電子郵件憑證檢驗系統

10.29614/DRMM.201110.0006

林志堯；盧紹榮；方定焜；侯猷珉

憑證機構 ； 數位憑證 ； 電子簽章

資訊安全通訊

17卷4期（2011 / 10 / 01）

81 - 96

繁體中文

數位社會之資訊交流管道中，電子郵件為重要的溝通模式之一，為了確保寄件者身分，通常採用數位憑證作為電子郵件簽章之身分證明憑據。然而對於收件者而言，不同憑證機構所簽發之數位憑證，並非都是可信任接受的。加上數位憑證擁有者，可經由取巧的方式，假冒特定身分之寄件者，寄發簽章與寄件者不同的郵件。收件者不小心下，可能因為誤信寄件者身分，進而點選其中有害連結或附檔，讓攻擊者遂行入侵收件者電腦之目的。本文提出一套雛型系統以防範上述攻擊行為之發生，系統所包含的功能有檢驗簽章之郵件是否為受信任之憑證機構所簽發之數位憑證所簽章、該數位憑證是否有效，以及檢驗簽章者與寄件者是否相符，當發現異常郵件，系統將進行隔離與寄發警示郵件，藉由此模式強化對此類攻擊之防範，以及簡化原本需要人工逐封判斷簽章郵件之困擾。本文除說明系統設計之需求與功能流程外，並且以實際之系統運作結果進行說明。

1. Blake Ramsdell, “Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Message Specification” RFC 3851, http://www.ietf.org/rfc/rfc3851.txt (2004/7)
2. Blake Ramsdell, “Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Certificate Handling” RFC 3850, http://www.ietf.org/rfc/rfc3850.txt (2004/7)
3. Michael Elkins, “MIME Security with OpenPGP” RFC 3156, http://www.ietf.org/rfc/rfc3156txt (2001/8)
4. Jon Callas, “OpenPGP Message Format” RFC 4880, http://www.ietf.org/rfc/rfc4880txt (2007/11)

1. (2024)。以Q方法探討銀行顧客對資訊安全認知之研究。管理資訊計算，13(2)，241-251。