資訊科普系列(12) — 行動自然人憑證

架構

政府機關公開金鑰基礎建設(Government Public Key Infrastructure, GPKI)是依電子化政府推動方案，為健全電子化政府基礎環境建設。

它是依照ITU-T X.509標準建置的階層式公開金鑰基礎建設，由政府憑證總管理中心(Government Root Certification Authority, GRCA)，及各政府機關所設立的下屬憑證機構(Subordinate CA)所組成。

來源/https://grca.nat.gov.tw/index2.html

主要的元件:

1. 需用機關系統
2. 行動自然人憑證APP
3. 行動自然人憑證服務後台
4. 行動自然人憑證服務網站

驗證

會將sp_ticket的內容轉成QRCode讓手機驗證

sp_ticket

帶入合法身分證號、SP 服務識別代碼、SP 驗證碼後產生json格式的程式碼(回傳值會進行Bash64URL + Sha256)，讓client可以驗證自己的身份。主要用於認證/簽章。

1. 認證
2. 簽章(PKCS#1, PKCS#7, RAW)

使用PKCS#7進行簽章時沒有使用到憑證，因為client端是在GPKI下進行簽章我們可以使用CA的公開密鑰驗證簽名，而不需要在PKCS#7中包含憑證。

(一) 透過網頁轉導模式進行認證/簽署作業

API: SPAPI-WEB-01(網頁轉導模式介面)

1. 使用SP Callback URL(網頁轉導API的網址)讓機關系統能夠轉導到行動自然人憑證服務網站進行WebAuthn。
2. 行動自然人憑證認證網站透過網頁轉導方式將認證/簽署結果回傳至需用 機關 SP Callback URL。

(a). 網頁轉導 QRCode 驗證模式

(b). 網頁轉導推播驗證模式