<%@ page contentType="text/html;charset=UTF-8"%> <%@ include file="/common/taglibs.jsp"%>正确使用和保管你的数字证书-河北省电子商务认证有限公司(河北CA)
首页 > 技术专栏 > 数字证书知识 > 数字证书与CA认证  
 
正确使用和保管你的数字证书  

 

 数字证书保证网银交易安全

我们曾经讲到,受到了肉鸡攻击客户的电脑可能被黑客远程操纵。如果黑客假冒客户的名义进行网银交易,把客户帐户的钱划到了别人帐户中,这可怎么办?实际上,网银的安全专家已经想到了这一点,那就是要靠数字证书/电子签名来阻止黑客的诈骗行为。数字证书/电子签名机制是利用先进的公钥密码技术,解决网上信息传递中的真实性(身份认证)、保密性、完整性(防止篡改)和不可否认性的问题。黑客在没有掌握数字证书/私钥的情况下,一是无法和银行网站服务器完成加密通信,二是无法实施电子签名,对交易信息进行确认。由于缺少了交易的必要条件,银行也就拒绝进行网银交易。

数字证书可以存储在硬盘里,但这种存储方式不太保险,因为硬盘中的数字证书/私钥可能被木马盗取。安全的方式是把数字证书/私钥存储在USB Key里,USB Key客户可以随身携带,只有在做网银交易时,才把USB Key插到电脑的USB插口上,用完后就拔走。现在各家银行都在发行USB Key数字证书,要求客户在做网银交易时选择使用这种数字证书。

USB Key证书的安全性

使用USB Key储存数字证书和私钥是更为安全的方式。为什么这样说呢?

原来,USB Key具有一定的计算机的功能,USB Key芯片中的CPU就是一台小小的计算机。产生公私密钥对的程序是USB Key生产者烧制在芯片中的只读存储器ROM中的,密码算法程序也是烧制在ROM中。公私密钥对在USB Key中生成后,公钥可以导出到卡外,而私钥则存储于芯片中的密钥区,不允许外部访问。木马也就窃取不到。

USB Key中密钥文件存储在E2PROM(电可擦写可编程只读存储器)之中。对密钥文件的读写和修改都必须由USB Key内的程序调用。从USB Key接口的外面,没有任何一条命令能够对密钥区的内容进行读出、修改、更新和删除。

在加密和签名的运算过程中,客户计算机中的应用软件使用API(应用程序接口)调用的方式,输入参数、数据和命令,启动USB Key内部的数字签名运算、密码运算等,并获得返回结果。由于USB Key内部的CPU可以完成这些操作,全过程中私钥可以不出USB Key介质,出现在USB Key接口上的信息流全都是已被加密的密文,黑客没有能力破译密码,也就没有机会去获得用户的私钥。

从物理上讲,对USB Key芯片中的内容作整体拷贝也是几乎不可能的。现在业界对USB Key生产商的技术要求很高,国际上能够生产智能卡的公司只有少数几家,他们都采用了种种安全措施,确保智能卡内部的数据不能用物理方法从外部拷贝。

这里需要指出的是,有些不合格的USB Key产品实际上只是不含CPU的存储型USB Key,它仅仅具有存储功能,和U盘一样。这种USB Key安全性较差,因为芯片内不含CPU,数据的加密、签名要送到用户电脑主机去做,这样,被加密的明文数据就会出现在USB Key接口上,可能遭到黑客的截获。此外,已有报道说,黑客程序甚至可以进入这种USB Key内部窃取私钥。

因此,各家银行在推出自己的USB Key证书前,都会到权威的检测机构去进行USB Key安全性检测,取得合格后方可推行。用户不必对此顾虑。

从以上的分析中,我们可以得出结论:数字证书/电子签名是保证网银交易安全的可靠措施。而USB Key证书更是您的安全守护者,请注意使用和保管。

正确使用和保管你的数字证书

有几条措施我们应牢记:

首先,开展网银交易一定要向银行申领数字证书,这一点是毋庸置疑的。一些银行在开展网银业务之初,曾经推出过所谓“大众版”或“普及版”的业务,只是使用“用户名+口令密码”的认证方式,但随着网银欺诈案件的增加,这种容易被黑客攻破,安全强度很低的认证方式已经逐渐被淘汰。现在,几乎所有银行都会建议你使用数字证书。

那么,在硬盘证书和USB Key证书中,你选择哪一种呢?应该说,这两种证书各有长短:硬盘证书使用方便,不需要随身携带,而且银行一般对此不收费。但这种证书有可能被木马盗取,安全性上有其弱点;而USB Key证书的优点是安全性高,不会被木马盗取,但需要随身携带,银行还要收取一定的费用。笔者的意见是,可以根据用户网银交易的重要程度来选取证书的介质。如果你的帐户存款和网银交易都是小额,如交个水费电费什么的,也可以选择硬盘证书。但如果网银交易金额比较大,达到数万、数十万元或更多,最好是申领USB Key证书。这就像你选择锁钥一样,如果只是平常物品的柜子,你用一般的挂锁就可以了,如果是保管重要文件或贵重物品的柜子,你就得配上高级防盗锁。

USB Key证书在不同银行有着不同的商品名,工商银行叫做“U盾”;建设银行叫做“建行网银盾”;民生银行叫做“优宝”;兴业银行叫做“网盾”;光大银行叫做“e盾”……,价格大致在50元至80元之间不等,主要是USB Key的硬件成本。

第二,使用USB Key证书要养成良好的习惯,上网做网银交易时,插上USB Key证书,用完后随手拔掉USB Key,以免被他人冒用。

第三,妥善保管你的USB Key证书,防止遗失。万一不幸遗失或被盗,要立即到银行挂失。这时银行会为你重发一张证书,并把原来的证书作废。新证书中的公私密钥对是重新生成的,别人即使捡到原有的证书也没有用,密钥换了,网银交易便无法完成。