心只有在進行金鑰備份回復及更換密碼模組時, 才可將私密金鑰輸入至密碼模組中, 並應以第 6.2.2 節之規定採多人控管方式進行私密金鑰輸入至密碼模組中, 私密金鑰輸入方式可為加密或金鑰分持, 以確保輸入過程中不得將金鑰明碼暴露於密碼模組之外私密金鑰輸入完成後, 須將輸入過程產製之相關機密參數完全銷毀下屬憑證機構與交互認證之憑證機構如需將私密金鑰輸入密碼模組, 必須依照憑證政策之規定, 選擇適當的私密金鑰輸入方法 ; 總管理中心於簽發下屬憑證機構與交互憑證前將審查該憑證機構所選擇的私密金鑰輸入方法是否恰當 6.2.7 私密金鑰儲存於密碼模組依照第 6.1.1 節及第 6.2.1 節規定 6.2.8 私密金鑰之啟動方式總管理中心之 RSA 私密金鑰之啟動 (Activation), 是以多人控管 IC 卡組進行控制, 不同用途的控管 IC 卡組分別由管理員及簽發員保管下屬憑證機構與交互認證之憑證機構必須依照憑證政策之規定, 選擇適當的私密金鑰啟動方式 ; 總管理中心於簽發下屬憑 86

證機構與交互憑證前將審查該憑證機構所選擇的私密金鑰啟動方式是否恰當 6.2.9 私密金鑰之停用方式由於總管理中心採離線作業方式, 因此平常總管理中心之金鑰對保持在停用 (Deactivation) 狀態, 以避免私密金鑰遭非法使用每次完成簽發憑證及相關管理作業後, 將採多人控管方式將私密金鑰停用下屬憑證機構與交互認證之憑證機構必須依照憑證政策之規定, 選擇適當的私密金鑰停用方式 ; 總管理中心於簽發下屬憑證機構與交互憑證前將審查該憑證機構所選擇的私密金鑰停用方式是否恰當 6.2.10 私密金鑰之銷毀方式為避免總管理中心舊的私密金鑰被盜用, 影響簽發憑證之正確性, 總管理中心之私密金鑰生命週期屆滿時將加以銷毀因此, 在總管理中心完成金鑰更新及簽發新的總管理中心自簽憑證, 且不再簽發任何憑證與憑證機構廢止清冊之後, 將會把硬體密碼模組中存放舊的總管理中心私密金鑰之記憶位置填零 (Zeroization), 以銷毀硬體密碼模組中舊的私密金鑰同時, 舊的私密金鑰之分持也將進行實體銷毀 87

下屬憑證機構與交互認證之憑證機構必須依照憑證政策之規定, 選擇適當的私密金鑰銷毀方式 ; 總管理中心於簽發下屬憑證機構與交互憑證前將審查該憑證機構所選擇的私密金鑰銷毀方式是否恰當 6.2.11 密碼模組評等參見第 6.2.1 節 6.3 下屬憑證機構與交互認證憑證機構金鑰對管理之其他規定下屬憑證機構與交互認證憑證機構必須自行管理金鑰對, 總管理中心不負責保管下屬憑證機構與交互認證憑證機構的私密金鑰 6.3.1 公開金鑰之歸檔總管理中心將進行憑證之歸檔, 且依照第 5.5 節規定執行歸檔系統之安全控管, 不再另外進行公開金鑰之歸檔, 因憑證之歸檔可代替公開金鑰之歸檔 6.3.2 公開金鑰及私密金鑰之使用期限 6.3.2.1 中華電信憑證總管理中心公開金鑰及私密金鑰之使用期限總管理中心公開金鑰及私密金鑰之金鑰長度為 RSA 88

4096 位元, 使用期限至多為 30 年 ; 以私密金鑰執行簽發憑證用途之使用期限至多為 10 年, 但簽發憑證機構廢止清冊憑證線上狀態查詢協定服務伺服器憑證或憑證線上狀態查詢協定服務回應訊息之用途則不在此限總管理中心本身之自簽憑證效期應考量涵蓋與憑證之公開金鑰相對應之私密金鑰簽發的所有憑證效期到期為止總管理中心新舊金鑰互簽之自發憑證之效期應至總管理中心舊金鑰簽發之自簽憑證效期到期為止 6.3.2.2 下屬憑證機構與交互認證憑證機構公開金鑰及私密金鑰之使用期限 RSA 2048 位元 : 公開金鑰憑證及私密金鑰之之使用期限至多為 20 年, 以私密金鑰執行簽發用戶憑證之用途, 其使用期限至多為 10 年, 但簽發憑證廢止清冊憑證線上狀態查詢協定服務伺服器憑證或憑證線上狀態查詢協定服務回應訊息之用途則不在此限總管理中心簽發給下屬憑證機構與交互認證憑證機構的憑證, 其憑證生命週期, 加上總管理中心用來簽署憑證之簽章用私密金鑰生命週期, 合計不得超過總管理中心自簽憑證生命週期 89

6.3.2.3 SHA-1 雜湊函數演算法有效期限依據國際間密碼學之安全評估及 CA/Browser Forum 在 Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates v.1.2.1 版之規定,105 年 1 月 1 日起憑證機構不能再使用 SHA-1 雜湊函數演算法簽發任何新的用戶憑證或下屬憑證機構憑證直到 106 年 1 月 1 日, 憑證機構仍可使用 SHA-1 雜湊函數演算法簽發驗證憑證線上狀態查詢協定服務 (OCSP) 回應訊息的憑證 ( 亦即可使用 SHA-1 雜湊函數演算法簽發 OCSP 伺服器之憑證 ) 憑證機構可以繼續使用其現有存在之 SHA-1 根憑證機構憑證或交互認證憑證 SHA-2 SSL 憑證不應由 SHA-1 下屬憑證機構憑證對應的簽章私密金鑰簽發自 104 年 1 月 16 日起, 憑證機構不應該使用 SHA-1 雜湊函數演算法簽發憑證到期日超過 106 年 1 月 1 日之 SSL 或 Code Signing 憑證, 因為應用軟體提供者正在從其軟體不贊成和 / 或移除 SHA-1 雜湊函數演算法, 並且已經與憑證機構和用戶溝通繼續使用 SHA-1 憑證必須自己承擔風險憑證機構應採取相關措施確保用戶選擇適當的應用軟體以及淘汰 SHA-1 憑證 90

6.4 啟動資料之保護 6.4.1 啟動資料之產生總管理中心之啟動資料由硬體密碼模組產生, 再寫入 m-out-of-n 控管 IC 卡組中 IC 卡中的啟動資料將由硬體密碼模組內建的讀卡機直接存取,IC 卡的個人識別碼 ( 以下簡稱 PIN 碼 ) 直接在硬體密碼模組內建的鍵盤上輸入下屬憑證機構與交互認證之憑證機構必須依照憑證政策之規定, 選擇適當的啟動資料產生方式 ; 總管理中心於簽發下屬憑證機構與交互憑證前將審查該憑證機構所選擇的啟動資料產生方式是否恰當 6.4.2 啟動資料之保護總管理中心之啟動資料由 m-out-of-n 控管 IC 卡組保護,IC 卡的 PIN 碼由保管人員負責保存, 不得記錄於任何媒體上, 如登入的失敗次數超過 3 次, 則鎖住此 IC 卡 ;IC 卡移交時, 新的保管人員必須重新設定新的 PIN 碼下屬憑證機構與交互認證之憑證機構必須依照憑證政策之規定, 選擇適當的啟動資料保護方式 ; 總管理中心於簽發下屬憑證機構憑證與交互憑證前將審查該憑證機構所選擇的啟動資料保護方式是否恰當 91

6.4.3 其他啟動資料之規定總管理中心的私密金鑰的啟動資料不做歸檔 6.5 電腦軟硬體安控措施 6.5.1 特定電腦安全技術需求總管理中心和相關輔助系統透過作業系統, 或結合作業系統軟體和實體的保護措施提供以下安全控管功能 : 具備身分鑑別的登入提供自行定義 (Discretionary) 存取控制提供安全稽核能力對於各種憑證服務和信賴角色存取控制的限制具備信賴角色及身分的識別和鑑別以密碼技術確保每次通訊和資料庫之安全具備信賴角色和相關身分識別的安全及可信賴的管道具備程序完整性及安全控管保護 6.5.2 電腦安全評等憑證中心憑證伺服器採用通過 Common Criteria EAL 4 認證的電腦作業系統 92

