國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
在前面的章節有提到,私鑰的保管對加密貨幣的儲存與交易至關重要,台灣 Bitcoin 網站[31]也有特別提醒用戶特有比特幣的風險,其中便包含比特幣遺失,就如同口袋中 的鈔票憑空消失,即使進行私鑰備份,備份越多、遺失的機率或被偷的機率也越多,由 用戶自行保管儲存私鑰、自行備份,雖然風險由用戶自負,卻也無法幫用戶解決私鑰遺 失找不回的問題。
本研究提出運用秘密分享(Secret Sharing)的方法,先將私鑰進行切分,再使用用 戶登入密碼之密碼延伸、透過用戶裝置 FIDO 身份驗證後產生金鑰以及交易帄台金鑰等,
作為切分後密碼份額的加密鑰匙,並由其中至少兩份推回原始秘密,以保障密碼遺失或 遭竊之風險。
3.2 FIDO 標準之原理與延伸
網路的發達讓許多業務都已朝向數位化與行動化的建設發展,而網站系統的身分驗證也 成了不可忽視的議題,再加上因網路釣魚攻擊騙取使用者登入憑證及帳號的安全問題逐 年攀升,2018 年相較於前一年的數量就增加了 65%[32],故免密碼的身分識別方案成為 熱議的話題,FIDO 聯盟亦為致力結合公開金鑰、生物辨識等技術,提供便利且安全的 網路身分驗證機制而訂定標準。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
圖 3.3 FIDO 運作原理示意圖
FIDO 標準化的運作原理如圖 3.3 示意,其是基於標準公鑰密碼學,在客戶端初始 階段透過線上服務註冊一個公鑰。之後在進行身分認證時,服務端透過向客戶端發貣簽 名挑戰來要求驗證客戶端擁有私鑰,以完成身分驗證[33]。
圖 3.4 PKI 使用 FIDO 驗證與 FIDO UAF 運作之對照圖
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
在研究 UAF 的註冊與驗證過程,於 FIDO 針對亞洲國家整合 FIDO UAF 和 PKI 的 案例研究與建議的白皮書中[34]有描述三類與 PKI 整合的設計,圖 3.4 為合併 PKI 使用 FIDO 驗證與 FIDO UAF 運作之對照圖,針對 FIDO UAF 密鑰對的運作,聯盟較建議將 FIDO 身分驗證的密鑰對與 PKI 金鑰分開使用,先完成 FIDO 註冊後再產生 PKI 的密鑰 對,共存於加密的安全元件中。但在本研究設計之流程中,由於無再另建 PKI 之必要,
主要僅為線上完成身分驗證,並有一組與身分驗證機制相結合的鑰匙,作為用戶端加解 密使用,故較符合白皮書中所述之第三類使用方式,且因無另建 PKI 之需要,亦不會有 與 FIDO 密鑰相衝突之考量。
本研究將設計 FIDO 的身分驗證流程結合帄台的身分驗證,於完成 FIDO 註冊流程 後,使用 FIDO 私鑰作為加密鑰匙之一,達到整合 FIDO 免密碼身分驗證機制。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第 4 章 研究方法與架構