五、政府憑證管理中心相關規範.docVIP

五、政府憑證管理中心相關規範 （一）技術標準 政府憑證管理中心(Government Certificate Authority, GCA)有關電子憑證之命名、加密演算、數位簽章演算、憑證格式、憑證編碼、私密金鑰加密格式等所採用之標準與格式如下： １、命名(Naming)：採X.509命名方式。其他標準包括電子郵件E-mail(RFC 822)、網域名稱服務Domain Name Service Name(RFC 1035)、Originator/Recipient Address O/R Address(X.400, 1988)、 目錄名稱Directory Name(X.501,1993)、電子文件交換EDI part Name、 全球資訊網網址Uniform Resource Locator URL(RFC 1630)、網際網路位址IP address(RFC 791)及註冊識別碼Registered ID(X.660)等。 ２、加密演算法 ：採Triple DES CBC 112 bits演算法。 ３、憑證的數位簽章演算法：採RSA演算法，其金鑰長度為1024 bits，並配合雜湊函數SHA-1作訊息摘要，補白(padding)方法採SET規範。 ４、憑證公佈(Certificate Distribution)：採用HTTP協定。 ５、憑證格式(Certificate Format)：採用X.509(V3，1993)標準。 ６、廢止清冊(CRL)：採用X.509(V2，1993)標準。 ７、憑證編碼方式。 （１）Abstract Syntax Notation One( ASN.1)：描述資料欄位的形態與數值(定義在 CCITTT X.208, 1988) （２）Basic Encoding Rule(BER)：描述資料標碼規則(定義在 CCITT X.209, 1988) （３）Distinguish Encoding Rule(DER)：對 ASN.1提供唯一編碼方式，DER是 BER的 Subset(定義在 ITU-T X.690, 1994) ８、個人密鑰: 採用 PKCS#5 (PKCS: Public Key Cryptographic Standard)公開金鑰密碼標準格式加密格式。 ９、通信協定： （１）TCP/IP （２）HTTP （二）政府機關憑證格式 有關GCA的憑證格式及其ASN.1的格式如下說明 １、GCA 憑證格式(X.509 v3) 憑證管理中心所使用之公開金鑰憑證內容敘述如下： (1)版本：該憑證製作所依據的X.509版序（V3） (2)序號：由憑證管理中心所給定的唯一憑證序號 (3)數位簽章演算法：憑證管理中心簽署該憑證所用的演算法 (4)簽發單位名稱：簽署該憑證之憑證管理中心名稱 (5)憑證有效期限：該憑證生效日期與截止日期 (6)用戶名稱：依據X.500命名方式所命名的用戶名稱 (7)公開金鑰資料：公開金鑰的值與演算法名稱 (8)簽發者識別號：簽署該憑證之憑證管理中心獨有的識別號碼 (9)用戶識別號：用戶獨有唯一識別碼 (10)X.509 擴充欄位（V3）：憑證管理中心的政策與金鑰名稱補充 (11)數位簽章演算法：憑證管理中心簽章所用的演算法 (12)數位簽章：憑證管理中心對以上資料作數位簽章 　　公鑰憑證擴充欄位(Certificate Extensions) 敘述如下： (1)金鑰的用途(Key Usage) (2)憑證簽發原則與政策（Certificate Policies） (3)替代名稱（Alternative Name） (4)基本限制（Basic Constraints） ２、憑證的ASN.1格式說明 憑證的ASN.1格式詳細如下所列： Certificate ::= SEQUENCE { tbsCertificate TBSCertificate, signatureAlgorithm AlgorithmIdentifier, signature BIT STRING } TBSCertificate ::= SEQUENCE { version 　[0] EXPLICIT Version, serialNumber CertificateSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueID [1] IMPL