6.6 生命週期技術控管措施 6.6.1 系統研發控管措施總管理中心的系統研發遵循 CMMI 的規範進行品質控管系統開發環境測試環境與上線運作環境必須有所區隔防止未經授權存取或變更的風險各項交付總管理中心之產品或程式應簽署安全遵循保證書確保無後門或惡意程式, 並提供產品或程式交付清單測試報告和系統管理手冊等並進行程式版本控管 6.6.2 安全管理控管措施總管理中心之硬體和軟體是專用的, 僅能使用獲得安全授權的元件, 不安裝與運作無關的硬體裝置網路連接或元件軟體, 並且在每次使用時會檢查是否有惡意程式碼總管理中心的軟體在首次安裝時, 將確認是由供應商提供正確的版本且未被修改系統安裝後, 總管理中心於每次使用時檢驗軟體的完整性, 同時每月將例行檢驗證軟體的完整性總管理中心將記錄和控管系統的組態及任何修正與功能提升, 同時偵測未經許可修改系統之軟體或組態總管理中心在風險評鑑風險處理與安全管理控管措施參考 ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27005 ISO/IEC 31000 及 AICPA/CPA Trust Service Principles and Criteria for Certification 93

Authorities 及 CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates 之方法論或控制項 6.6.3 生命週期安全評等每年至少 1 次評估現行金鑰是否有被破解之風險 6.7 網路安全控管措施總管理中心之主機不與外部網路連接, 儲存庫連接到網際網路 (Internet) 上, 提供不中斷之憑證及憑證機構廢止清冊查詢服務 ( 除必要之維護或備援外 ) 總管理中心主機所簽發之憑證及憑證機構廢止清冊以數位簽章保護, 使用手動方式, 從總管理中心主機傳送到儲存庫總管理中心之儲存庫透過系統修補程式的更新系統弱點掃描入侵偵測系統防火牆系統及過濾路由器 (Filtering Router) 等加以保護, 以防範阻絕服務及入侵等攻擊 94

6.8 時戳總管理中心定期根據受信賴的時間源進行系統校時, 以維持系統時間的正確性, 並確保以下時間之正確性 : (1) 憑證簽發時間 (2) 憑證廢止時間 (3) 憑證機構廢止清冊之簽發時間 (4) 系統事件之發生時間總管理中心可能會使用自動與手動程序來進行系統時間調整, 系統校時動作需可被稽核 95

7 憑證憑證廢止清冊及憑證線上狀態查詢協定服務格式剖繪 7.1 憑證之格式剖繪總管理中心簽發的憑證之格式剖繪依照 ITU-T X.509 CA/Browser Forum 及 IETF PKIX Working Group 的相關規定 7.1.1 版本序號總管理中心簽發 ITU-T X.509 v3 版本的憑證 7.1.2 憑證擴充欄位總管理中心簽發的憑證之憑證擴充欄位遵循 IETF PKIX Working Group RFC 5280 之規定 7.1.3 演算法物件識別碼總管理中心簽署在憑證中的簽章其演算法的物件識別碼可為其下任一種 : ption sha-1withrsaencry {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 5} (OID:1.2.840.113549.1.1.5) sha256withrsaencr {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) yption pkcs-1(1) 11} (OID:1.2.840.113549.1.1.11) sha384withrsaencr {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) yption pkcs-1(1) 12} 96

(OID:1.2.840.113549.1.1.12) sha512withrsaencr {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) yption pkcs-1(1) 13} (OID:1.2.840.113549.1.1.13) 總管理中心所簽發憑證中的主體公鑰之演算法, 必須使用下述之物件識別碼 : rsaencryption (OID:1.2.840.113549.1.1.1) 7.1.4 命名形式 {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 1} 憑證之主體及簽發者兩個欄位值, 使用 X.500 的唯一識別名稱, 此名稱的屬性型態遵循 IETF PKIX Working Group RFC5280 相關規定 7.1.5 命名限制不採用命名限制 7.1.6 憑證政策物件識別碼使用本基礎建設之憑證政策物件識別碼 7.1.7 政策限制擴充欄位之使用總管理中心簽發之下屬憑證機構與交互憑證, 必要時將使用政策限制擴充欄位 97

7.1.8 政策限定元之語法及語意總管理中心簽發之憑證不含政策限定元 (Policy Qualifiers) 7.1.9 關鍵憑證政策擴充欄位之語意處理總管理中心簽發之憑證所含之憑證政策擴充欄位不註記為關鍵擴充欄位 7.2 憑證機構廢止清冊之格式剖繪 7.2.1 版本序號總管理中心簽發 ITU-T X.509 v2 版本的憑證機構廢止清冊 7.2.2 憑證機構廢止清冊擴充欄位總管理中心簽發的憑證機構廢止清冊依照 ITU-T X.509 CA/Browser Forum Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates 及 IETF PKIX Working Group 的 RFC 5280 或其最新版之規定 98

7.3 線上憑證狀態查詢協定服務之格式剖繪總管理中心將提供符合 IETF PKIX Working Group 的 RFC 2560 及 RFC 5019 標準規範之線上憑證狀態查詢協定 (OCSP) 服務, 並在憑證的憑證機構存取資訊 (Authority Info Access, AIA) 擴充欄位中包含總管理中心 OCSP 的服務網址 7.3.1 版本序號總管理中心線上憑證狀態查詢 (OCSP) 服務的 OCSP 查詢封包應包含以下資訊 : 版本序號待查憑證識別元 (identifier) 待查憑證識別元包含 : 雜湊演算法憑證簽發者 (CA) 名稱 (Issuer Name) 憑證簽發者 (CA) 公開金鑰 (Issuer Key) 及待查詢憑證之憑證序號總管理中心線上憑證狀態查詢 (OCSP) 服務的回應封包含有以下基本欄位 : 99

欄位版本序號 (Version) OCSP 伺服器 ID(Responder ID) 產製時間 (Produced Time) 待查詢憑證識別元 (identifier) 憑證狀態碼 (Certificate Status) 效期 (ThisUpdate/NextUpdate) 簽章演算法 (Signature Algorithm) 簽體 (Signature) 憑證 (Certificates) 說明 v.1 (0x0) OCSP 伺服器的主體名稱 (Subject DN) 回應封包簽署時間包含 : 雜湊演算法憑證簽發者名稱 (Issuer Name) 憑證簽發者公開金鑰 (Issuer Key) 及待查詢憑證之憑證序號憑證狀態對應碼 (0: 有效 /1: 廢止 /2: 未知 ) 此回應封包建議的效期區間, 包含 : 生效時間 (ThisUpdate) 及下次更新時間 (NextUpdate) 回應封包的簽章演算法, 可為 sha256withrsaencryption 或 sha1withrsaencryption OCSP 伺服器的簽章 OCSP 伺服器的憑證 7.3.2 線上憑證狀態查詢協定擴充欄位總管理中心線上憑證狀態查詢協定服務的 OCSP 回應封包含有以下擴充欄位 : OCSP 伺服器的金鑰識別元 (Authority Key Identifier) 此外當 OCSP 查詢封包含有隨機數 (nonce) 欄位時, OCSP 回應封包也必須包含相同的隨機數欄位 100

8 稽核方法 8.1 稽核之頻率總管理中心接受每年 1 次本基礎建設的外部稽核 ( 且查核期間不可超過 12 個月 ) 與不定期的內部稽核, 以確認相關運作符合本作業基準的安全規定與程序由於中華電信公開金鑰基礎建設提供簽發公眾信賴 SSL 憑證之服務, 故採用 Trust Service Principles and Criteria for Certification Authorities 標準以及 WebTrust Principles and Criteria for Certification Authorities SSL Baseline with Network Security 標準進行總管理中心之稽核 8.2 稽核人員之身分及資格本公司將委外辦理總管理中心之外部稽核作業, 委託熟悉總管理中心下屬憑證機構運作並經 WebTrust for CA 標章管理單位授權可於中華民國執行 Trust Service Principles and Criteria for Certification Authorities 之稽核業者, 提供公正客觀的稽核服務, 稽核人員應為合格授權之資訊系統稽核員 (Certified Information System Audit,CISA) 或具同等資格, 且具備 2 場次 4 人天以上之憑證機構 WebTrust for CA 標章稽核或 2 場次共計 8 人天憑證機構資訊安全管理稽核相關經驗, 總管理中心於稽核時應對稽核人員進行身分識別 101

8.3 稽核人員及被稽核方之關係本公司將委託公正之第三人, 就總管理中心的運作進行稽核 8.4 稽核之範圍 (1) 總管理中心是否遵照本作業基準運作 (2) 本作業基準是否符合憑證政策之規定 8.5 對於稽核結果之因應方式如稽核人員發現總管理中心之建置與維運不符合本作業基準規定時, 採取以下行動 : (1) 記錄不符合情形 (2) 將不符合情形通知總管理中心對於不符合規定之項目, 總管理中心將於 30 日內提出改善計畫, 儘速執行, 並列入後續稽核追蹤項目 8.6 稽核結果公開之範圍及方法除可能導致系統被攻擊以及第 9.3 節規定之範圍外, 總管理中心將公布稽核者所提供之應公開說明資訊稽核結果以 WebTrust for Certification Authorities 及 WebTrust for Certification Authorities SSL Baseline Requirements 標章之方式呈現於總管理中心網站首頁, 點選標章後可閱覽外稽報告與管 102

