法規資訊

法規資訊
法規名稱: 金融機構辦理電子銀行業務安全控管作業基準
時間: 中華民國107年3月14日

條文關聯

交易面之訊息傳輸安全需求
┌─────┬────────────────────────┐
│防護措施  │安全設計之基本原則/基本配備                    │
├─────┼────────────────────────┤
│訊息隱密性│1.訊息處理:                                    │
│          │  可採對稱性加解密系統或非對稱性加解密系統。    │
│          │ (1)對稱性加解密系統其應至少採用金鑰有效長度為11│
│          │    2位元以上之三重資料加密演算法(Triple DES) │
│          │    或金鑰有效長度為 128位元以上之進階資料加密演│
│          │    算法(AES)或其他安全強度相同之演算法。     │
│          │ (2)非對稱性加解密系統其應至少採用金鑰長度為2048│
│          │    位元以上之RSA演算法或金鑰長度為256位元以上之│
│          │    橢圓曲線演算法(Elliptic curve cryptography │
│          │    ,ECC)或其他安全強度相同之演算法。         │
│          │ (3)須全文加密。                                │
│          │2.金鑰交換:                                    │
│          │  採對稱性加解密系統時,其金鑰交換可分訊息加密金│
│          │  鑰與金鑰保護金鑰之交換。                      │
│          │ (1)訊息加密金鑰交換:訊息加密金鑰乃用來對訊息做│
│          │    加密,不應以明碼或人工方式直接交換此金鑰,應│
│          │      使用對稱性加解密系統(如 DES)或非對稱性加│
│          │      解密系統(如 RSA)或依協商訊息加密金鑰(如│
│          │      採Diffie-Hellman Key Agreement)交換之。安│
│          │      全強度同前述「訊息隱密性」有關訊息處理(1 │
│          │      )及(2)之規定。                         │
│          │ (2)金鑰保護金鑰交換:金鑰保護金鑰乃用來對訊息加│
│          │    密金鑰做加密(如採DES、RSA)或依此協商訊息加│
│          │    密金鑰(如採Diffie-Hellman Key Agreement)。│
│          │ (2.1)對稱性金鑰保護金鑰之交換應採離線交換(如以│
│          │      碼單或寫入具安全防護之媒體),以降低該金鑰│
│          │      洩漏之風險;當採碼單交換時,應將金鑰拆分成│
│          │      兩個以上,利用秘密分持(如分A、B碼)進行交│
│          │      換;當採媒體交換時,應將媒體及保護機制(如│
│          │      密碼)分持進行交換。                      │
│          │ (2.2)非對稱性金鑰保護金鑰之交換,其公開金鑰可透│
│          │      過憑證或其他通道交換,惟透過非信賴之通道交│
│          │      換應輔以其他可信賴之驗證機制,以確保所取得│
│          │      公開金鑰之正確性。                        │
│          │3.金鑰生命週期:                                │
│          │  金鑰應於使用一段期間後更換之,以確保其安全性。│
├─────┼────────────────────────┤
│訊息完整性│1.訊息處理:                                    │
│          │  可採訊息鑑別系統、對稱性加解密系統或非對稱性加│
│          │  解密系統。                                    │
│          │ (1)訊息鑑別系統應採用160位元以上之SHA演算法、採│
│          │    用64位元以上之 DAA運算或其他安全強度相同之演│
│          │    算法。                                      │
│          │ (2)對稱性加解密系統同前述「訊息隱密性」有關訊息│
│          │    處理之對稱性加解密系統規範。                │
│          │ (3)非對稱性加解密系統同前述「訊息隱密性」有關訊│
│          │    息處理之非對稱性加解密系統規範。            │
│          │2.金鑰交換:                                    │
│          │  同前述「訊息隱密性」有關金鑰交換之規範。      │
│          │3.金鑰生命週期:                                │
│          │  同前述「訊息隱密性」有關金鑰生命週期之規範。  │
├─────┼────────────────────────┤
│訊息來源辨│1.訊息處理:                                    │
│識        │  同前述「訊息完整性」有關訊息處理之規範。      │
│          │2.金鑰交換:                                    │
│          │  同前述「訊息隱密性」有關金鑰交換之規範。      │
│          │3.金鑰生命週期:                                │
│          │  同前述「訊息隱密性」有關金鑰生命週期之規範。  │
├─────┼────────────────────────┤
│訊息不可重│如使用序號、一次性亂數、時間戳記等機制。        │
│複性      │                                                │
├─────┼────────────────────────┤
│無法否認傳│1.訊息處理:                                    │
│送訊息    │  須針對交易訊息使用數位簽章(Digital Signature │
│          │  )或採用其他訊息簽章認證等機制,同前述「訊息隱│
│          │  密性」有關訊息處理之非對稱性加解密系統規範。  │
│          │2.公開金鑰交換:                                │
│          │  訊息簽章使用對應之公開金鑰須透過憑證交換,且此│
│          │  憑證須由憑證機構所核發。                      │
│          │3.金鑰生命週期:                                │
│          │  同前述「訊息隱密性」有關金鑰生命週期之規範。  │
├─────┼────────────────────────┤
│無法否認接│同前述「無法否認傳送訊息」規範。                │
│受訊息    │                                                │
└─────┴────────────────────────┘
相關令函 (0)
相關判解 (0)
歷史條次 (0)