行動自然人憑證可靠卡感應註冊。 （資料照，內政部提供）

林宗男／台大電機系教授

李忠憲／成大電機系教授

二、行動自然人憑證的架構

行動自然人憑證的TW FidO使用OpenID Server 做為單一登入（Single Sign ON）入口，這個伺服器能夠連接各種線上服務。使用者可透過各式行動裝置向這些線上資訊服務發起認證請求。接著，該請求會被轉發至OpenID 伺服器，該伺服器隨後會將認證訊息推播至使用者手機上的OpenID App。此App透過手機的KeyStore金鑰儲存區進行簽章認證，並將認證結果（核准或拒絕）回傳至OpenID 伺服器，最後再回傳給相關線上應用服務。

三、行動自然人憑證（TW FIDO）之資安風險

◎對於一般民眾的資安風險

請繼續往下閱讀...

（1）掌握使用行動自然人憑證民眾的數位足跡

SSO（單一登入）的主要好處是方便性，但是集中化架構的設計除了有單點失效（Single point of failure）的問題之外，它將掌握所有TW FIDO使用者的數位足跡。因為這樣集中化的不當設計，每個環節都非常重要，包含網路設備，系統程式、資料庫、介接的API、系統管理人員與支援的外部廠商，任何一個環節的疏忽及破口，都可能再次發生「十五萬買下全台灣二三○○萬人個資的資安事件」憾事。

◎對於政府單位使用TW FIDO 於公務的資安風險

（1）被第三方認證器掌握足跡

以Iphone為例，第三方認證器（Passkey）能夠看到使用者的登入紀錄和活動。這代表第三方服務可能會掌握使用者的網路足跡和行為模式，且第三方服務並不會保證不會將資訊外流，對於高機敏機關的使用者可能會造成隱私和資安上的疑慮。

（2）Passkey以手機作為認證器的公私帳號混淆管理問題

以iphone為例，Passkey是由個人雲端帳號管理，如果一個Passkey同時用於個人和公務的帳號，那麼它可能造成公私權責管理混淆的問題。如同公款不應該私用，私人帳號不應該用來存取公務服務，特別是在需要嚴格區分公務和私人事務的公務環境中。公私混用不僅可能導致管理上的混淆，還可能帶來資安和隱私問題。從資訊安全的可課責性（Accountability）而言，這是不應該的做法。

（3）安全強度不足，無法成為Strong Authenticator

在原來FIDO設計儲存於 USB Token 的FIDO Credential，有最高的安全等級，因此符合美國政府「零信任」文件中對於的「Fishing resistant」登入技術。當與企業等級的Identity Provider （IdP） （如微軟的Azure AD）串接時，就符合無密碼的 Strong Authenticator。 但是在目前行動自然人憑證（TW FidO）在同盟驗證下，如與微軟的Azure AD串接，TW FidO無法獨立成為一個強驗證選項，『因此會形成還要再次多因素驗證的情形』。但如果公務機關使用的是原來FIDO實體硬體金鑰（USB Token）搭配指紋模組作為FIDO驗證，其本身就屬於強驗證方式，因為具有 what you have （硬體金鑰）及 what you are （指紋模組），就不再需要進行MFA驗。因此可以發現TW FidO的驗證機制屬於疊床架屋，雖然加上FIDO的口號，但是並不具備正規設計的優點。

根據我們詳盡的技術分析，這個政策令人質疑，真正的零信任沒有做到，「米粉裏面沒有米」，而有一個集中式的機制來收集數位足跡，這樣會嚴重影響全民的隱私，也失去自然人憑證原先的分散式的嚴謹設計！

（完）

不用抽 不用搶 現在用APP看新聞 保證天天中獎　 點我下載APP　 按我看活動辦法