理聲明書最近 1 次的外稽報告與管理聲明書亦於查核區間結束後 3 個月內公布於儲存庫若因故延遲公布最近 1 次稽核結果, 總管理中心將提供合格稽核業者簽署之解釋函 103

9 其他業務和法律事項 9.1 費用總管理中心保留向下屬憑證機構申請交互憑證之憑證機構收取費用的權利, 該項費用限應用於總管理中心的營運費用總管理中心如向下屬憑證機構申請交互憑證之憑證機構收取費用, 將配合修正本作業基準, 並訂定相關費用之查詢方法及請求退費之程序 9.1.1 憑證簽發展期費用目前沒有收費 9.1.2 憑證查詢費用目前沒有收費 9.1.3 憑證廢止狀態查詢費用目前沒有收費 9.1.4 其他服務之費用目前沒有收費 9.1.5 請求退費之程序目前沒有收費, 因此無請求退費之程序 104

9.2 財務責任總管理中心由本公司營運, 其財務責任由本公司負責 9.2.1 財務保險總管理中心由本公司營運, 其財務責任由本公司負責總管理中心憑證業務目前尚未辦理保險, 未來將遵守主管機關規定加入保險 9.2.2 其他資產總管理中心之財務, 係屬本公司整體財務之一部本公司為股票上市公司, 依證券交易法第 36 條之規定, 應於每營業年度終了後 3 個月內公告, 並向主管機關申報, 經會計師查核簽證, 董事會通過及監察人承認之年度財務報告並於每會計年度第 1 季第 2 季及第 3 季終了後 45 日內, 公告並申報經會計師核閱及提報董事會之財務報告於每月 10 日以前, 公告並申報上月份營運情形總管理中心可提供自我擔保之資產價值依本公司年度財務報告為準本公司財務健全, 流動資產與流動負債比符合 CA/Browser Forum Guidelines for the Issuance and Management of Extended Validation Certificates 要求不低於 1.0 的要求 9.2.3 對終端個體之保險或保固責任對終端個體 ( 用戶及信賴憑證者 ) 之保險或保固責任不做規 105

定 9.3 業務資訊之保密 9.3.1 機密資訊之範圍由總管理中心產生接收或保管之資料, 均視為機密資訊, 現職及曾任職於總管理中心之人員與各類稽核人員對於機密資訊均負保密責任機密資訊包括 : (1) 用於總管理中心營運的私密金鑰及通行碼 (2) 總管理中心金鑰分持的保管資料 (3) 下屬憑證機構之申請資料, 未經下屬憑證機構同意或符合法令規定不得公開 (4) 交互認證憑證機構之申請資料, 未經交互認證憑證機構同意或符合法令規定不得公開 (5) 總管理中心產生或保管之可供稽核及追蹤之紀錄 (6) 稽核人員於稽核過程中產生之稽核紀錄及報告, 不得被完整公開 (7) 列為機密等級的營運相關文件 9.3.2 非機密資訊之範圍總管理中心儲存庫公布之簽發憑證已廢止憑證及憑證機構 106

廢止清冊不視為機密資訊識別資訊或記載於憑證的資訊, 除特別約定外, 不視為機密資訊 9.3.3 保護機密資訊之責任總管理中心依照電子簽章法 Trust Service Principles and Criteria for Certification Authorities 標準及個人資料保護法處理總管理中心之申請資料下屬憑證機構之申請資料與交互認證憑證機構之交互認證申請資料總管理中心實施安控措施防止機密資訊遭洩漏或破壞 9.4 個人資訊之隱私 9.4.1 隱私保護計畫總管理中心於網站公告個人資料保護與隱私權聲明總管理中心實施隱私衝擊分析個資風險評鑑等措施以訂定隱私保護計畫 9.4.2 隱私資料之種類任何在憑證申請時記載之個人資訊皆為隱私資訊, 未經用戶同意或依法令規定不得公開無法透過憑證憑證廢止清冊所記載之資訊或憑證目錄服務所取得的用戶資訊憑證機構信賴角色 107

維運之可識別的個人資料如姓名搭配掌紋特徵與指紋特徵保密協定或契約之個人資訊等應視為隱私資料加以保護, 總管理中心實施安控措施防止可識別之個人資料遭未經授權的揭露洩漏或破壞 9.4.3 非隱私資訊識別資訊或記載於憑證的資訊與憑證, 除特別約定外, 不應視為機密資訊與隱私資訊 9.4.4 保護隱私資訊的責任配合總管理中心運作所需之個人資料, 無論紙本或是電子之形式, 必須依照於網站公告的個人資料保護暨隱私權聲明, 安全存放與受到保護, 符合電子簽章法 Trust Service Principles and Criteria for Certification Authorities 標準及個人資料保護法相關規定 9.4.5 使用隱私資訊的公告與同意遵循個人資料保護法, 非經憑證機構及當事人同意或總管理中心網站之個人資料保護與隱私權聲明與本作業基準另有規範, 不會將個人資料用於其他地方 9.4.6 應司法或管理程序釋出資訊司法機關監察機關或治安機關如因調查或蒐集證據需要, 108

必須查詢 9.4.2 節隱私資訊, 依個人資料保護法辦理 ; 惟總管理中心保留向申請查詢之機關收取合理費用之權利 9.4.7 其他資訊釋出之情形下屬憑證機構得查詢第 9.3.1 節第 (3) 款之申請資料 ; 惟總管理中心保留向申請查詢之下屬憑證機構收取合理費用之權利交互認證憑證機構得查詢第 9.3.1 節第 (4) 款之申請資料 ; 惟總管理中心保留向申請查詢之憑證機構收取合理費用之權利其他資訊釋出之情況依相關規定法令辦理 9.5 智慧財產權總管理中心的金鑰對及金鑰分持之所有權為總管理中心所擁有下屬憑證機構與交互認證憑證機構的金鑰對為該憑證機構所有, 但其公開金鑰經總管理中心簽發成憑證時, 該憑證之所有權亦為總管理中心所擁有總管理中心簽發的憑證及憑證機構廢止清冊之所有權為總管理中心所擁有總管理中心簽發的自簽憑證及自發憑證所記載之憑證主體名稱為總管理中心所有總管理中心將儘可能確保下屬憑證機構與交互認證憑機構名 109

稱的正確性, 但不保證下屬憑證機構與交互認證憑證機構名稱之商標權歸屬下屬憑證機構與交互認證憑證機構名稱如發生註冊商標爭議時, 下屬憑證機構與交互認證憑證機構應依法定程序處理, 並將處理結果提交總管理中心, 以確保權益本作業基準可由儲存庫自由下載, 或依著作權法相關規定重製或散布, 但必須保證是完整複製, 並註明著作權為本公司所擁有重製或散布本作業基準者, 不得向他人收取費用, 對於不當使用或散布本作業基準之侵害, 本公司將依法予以追訴 9.6 承諾與擔保 9.6.1 總管理中心之承諾與擔保總管理中心承諾與擔保以下責任 : (1) 依據憑證政策保證等級第 4 級規定與本作業基準運作 (2) 訂定下屬憑證機構申請與憑證機構的交互認證申請程序 (3) 執行下屬憑證機構申請與憑證機構交互認證申請之識別與鑑別程序 (4) 簽發及公布憑證 (5) 廢止憑證 (6) 簽發及公布憑證機構廢止清冊 110

(7) 簽發及提供線上憑證狀態查詢協定服務回應訊息 (8) 執行憑證機構人員之識別與鑑別程序 (9) 安全產製總管理中心之私密金鑰 (10) 保護總管理中心之私密金鑰 (11) 執行總管理中心自簽憑證之金鑰更換及其自發憑證之簽發 (12) 受理下屬憑證機構之憑證註冊及廢止申請 (13) 受理交互認證憑證機構之交互憑證註冊及廢止申請 9.6.2 註冊中心之承諾與擔保總管理中心不設置註冊中心, 請參考 9.6.1 節 9.6.3 下屬憑證機構及交互認證憑證機構之承諾與擔保 9.6.3.1 下屬憑證機構之承諾與擔保下屬憑證機構承諾與擔保以下責任 : (1) 遵守本作業基準之規定, 如未遵守導致信賴憑證者遭受損害時, 應負損害賠償責任 (2) 總管理中心簽發之憑證, 依據憑證政策的規定, 不同保證等級有不同之適用範圍, 下屬憑證機構於提出憑證申請時, 必須敘明所申請憑證之保證等級 111

(3) 下屬憑證機構申請憑證應依照 4.2 節之程序進行申請, 並確認申請資料之正確性 (4) 在核可下屬憑證機構之申請及總管理中心簽發憑證後, 下屬憑證機構應依照第 4.3 節規定接受憑證 (5) 下屬憑證機構在接受總管理中心所簽發之憑證後, 即表示已確認憑證內容資訊之正確性, 並依照第 1.4.1 節規定使用憑證 (6) 下屬憑證憑證機構應依照第 6 章規定, 自行產製私密金鑰 (7) 下屬憑證機構應妥善保管及使用私密金鑰 (8) 使用與憑證之公開金鑰相對應之私密金鑰簽署之數位簽章即為下屬憑證機構之數位簽章, 下屬憑證機構在產生數位簽章時, 必須確認已接受該下屬憑證機構憑證, 且該憑證仍在有效期間並未被廢止 (9) 下屬憑證機構如發生第 4.9.1 節廢止憑證之事由 ( 如私密金鑰資料外洩或遺失 ), 必須廢止憑證時, 應立即通知總管理中心, 並依照第 4.9 節規定辦理憑證暫時停用或廢止, 但下屬憑證機構仍應承擔憑證廢止狀態未被公布前所有使用該憑證之法律責任 112

(10) 總管理中心如因故無法正常運作時, 下屬憑證機構應儘速尋求其他途徑完成與他人應為之法律行為, 不得以總管理中心無法正常運作, 作為抗辯他人之事由 9.6.3.2 交互認證憑證機構之承諾與擔保交互認證憑證機構承諾與擔保以下責任 : (1) 遵守本作業基準及交互認證協議之規定, 如未遵守導致信賴憑證者遭受損害時, 應負損害賠償責任 (2) 總管理中心簽發之憑證, 依據憑證政策的規定, 不同保證等級有不同之適用範圍, 憑證機構於提出交互認證申請時, 必須敘明所申請憑證之保證等級 (3) 憑證機構申請憑證應依照第 4.2 節之程序進行交互認證申請, 並確認申請資料之正確性 (4) 在核可憑證機構之交互認證申請及總管理中心簽發憑證後, 憑證機構應依照第 4.4 節規定接受憑證 (5) 憑證機構在接受總管理中心所簽發之憑證後, 即表示已確認憑證內容資訊之正確性, 並依照第 1.4.1 節規定使用憑證 (6) 申請交互認證之憑證機構應依照第 6 章規定, 自行產製私密金鑰 113

(7) 交互認證憑證機構應妥善保管及使用私密金鑰 (8) 使用與憑證之公開金鑰相對應之私密金鑰簽署之數位簽章即為憑證機構之數位簽章, 憑證機構在產生數位簽章時, 必須確認已接受該憑證, 且該憑證仍在有效期間並未被廢止 (9) 憑證機構如發生第 4.9.1 節廢止憑證之事由 ( 如私密金鑰資料外洩或遺失 ), 必須廢止憑證時, 應立即通知總管理中心, 並依照第 4.9 節規定辦理憑證暫時停用或廢止, 但憑證機構仍應承擔憑證廢止狀態未被公布前所有使用該憑證之法律責任 (10) 總管理中心如因故無法正常運作時, 憑證機構應儘速尋求其他途徑完成與他人應為之法律行為, 不得以總管理中心無法正常運作, 作為抗辯他人之事由 9.6.4 信賴憑證者之承諾與擔保使用總管理中心簽發憑證的信賴憑證者應承諾與擔保以下之責任, 如有違反, 應於其可歸責的範圍內負擔損害賠償責任 : (1) 信賴憑證者在使用總管理中心簽發之憑證或查詢總管理中心儲存庫時, 必須遵守本作業基準之相關規定 (2) 信賴憑證者應依照第 6.1.4 節所述之自簽憑證安全散布管 114

道取得所信賴的總管理中心之公開金鑰或自簽憑證 (3) 信賴憑證者在使用總管理中心簽發之憑證時, 應先檢驗憑證之保證等級以確保權益 (4) 信賴憑證者在使用總管理中心簽發之憑證時, 應先檢驗憑證之用途限制, 以確認該憑證之使用確實符合總管理中心設定之用途限制 (5) 信賴憑證者在使用總管理中心簽發之憑證時, 應先檢驗憑證機構廢止清冊或線上憑證狀態查詢協定服務回應訊息, 以確認該憑證是否有效 (6) 信賴憑證者在總管理中心更換金鑰後使用其簽發之憑證時, 應到總管理中心的儲存庫取得自發憑證, 以建構總管理中心與憑證機構間之憑證信賴路徑 (7) 信賴憑證者在使用總管理中心簽發之憑證憑證機構廢止清冊或線上憑證狀態查詢協定服務回應訊息時, 應先檢驗數位簽章, 以確認該憑證憑證機構廢止清冊或線上憑證狀態查詢協定服務回應訊息是否正確 (8) 信賴憑證者應慎選安全的電腦環境及可信賴的應用系統, 如因電腦環境或應用系統本身因素導致使用者權益受損時, 信賴憑證者應自行承擔責任 115

(9) 總管理中心如因故無法正常運作時, 信賴憑證者應儘速尋求其他途徑完成與他人應為之法律行為 (10) 信賴憑證者應於了解並同意有關總管理中心法律責任之條款, 並依照第 1.4.1 節規定範圍內信賴該憑證後, 始得接受使用總管理中心所簽發之憑證 9.6.5 其他參與者之承諾與擔保不做規定 9.7 免責聲明如因總管理中心之系統維護轉換及擴充等需要, 得暫停部分憑證服務, 惟應於 3 日前公告於儲存庫及通知下屬憑證機構與交互認證憑證機構, 信賴憑證者下屬憑證機構或交互認證憑證機構不得以此作為要求總管理中心損害賠償之理由如因第 4.9.1 節廢止憑證之事由, 下屬憑證機構交互認證憑證機構應向總管理中心提出憑證廢止申請, 總管理中心在收到憑證廢止申請後, 最遲於 10 個工作天內完成憑證廢止作業簽發憑證機構廢止清冊及公告於儲存庫下屬憑證機構交互認證憑證機構於憑證廢止狀態未被公布之前, 應採取適當的行動, 以減少對信賴憑證者之影響, 並承擔所有因使用該憑證機構之憑證所引發之責任 116

9.8 責任限制總管理中心依憑證政策保證等級第 4 級運作, 並遵守本作業基準規定之程序簽發及廢止憑證簽發並公布憑證機構廢止清冊提供憑證線上狀態查詢協定服務及維持儲存庫正常運作下屬憑證機構交互認證憑證機構或信賴憑證者如未依照第 1.4.1 節規定之適用範圍使用憑證所引發之後果, 總管理中心不負任何法律責任 9.9 賠償 9.9.1 總管理中心之賠償責任 (1) 如因總管理中心作業人員故意或過失, 未依憑證實務作業基準之規定, 辦理憑證機構憑證之簽發與廢止作業, 或違反相關法律規範而造成總管理中心下屬憑證機構或交互認證憑證機構或信賴憑證者之損失時, 總管理中心應依規定賠償其直接損失 (2) 如因第 9.16.5 節不可抗力之因素, 導致總管理中心所簽發之憑證造成損失時, 總管理中心不負任何損害賠償責任 (3) 憑證機構或其他有權者提出廢止憑證之要求後, 至總管理中心實際完成廢止該憑證機構憑證為止之期間內, 當該憑證機構憑證被用以進行非法交易, 或進行交易後產生法律糾紛時, 總管理中心如依據本作業基準與相關之作業規範執行處理作業時, 則不負任何損害賠償責任 (4) 下屬憑證機構交互認證憑證機構或信賴憑證者如未依照 117

1.4.1 節規定之適用範圍使用憑證所引發之損失, 總管理中心不負任何損害賠償責任 (5) 賠償追究有效期限, 依電子簽章法主管機關與相關法律之規範辦理 9.9.2 下屬憑證機構與交互認證機構之賠償責任總管理中心在法律規範下, 得要求下屬憑證機構與交互認證機構於下述情形造成直接損害時, 應負擔賠償責任 : (1) 下屬憑證機構或交互認證機構於憑證申請時提供虛假或欺詐的陳述, 造成總管理中心簽發了不正確的憑證機構憑證或交互認證憑證 (2) 下屬憑證機構或交互認證機構未妥善保管其私密金鑰, 導致私密金鑰遭破解揭露修改或未經授權的使用 (3) 下屬憑證機構或交互認證機構違反法律憑證政策或本作業基準 ( 如未依照憑證實務作業基準規定之保證等級簽發適當之憑證 ) 交互認證協議之規定, (4) 下屬憑證機構或交互認證機構違背總管理中心參與各作業系統瀏覽器與軟體平台之根憑證計畫所簽署之協議, 甚至影響了總管理中心在上述應用軟體提供者 (Application Software Suppliers) 已經植入或即將申請植入之憑證機構信賴清單總管理中心得於交互認證協議約定下屬憑證機構或交互認證機構賠償之責任 118

9.10 有效期限與終止 9.10.1 有效期限本作業基準和附件於電子簽章法主管機關核定並公告於 eca 網站與儲存庫時生效, 且直到被新的版本取代前仍然有效 9.10.2 終止本作業基準和附件最新版本於電子簽章法主管機關核定並公布後, 舊的版本即終止 9.10.3 效力的終止與保留透過 eca 網站與儲存庫溝通本作業基準效力終止的狀況和影響此溝通將強調本作業基準效力終止的保留情形, 最起碼保護機密資訊的相關責任在本作業基準終止後仍將保留 9.11 主要成員間的個別通告與溝通總管理中心下屬憑證機構交互認證憑證機構用戶信賴憑證者彼此間得採適當的方式, 建立通告與聯絡管道, 包括但不限於 : 公文書信電話傳真電子郵件或安全電子郵件 9.12 修訂 9.12.1 修訂程序本作業基準每年定期評估是否需要修訂, 以維持其保證度 119

修訂方式包括以附加文件方式修訂及直接修訂本作業基準的內容如憑證政策修訂或物件識別碼變更時, 本作業基準將配合修訂 9.12.2 通知機制和期限 9.12.2.1 通知機制所有變更項目將公告於總管理中心儲存庫, 第 9.12.2.2 節之 (1) 影響程度大者, 將發函通知非本公司設立之下屬憑證機構與交互認證憑證機構本作業基準重新排版時, 不另作通知 9.12.2.2 變更項目評估變更項目對下屬憑證機構交互認證憑證機構或信賴憑證者之影響程度 : (1) 影響程度大者, 於總管理中心儲存庫公告 30 個日曆天, 始得修訂 (2) 影響程度小者, 於總管理中心儲存庫公告 15 個日曆天, 始得修訂 9.12.2.3 意見之回覆期限對於變更項目有意見者, 其回覆期限 : 第 9.12.2.2 節之 (1) 影響程度大者, 回覆期限為自公告日起 15 個日曆天內 120

第 9.12.2.2 節之 (2) 影響程度小者, 回覆期限為自公告日起 7 個日曆天內 9.12.2.4 處理意見機制對於變更項目有意見者, 於意見回覆期限截止前, 以總管理中心儲存庫公告之回覆方式傳送給總管理中心, 總管理中心將考量相關意見, 評估變更項目 9.12.2.5 最後公告期限本作業基準公告之變更項目依照第 9.12.1 及第 9.12.2 節規定進行修訂, 公告期限依照第 9.12.2.3 節規定至少公告 15 個日曆天, 直到本作業基準修訂生效 9.12.3 必須修改憑證政策物件識別碼之事由憑證政策的修改不影響憑證政策所聲明的憑證使用目的與保證度時, 憑證政策之物件識別碼不需修改, 憑證政策之物件識別碼變更, 憑證實務作業基準應作相對應之變更 9.13 爭議解決本公司所屬憑證機構與總管理中心如有爭議時, 依本公司組織管理體制, 由共同上級主管調處解決非本公司設立之交互認證憑證機構與總管理中心如有爭議時, 應先進行協商以取得共識如協商不成時, 依雙方契約約定之紛爭處理程序處理如需 121

訴訟時, 以臺灣臺北地方法院為第一審管轄法院 9.14 管轄法律牽涉總管理中心所簽發之憑證的任何爭議由中華民國相關法令規定管轄 9.15 適用法律依據憑證政策及本作業基準所簽署的任何協議之解釋及合法性, 必須遵循中華民國相關法令規定 9.16 雜項條款 9.16.1 完整協議 (Entire Agreement) 本作業基準所約定者, 構成主要成員間最終且完整的約定主要成員間就同一事項縱使先前曾以口頭或書面有其他的表示, 最終仍應以本作業基準之約定為準 9.16.2 轉讓本作業基準所敘述的主要成員 ( 總管理中心下屬憑證機構交互認證憑證機構用戶信賴憑證者 ) 之間的權利或責任, 不能在未通知總管理中心下以任何形式轉讓給其他方 9.16.3 可分割性如本作業基準的任一章節不正確或無效時, 其他章節仍然有 122

效, 直到本作業基準修改為止 9.16.4 契約履行因可歸責於用戶或信賴憑證者之故意或過失違反本憑證作業基準相關規定, 致本管理中心受有損害時, 本管理中心除得請求損害賠償以外, 並得向可歸責之一方請求支付為處理該爭議或訴訟之律師費用本管理中心未向違反本憑證作業基準相關規定者主張權利, 不代表本管理中心對於其繼續或未來違反本憑證作業基準情事, 有拋棄權利主張之意思 9.16.5 不可抗力因不可抗力或其他非可歸責於總管理中心之事由致憑證機構或信賴憑證者受有損害, 包含但不限於天災戰爭恐怖攻擊或天然災害等事件, 總管理中心不負任何法律責任 9.17 其他條款不做規定 123

附錄 1: 縮寫和定義縮寫全稱中文名詞或定義 AIA Authority Info Access 憑證機構存取資訊, 參見附錄 2 AICPA American Institute of Certified Public Accountants 美國會計師公會, 參見附錄 2 CA Certification Authority 憑證機構, 參見附錄 2 CARL Certificate Authority Revocation List 憑證機構廢止清冊, 參見附錄 2 CCA Cross Certification Agreement 交互認證協議書, 參見附錄 2 CARL Certification Authority Revocation List 憑證機構廢止清冊, 參見附錄 2 CMM Capability Maturity Model 能力成熟度模型, 參見附錄 2 CP Certificate Policy 憑證政策, 參見附錄 2 CPA Chartered Professional Accountants Canada 加拿大會計師公會, 參見附錄 2 CP OID CP Object Identifier 憑證政策物件識別碼 CPS Certification Practice Statement 憑證實務作業基準, 參見附錄 2 CRL Certificate Revocation List 憑證廢止清冊, 參見附錄 2 CT Certificate Transparency 憑證透明化, 參見附錄 2 DN Distinguished Name 唯一識別名稱 DNS Domain Name System 網域名稱系統, 參見附錄 2 DV Domain Validation 網域驗證, 參見附錄 2 124

縮寫全稱中文名詞或定義 eca epki Root Certification Authority 中華電信憑證總管理中心, 參見附錄 2 EE End Entities 終端個體, 參見附錄 2 epki Chunghwa Telecom ecommerce Public Key Infrastructure 中華電信公開金鑰基礎建設, 參見附錄 2 EV Extended Validation 延伸驗證, 參見附錄 2 FIPS FQDN IANA IETF (US Government) Federal Information Processing Standard Fully Qualified Domain Name Internet Assigned Numbers Authority, IANA Internet Engineering Task Force ( 美國 ) 聯邦資訊處理標準完全吻合網域名稱, 參見附錄 2 網路通訊協定註冊中心, 參見附錄 2 網際網路工程任務小組, 參見附錄 2 IV Individual Validation 個人驗證, 參見附錄 2 NIST OCSP (US Government) National Institute of Standards and Technology Online Certificate Status Protocol ( 美國 ) 國家標準和技術研究院, 參見附錄 2 線上憑證狀態查詢協定或線上憑證狀態查詢協定服務 OID Object Identifier 物件識別碼, 參見附錄 2 OV Organization Validation 組織驗證, 參見附錄 2 PIN Personal Identification Number 個人識別碼 PKCS Public-Key Cryptography Standard 公開金鑰密碼學標準, 參見附 125

縮寫全稱中文名詞或定義錄 2 PKI Public Key Infrastructure 公開金鑰基礎建設, 參見附錄 2 RA Registration Authority 註冊中心, 參見附錄 2 RFC Request for Comments 徵求修正意見書, 參見附錄 2 SSL Security Socket Layer 安全插座層協定, 參見附錄 2 TLS Transport Layer Security 傳輸層安全協定, 參見附錄 2 UPS Uninterrupted Power System 不斷電系統, 參見附錄 2 126

附錄 2: 名詞解釋中 / 英文名詞定義存取 (Access) 運用系統資源處理資訊的能力存取控制 (Access Control) 啟動資料 (Activation Data) 對於授權的使用者程式程序或其他系統給予資訊系統資源存取權限的處理過程在存取密碼模組時 ( 例如用來開啟私密金鑰以進行簽章或解密 ), 除金鑰外所需的隱密資料與加拿大會計師公會共同訂頒 The Trust 美國會計師公會 (American Institute of Certified Public Accountants, AICPA) 申請者 (Applicant) Services Principles and Criteria for Security, Availability, Processing Integrity, Confidentiality and Privacy 系列標準之單位, 並為 WebTrust for CA SSL Baseline Requirement & Network Security 標章之管理單位向憑證機構申請憑證, 而尚未完成憑證簽發作業程序的用戶實體上 ( 與主要資料存放處 ) 分隔的長期資料儲歸檔 (Archive) 存處, 可用來支援稽核服務可用性服務或完整性服務等用途據以信賴該個體已符合特定安全要件之基礎保證 (Assurance) ( 憑證實務作業基準應載明事項準則第 1 章第 2 條第 1 項 ) 保證等級 (Assurance Level) 稽核 (Audit) 具相對性保證層級中之某 1 級數 ( 憑證實務作業基準應載明事項準則第 1 章第 2 條第 2 項 ) 評估系統控制的是否恰當確保符合既定的政 127

中 / 英文名詞定義策及營運程序並對現有的控制政策及程序建議必要的改善而進行的獨立檢閱及調查依照發生時間順序之系統活動紀錄, 可用以重稽核紀錄 (Audit Data) 建或調查事件發生的順序及某個事件中的變化鑑別 (Authenticate) (1) 驗證某個聲稱的身分是合法的且屬於提出此聲稱者的程序 (A Guide to Understanding Identification and Authentication in Trusted Systems, National Computer Security Center) (2) 當某個體出示身分時, 確認其身分之正確性 (1) 建立使用者或資訊系統身分信賴程度的程序 (NIST.SP.800-63-2 Electronic Authentication Guideline) (2) 用以建立資料傳送訊息來源者之安全措鑑別程序鑑別 (Authentication) 施, 或是驗證個人接收特定種類資訊權限之方法 (3) 鑑別是識別的證明 (A Guide to Understanding Identification and Authentication in Trusted Systems) 而所謂的相互鑑別 (Mutual Authentication, National Computer Security Center) 是指發生在進行通訊活動的兩方彼此進行鑑別憑證機構存取資訊 (Authority Info Access, AIA) 記載有關存取憑證機構資訊的擴充欄位, 內容可包含 : 線上憑證狀態查詢協定 (OCSP) 的服務位址, 以及憑證簽發機構之憑證驗證路徑的下載位址等微軟之視窗作業系統中文版將此名 128

中 / 英文名詞定義詞翻譯為授權存取資訊備份 (Backup) 將資料或程式複製, 必要時可供復原之用連結繫結 (Binding) 將兩個相關的資訊元素做連結 ( 結合 ) 的過程生物特徵值 (Biometric) 人的身體或行為的特徵憑證機構憑證 (CA Certificate) 簽發給憑證機構的憑證由美國卡內基美隆大學 (Carnegie Mellon University, CMU) 的軟體工程研究所 (Software 能力成熟度模型 (Capability Maturity Model, CMM) Engineering Institute, SEI) 以軟體流程評鑑 (Software Process Assessment, SPA) 與軟體能力評估 (Software Capability Evaluation, SCE) 為基礎的框架, 協助軟體開發業者找出軟體開發流程需要改善之處 (1) 指載有簽章驗證資料, 用以確認簽署人身分資格之電子形式證明 ( 電子簽章法第 2 條第 6 款 ) (2) 資訊之數位呈現, 內容包括 : A. 簽發的憑證機構憑證 (Certificate) B. 用戶之名稱或身分 C. 用戶的公開金鑰 D. 憑證之有效期間 E. 憑證機構數位簽章在本憑證政策中所提及的憑證特別指其格式為 ITU-T X.509 v.3, 且在其憑證政策欄位 129

中 / 英文名詞定義中明確地引用本憑證政策之物件識別碼的憑證 (1) 簽發憑證之機關法人 ( 電子簽章法第 2 條憑證機構 (Certification Authority, CA) 第 5 款 ) (2) 為使用者所信任之權威機構, 其業務為簽發並管理 ITU-T X.509 格式之公開金鑰憑證及憑證機構廢止清冊或憑證廢止清冊憑證機構廢止清冊 (Certification Authority Revocation List, CARL) 經簽署及蓋時戳之清單, 清單中為已被廢止之憑證機構公開金鑰憑證 ( 包括下屬憑證機構憑證或交互憑證 ) 之序號 (1) 某 1 憑證所適用之對象或情況所列舉之 1 套規則, 該對象或情況可為特定之社群或具共同安全需求之應用 ( 憑證實務作業基準應載明事項準則第 1 章第 2 條第 3 項 ) (2) 憑證政策係為透過憑證管理執行的電子交易憑證政策 (Certificate Policy, CP) 所訂定之具專門格式的管理政策憑證政策中包括與數位憑證相關之生成產製傳送稽核被破解後的復原以及其管理等各項議題憑證政策亦可間接地控制運用憑證之安全系統, 以保護通訊系統所進行的交易藉由控制關鍵的憑證擴充欄位方式, 憑證政策及其相關技術可提供特定應用所需的安全服務憑證實務作業基準 (1) 由憑證機構對外公告, 用以陳述憑證機構據 130

中 / 英文名詞 (Certification Practice Statement, CPS) 定義以簽發憑證及處理其他認證業務之作業準則 ( 電子簽章法第 2 條第 7 款 ) (2) 宣告某憑證機構對憑證之作業程序 ( 包括簽發停用廢止展期及存取等 ) 符合特定需求 ( 需求載明於憑證政策或其他服務契約中 ) 之聲明 (1) 憑證機構以數位方式簽章, 並可供信賴憑證憑證廢止清冊 (Certificate Revocation List, CRL) 者使用之已廢止憑證表列 ( 憑證實務作業基準應載明事項準則第 1 章第 2 條第 8 項 ) (2) 由憑證機構維護之清單, 清單中記載由此憑證機構所簽發且在到期日之前被廢止之憑證憑證透明化 (Certificate Transparency, CT) 憑證透明化機制為一個公開監控與稽核網際網路上所有憑證的開放性架構 ( 現階段以 SSL 憑證為優先目標 ), 透過公開憑證的簽發與存在等資訊給網域名稱所有者 CA 憑證機構以及網域名稱使用者, 供其判斷憑證是否被錯誤或惡意簽發 ; 換言之, 其目的係提供一個可用於監控 TLS/SSL 憑證機制與審核特定 TLS/SSL 憑證的公開監控與資訊公開的環境, 以遏止憑證相關威脅憑證透明化機制, 主要由憑證日誌憑證監控者以及憑證稽核者等三個要素所組成加拿大會計師公會與美國會計師公會共同訂頒 The Trust Services 131

中 / 英文名詞 (Chartered Professional Accountants Canada, CPA) 定義 Principles and Criteria for Security, Availability, Processing Integrity, Confidentiality and Privacy 系列標準之單位, 並為 WebTrust for CA SSL Baseline Requirement & Network Security 標章之管理單位加拿大會計師公會之前英文名稱為 Canadian Institute of Chartered Accountants, 縮寫為 CICA 元件私密金鑰 (Component Private Key) 破解 (Compromise) 與憑證簽發設備功能相關聯的私密金鑰, 相對於與操作員或管理者相關聯的私密金鑰資訊洩漏給未經授權的人士或違反資訊安全政策造成物件未經授權蓄意非蓄意的洩漏修改毀壞或遺失機密性 (Confidentiality) 交互憑證 (Cross-Certificate) 交互認證協議書 (Cross Certification Agreement, CCA) 密碼模組 (Cryptographic Module) 資訊不會遭受未經授權的個體或程序獲知或取用在兩個憑證總管理中心 (Root CA) 之間建立信賴關係的一種憑證, 屬於一種憑證機構憑證 (CA Certificate), 而非用戶憑證總管理中心與交互認證憑證機構就交互憑證機構申請加入本公開金鑰基礎建設所必須遵守之事項及個別責任義務歸屬的協議 1 組硬體軟體韌體或前述的組合, 用以執行密碼的邏輯或程序 ( 包含密碼演算法 ), 並且被包含在此模組的密碼邊界之內 132

中 / 英文名詞定義金鑰效期 (Cryptoperiod) 每個金鑰設定之有效期限資料完整性 (Data Integrity) 資料未遭受未經授權或意外的更改破壞或遺失的性質將電子文件以數學演算法或其他方式運算為一數位簽章 (Digital Signature) 定長度之數位資料, 以簽署人之私密金鑰對其加密, 形成電子簽章, 並得以公開金鑰加以驗證者 ( 電子簽章法第 2 條第 3 款 ) 網域名稱 (Domain Name) 在網域名稱系統分配給 1 個節點 (node) 的標籤 (label) 亦即轉換 IP 位址為人類容易記憶之文字名稱網域名稱系統 (Domain Name System, DNS) 用來自動轉換 IP 位址與網域名稱的分散式資料庫 SSL 憑證之核發, 鑑別用戶之網域名稱控制權但網域驗證 (Domain Validation, DV) 並未鑑別用戶之組織或個人身分故連結安裝網域驗證型 SSL 憑證之網站, 可提供 TLS 加密通道, 但無法知道該網站之擁有者是誰雙重用途憑證 (Dual-Use Certificate) 憑證效期 (Duration) 可用於數位簽章及資料保護兩種服務的憑證 1 憑證欄位, 由有效期限起始時間 (notbefore) 及有效期限截止時間 (notbefore) 兩個子欄位所組成電子商務 (E-commerce) 使用網路科技 ( 特別是網際網路 ) 以提供買賣貨物及相關服務 133

中 / 英文名詞加密憑證 (Encryption Certificate) 定義 1 憑證, 包含用以加密電子訊息檔案文件或資料的公開金鑰, 此金鑰亦可用來建立或交換以上各項加密用途的短期密鑰在本基礎建設中包括以下兩類個體 : (1) 負責保管及應用憑證的私密金鑰擁有者終端個體 (End Entity) (2) 信賴本基礎建設憑證機構所簽發憑證的第三者 ( 不是私密金鑰擁有者, 也不是憑證機構 ), 亦即終端個體為用戶及信賴憑證者, 包括人員組織客戶 (Account) 裝置或站台 (Site) 終端個體憑證 (End-Entity Certificate) 中華電信公開金鑰基礎建設 (Chunghwa Telecom ecommerce Public Key Infrastructure, epki) 中華電信公開金鑰基礎建設政策管理委員會 (epki Policy Management Committee, 簡稱政策管理委員會 ) 中華電信憑證總管理中心 (epki Root CA, eca) 簽發給終端個體的憑證為推動電子化政策, 健全電子商務基礎環境, 依照 ITU-T X.509 標準建置的階層式公開金鑰基礎建設, 可適用於電子商務與電子化政府的各項應用 1 組織, 其設立目的為 : 研議本基礎建設憑證政策及電子憑證體系架構接受下屬憑證機構與交互證認證憑證機構的互運申請及其他如審議憑證實務作業基準等電子憑證管理事項中華電信公開金鑰基礎建設的根憑證機構 (Root Certification Authority, Root CA), 在此階層式公開金鑰基礎建設架構中屬於最頂層的憑證機 134

中 / 英文名詞定義構, 其公開金鑰為信賴之起源延伸驗證 (Extended Validation, EV) 延伸驗證型憑證 (EV Certificate) 由 CA/Browser Forum 所發行的 Guidelines for the Issuance and Management of Extended Validation Certificates 所定義之驗證程序憑證其主體 (Subject) 資訊包含依據 CA/Browser Forum Guidelines for the Issuance and Management of Extended Validation Certificates 規定經過驗證的資訊為美國聯邦政府制定除軍事機構外, 所有政府聯邦資訊處理標準 (Federal Information Processing Standard, FIPS) 機構及政府承包商所引用之資訊處理標準其中密碼模組安全需求標準為 FIPS 第 140 號標準 ( 簡稱 FIPS 140),FIPS 140-2 將密碼模組區分為 11 類安全需求, 每一個安全需求類別再分成 4 個安全等級防火牆 (Firewall) 完全吻合網域名稱 (Fully Qualified Domain Name,FQDN) 符合近端 ( 區域 ) 安全政策而對網路之間做接取限制的閘道器 1 種用於指定電腦在網域階層中確切位置的明確網域名稱完全吻合網域名稱包含主機名稱 ( 服務名稱 ) 與網域名稱兩部分例如 ourserver.ourdomain.com.tw ourserver 是主機名稱,ourdomain.com.tw 是網域名稱, 其中 ourdomain 是次級網域名稱,. com 則是通用頂級網域名稱 (Generic Top-Level Domain, gtld),.tw 則是國碼頂級網域名稱 (Country 135

中 / 英文名詞定義 Code Top-Level Domain, cctld) 完全吻合網域名稱的開頭一定是主機名稱識別 (Identification) 識別是某使用者是誰 ( 廣為週知 ) 的陳述方式或表達方式 (A Guide to Understanding Identification and Authentication in Trusted Systems) 識別是指描述或宣稱某個當事人或個體的方式, 例如透過使用者帳號姓名電子郵件對資訊的保護, 使其不受未經授權的修改或破完整性 (Integrity) 壞資訊從來源產製後, 經傳送儲存到最終被收受方接收的期間中都維持不被篡改的一種狀態網際網路工程任務小組 (Internet Engineering Task Force, IETF) 負責網際網路標準的開發和推動官方網站位於 https://www.ietf.org/, 其願景是藉由產製高品質之技術文件影響人類設計使用與管理網際網路, 使得網際網路運作更順暢 SSL 憑證核發過程中, 除了識別與鑑別自然人用戶之網域控制權外並且依照憑證的保證等級識個人驗證 (Individual Validation, IV) 別與鑑別用戶之個人身分故連結安裝個人驗證型 SSL 憑證之網站, 可提供 TLS 加密通道, 知道該網站之擁有者是那一個人並確保傳遞資料之完整性將用戶的私密金鑰及依據用戶必須遵守的託管金鑰託管 (Key Escrow) 協議 ( 或類似的契約 ) 所規定的相關資訊進行存放, 此託管協議的條款要求 1 個或 1 個以上的 136

中 / 英文名詞定義代理機構基於有益於用戶雇主或另一方的前提下, 依據協議的規定, 擁有用戶的金鑰金鑰交換 (Key Exchange) 金鑰產製原料 (Key Generation Material) 交換彼此金鑰以建立安全通訊的處理過程用於產製金鑰的隨機亂數擬隨機亂數及其他密碼參數兩把數學上有相關性的金鑰, 具有下列特性 : (1) 其中 1 把金鑰用來做訊息加密, 而此加密訊息金鑰對 (Key Pair) 只有用成對關係的另 1 把金鑰可以解密 (2) 從其中 1 把金鑰要推出另 1 把金鑰 ( 從計算的角度而言 ) 是不可行的網路通訊協定註冊中心 (Internet Assigned Numbers Authority, IANA) 簽發憑證機構 (Issuing CA) 命名機構 (Naming Authority) 網際網路位址指派機構, 負責管理國際網際網路中使用的 IP 位址網域名稱和許多其它參數對於 1 張憑證而言, 簽發該憑證的憑證機構即稱為該憑證的簽發憑證機構負責指定唯一識別名稱並確保每個唯一識別名稱有意義且在其領域內為唯一的權責單位對資料傳送方提供傳送證明以及對資料收受方不可否認性 (Non-Repudiation) 提供傳送方的身分之保證, 因而兩方在事後皆無法否認曾經處理過此項資料技術上的不可否認性是指對信任者 ( 信任之一方 ) 而言, 如果某個公開金鑰可用以驗核某個數位簽章, 保證此 137

中 / 英文名詞定義簽章必定是由相對應的私密金鑰所簽署在法律上, 不可否認性是指建立私密簽章金鑰之擁有或控管機制 (1) 1 種以字母或數字組成之唯一識別碼, 該識別碼必須依國際標準組織所訂定之註冊標準加以註冊, 並可被用以識別唯一與之對應之憑證政策 ; 憑證政策修訂時, 其物件識別碼不物件識別碼 (Object Identifier, OID) 必然隨之變更 ( 憑證實務作業基準應載明事項準則第 1 章第 2 條第 4 項 ) (2) 向國際認可之標準機構 (ISO) 註冊的特別形式的數碼, 當提及某物件或物件類別時, 可以引用此唯一的數碼做辨識例如在公開金鑰基礎架構中, 可以此數碼來指明使用的憑證政策及使用的密碼演算法線上憑證狀態查詢協定 (Online Certificate Status Protocol, OCSP) 線上憑證狀態查詢協定 (Online Certificate Status Protocol) 是 1 種線上憑證檢查協定, 使信賴憑證者應用軟體可決定某張憑證之狀態 ( 例如已廢止有效等 ) 藉由 SSL 網站服務伺服器向 OCSP 伺服器索取時戳式線上憑證狀態查詢協定服務 (OCSP Stapling) 1 次有時間限制的 OCSP Response 訊息 ( 例如兩小時, 仍比憑證廢止清冊每隔 1 天發布來得短而即時 ) 之後, 下次該 SSL 網站服務直接回傳此 OCSP Response 給予用戶 ( 通常為瀏覽器 ), 以避免用戶每次連結高流量 TLS 網站都需要向 138

中 / 英文名詞定義憑證機構之 OCSP 服務詢問其 SSL 憑證狀態此種機制藉由 SSL 網站直接提供用戶由 CA OCSP 伺服器一定時間間隔數位簽章之 SSL 憑證有效性訊息, 也避免 OCSP 伺服器可能得知有哪些用戶嘗試瀏覽該 SSL 網站的隱私疑慮特殊安全管道 (Out-of-Band) 不同於一般的傳送訊息管道的傳送方式例如使用電子線上傳送的情形, 可稱使用實體的掛號信為特殊安全管道 SSL 憑證核發過程中, 除了識別與鑑別用戶之網域名稱控制權外並且依照憑證的保證等級識別組織驗證 (Organization Validation, OV) 與鑑別用戶之組織或個人身分故連結安裝組織驗證型 SSL 憑證之網站, 可提供 TLS 加密通道, 知道該網站之擁有者是誰, 並確保傳遞資料之完整性 (1) 在簽章金鑰對中, 用以產生數位簽章的金鑰私密金鑰 (Private Key) (2) 在加解密金鑰對中, 用以對機密資訊解密的金鑰在這兩種情境中, 此金鑰皆須保密 (1) 在簽章金鑰對中, 用以驗證數位簽章有效的金鑰公開金鑰 (Public Key) (2) 在加解密金鑰對中, 用以對機密資訊加密的金鑰在這兩種情境中, 此金鑰皆須 ( 一般以數位憑證的形式 ) 公開可得 139

中 / 英文名詞公開金鑰密碼學標準 (Public-Key Cryptography Standard, PKCS) 公開金鑰基礎建設 (Public Key Infrastructure, PKI) 定義 RSA 資訊安全公司旗下的 RSA 實驗室為促進公開金鑰技術的使用, 所發展一系列的公開金鑰密碼編譯標準, 廣為業界採用由法律政策規範人員設備設施技術流程稽核和服務之集合, 在廣泛尺度上發展與管理非對稱式密碼學及公鑰憑證 (1) 負責確認憑證申請人之身分或其他屬性, 但不簽發憑證亦不管理憑證註冊中心是否需註冊中心 (Registration Authority, RA) 為其行為負責及其應負責任之範圍, 依所適用之憑證政策或協議訂之 (2) 1 個體, 負責對憑證主體做身分識別及鑑別, 但不做憑證簽發金鑰更換 (Re-key (a certificate)) 改變在密碼系統應用程式中所使用之金鑰之值通常必須藉由對新的公開金鑰簽發新的憑證來達成 (1) 信賴所收受之憑證及可用憑證中所載之公開金鑰加以驗證之數位簽章者, 或信賴憑證中所命名主體之身份 ( 或其他屬性 ) 及憑證所載信賴憑證者 (Relying Party) 公開金鑰之對應關係者 ( 憑證實務作業基準應載明事項準則第 1 章第 2 條第 6 項 ) (2) 個人或機構收到包含憑證及數位簽章 ( 此數位簽章可藉由憑證上所列之公開金鑰做驗證 ) 之資訊, 並且可能信賴這些資訊 140

中 / 英文名詞憑證展期 (Renew (a certificate)) 定義藉由簽發新的憑證, 以延展公開金鑰憑證所連結資料有效性的程序 (1) 用以儲存與檢索憑證或其他憑證相關資訊之儲存庫 (Repository) 可信賴系統 (Trustworthy System) ( 憑證實務作業基準應載明事項準則第 1 章第 2 條第 7 項 ) (2) 包含本憑證政策與憑證相關資訊的資料庫 IANA 設定為保留的 IPv4 或 IPv6 位址, 參見保留 IP 位址 (Reserved IP Addresses) 根憑證機構 (Root Certification Authority, Root CA) 憑證廢止 (Revoke a Certificate) 徵求修正意見 (Request for Comments, RFC) http://www.iana.org/assignments/ipv4-address-spa ce/ipv4-address-space.xml 與 http://www.iana.org/assignments/ipv6-address-spa ce/ipv6-address-space.xml 1 個公開金鑰基礎建設中最頂層的憑證機構, 除了簽發下屬 CA 憑證與自簽憑證外, 其自簽憑證由應用軟體提供者負責散布, 中文也有稱為憑證總管理中心或最頂層憑證機構在憑證的有效期間內, 提前終止憑證的運作由網際網路工程任務小組 (IETF) 發行的一系列備忘錄包含網際網路 UNIX 和網際網路社群的規範協定流程等的標準檔案, 以編號排定安全插座層 (Secure Socket Layer) 由網景公司 (Netscape) 推出 Web 瀏覽器時所提出的協定, 可於傳輸層對網路通信進行加密, 並確保傳送資料之完整性以及對於伺服器端與 141

中 / 英文名詞定義用戶端進行身分鑑別安全插座層協定的優勢在於它與應用層協定獨立無關高層的應用層協定 ( 例如 :HTTP FTP Telnet 等 ) 能透通地建立於 SSL 協定之上 SSL 協定在應用層協定通信之前就已經完成加密演算法通信密鑰的協商以及伺服器認證工作此協定之繼任者是 TLS(Transport Layer Security) 協定在對稱式密碼系統中共持的秘密, 使用者之身分鑑別是藉由 password PIN 或與遠端主機 ( 或秘密金鑰 (Secret Key) 伺服器 ) 共享的其他秘密單一的金鑰由兩方共持 : 傳送方用以加密傳送訊息, 而收受方用以解密此訊息此共持的金鑰由兩方在事前所協議的演算法生成簽章憑證 (Signature Certificate) 簽發憑證機構 (Subject CA) 下屬憑證機 (Subordinate CA) 用戶 (Subscriber) 公開金鑰憑證包含用以驗證數位簽章 ( 而非用於加密資料或其他密碼功用 ) 之公開金鑰對於 1 張憑證機構憑證 (CA Certificate) 而言, 該憑證的憑證主體 (Subject) 所指的憑證機構即稱為該憑證的主體憑證機構在階層架構的公開金鑰基礎建設中, 憑證由另 1 個憑證機構所簽發, 且其活動受限於此另 1 憑證機構的憑證機構 (1) 指憑證中所命名或識別之主體, 且其持有與憑證中所載公開金鑰相對應之私密金鑰者 142

中 / 英文名詞定義 ( 憑證實務作業基準應載明事項準則第 1 章第 2 條第 5 項 ) (2) 具下列特性之個體, 包括 ( 但不限於 ) 個人機構伺服器軟體或網路裝置 : (a) 簽發憑證上所載明之主體 (b) 擁有與憑證上所列公開金鑰對應之私密金鑰 (c) 本身不簽發憑證給其他方技術上的不可否認性 (Technical Non-Repudiation) 公開金鑰機制所提供的技術性證據以支援不可否認之安全服務對資訊系統可能造成損害 ( 包括損毀揭露惡意修改資料或拒絕服務 ) 的任何狀況或事件可分為內部威脅 (Inside Threat) 與外部威脅 (Outside Threat) 內部威脅是指利用授與之權威脅 (Threat) 限, 可能透過資料的破壞揭露篡改或拒絕服務等方式造成對資訊系統的損害外部威脅是指來自外部未經授權, 且對資訊系統具有潛在破壞能力 ( 包括對資料的毀壞篡改洩漏, 或是造成阻斷服務 ) 的個體時戳 (Time stamp) 傳輸層安全協 (Transport Layer Security, TLS) 由可信賴的權威機構以數位方式簽署, 證明某特定數位物件在某特別時間之存在由網際網路工程任務小組 (IETF) 將 SSL 協定制訂為 RFC 2246, 並將其稱為 TLS (Transport 143

中 / 英文名詞定義 Layer Security), 其最新版本是 RFC 5246, 亦即 TLS 1.2 協定信賴清單 (Trust List) 可信賴憑證之清單, 信賴憑證者用以鑑別憑證可信賴憑證 (Trusted Certificate) 為信賴憑證者所信賴且經由安全可靠之傳送方式取得的憑證此類憑證中所包含的公開金鑰用於信賴路徑之起始, 又稱為信賴起源具有下列性質之電腦硬體軟體及程序 : 可信賴系統 (Trustworthy System) (1) 對於入侵及誤用有相當的保護功能 (2) 提供合理的可用性可靠度及正確操作 (3) 適當地執行預定功能 (4) 與一般為人所接受的安全程序一致在電力異常 ( 如停電干擾或電湧 ) 的情況下不斷電系 (Uninterrupted Power System, UPS) 不間斷地提供負載設備後備電源, 以維持諸如伺服器或交換機等關鍵設備或精密儀器的不間斷運作, 防止運算數據遺失, 通信網路中斷或儀器失去控制驗證 (Validation) 憑證申請者的識別流程驗證是識別 (identification) 的子集合, 是指建立憑證申請者的身分背景之識別 (RFC 3647) 零值化 (Zeroize) 清除電子式儲存資料之方法, 藉由改變資料儲存以防止資料被復原 144