月日本PKI趋势调查结果报告

1、2002 年 10 月日本 PKI 趋势调查结果报告一、绪论调查背景宽频的普及使得网际网路上的服务趋向更多样化，同时也增加了对安全性的需求。另外， IC 卡的应用 向也不断增加，增进公开金钥基础建设( Public Key Infrastructure ，PKI )的扩展程度。此外，由於各国相 继制定电子签章法，且国际间的交易量也不断增加，使得国际间交互认证的需求也相对提升。为深入了解国内 PKI (Public Key Infrastructure, PKI )使用整体现况，日本 PKI 论坛於本( 91)年度 发起，进行亚洲地区 2002 年 PKI 趋势调查，调查对象包括日本、韩国、新加

2、坡以及我国等四个国家， 调查内涵则包括了企业之 PKI 建置现况与模式、面临的困境与挑战、采取的 PKI 应用领域，和跨国 PKI 相 互承认等议题。本调查报告为日本之调查结果分析，内容分为受访者背景资料、受访者组织导入 PKI 状况、受访者组 织导入 PKI 过程与使用情况、跨国 PKI 互通议题、未建置 PKI 系统之组织等七个项目；结论则归纳本问卷 调查之主要发现。这份问卷调查报告的目的在观察日本国内的公司和组织使用 PKI 的现况。二、资料分析一) 调查方法本次调查所针对的对象列於 表一 中，日本 PKI Forum 以电子邮件的方式邀请日本当地的企业在网页上 作问卷调查。问卷内容共有

3、 40 个题目，与其他亚洲国家所进行的问卷调查内容类似。 （备注：日本 PKI Forum 稍微修正了问卷的题目数、回答的格式和一些参数，以符合网页问卷系统，但是在回答的内容、分析项目 和相关因素均与其他国家的问卷相同。）表 1 问卷调查的方法（二）公司规模与型态图 1 为受访者所属的组织的雇员数分布图，如图所示，受访的组织中，雇员数超过500 人以上的组织占最多数，有 61.3% ；其次为雇员数在 101 至 500 人间，占 19.4% 。图 1 公司 /组织的雇员数分析受访者的组织型态後发现，超过八成（ 83.9% ）的组织为日本国内一般公司；其次为政府机关和教育 机构（包括学校和学术研

4、究机关）各占了3.2% ；其他则有司法机关下的法律部门和研究机关，如图2 所示。图 2 公司 /组织型态分布图图 3 组织之产业类别三、调查结果调查结果将针对下列五个方面来分析回覆的问卷一） PKI 在日本主要的应用（二） PKI 导入的状况和面临的困难（三）PKI 导入计划的现况（四）日本和其他国家跨国交互认证的应用（五）交互认证在日本的认证基础（一）日本国内公司和组织的 PKI 应用状况1. PKI 的应用类型以 PKI 为基础的安全应用已经推展到日本国内的组织。不论是国内外的厂商都有提供很多种的 PKI 应用产 品。根据问卷调查的结果，最常使用的 PKI 的安全应用为交互认证的 SSL

5、，占使用项目比率的 69.2% 的。 其次为虚拟私有网路 VPN （ 39.5% ）、网站应用（ 39.5% ），和安全电子邮件（ 30.0% ）， 如 所示。而其他类则有一位受访者提到使用https 伺服器。 组织使用 PKI 的应用领域（可复选） 列出每一项 PKI 应用所使用的产品名称。除了一些特定的应用产品名称外，其它还有如安全电子 邮件、认证发布和其它的商业服务。 使用 PKI 的应用产品另外也询问受访者，在导入 PKI 时会采用哪些功能。由於 PKI 提供的功能的定义可以有很多种叙述方式， 故本问卷以 的四种定义为准。 PKI 功能使用范例显示所有的受访者都希望采用认证功能。另外，

6、机密性的功能则有八成（84.6% ）以上的受访者都会采用。 受访者组织采用 PKI 功能（可复选） 汇整受访者举例说明其公司或组织运用 PKI 功能的用途。 PKI 功能2. 使用 PKI 系统的产品品牌我们询问受访者， 知道哪些 PKI 的品牌，结果如 所示，多数日本企业或组织都知道 Verisign 、Baltimore 和 Entrust 等国外大厂。 其他尚有一些提供认证或安全性相关服务的厂商， 及某些制造业和通讯谢业， 还有 制造 IC 卡的厂商。则显示受访组织所使用的 PKI 产品的品牌。 其他类则包括有两位受访者提到 NEC ，以及另两位 受访者提到 Hitachi 品牌。这显示

7、出，日本企业在选择 PKI 产品时，会优先使用国外的厂商。不过，国内品 牌的 PKI 产品也有进步。 12 个较熟悉的 PKI 品牌（可复选） 使用 PKI 系统或产品品牌（可复选）3. PKI 应用的开发方法PKI 应用产品的开发方法可以被分成自行开发和没有自行开发两类。根据问卷调查结果显示自行开发 PKI 应用产品的比率较没有自行开发的比率要低。 PKI 应用系统开发方式在自行开发 PKI应用的组织中， 提到需使用Keytools (Baltimore )和PKI Driver (Dai Nippon PrintingCo., Ltd )，包括运用开发工具和其他开发工作上需要的设备。在自行

8、 PKI 应用系统对浏览器的依赖度方面， 61.5% 的受访者表示没有依赖特定的浏览器。使用 IE 浏览器和同时支援 IE 与 Netscape Navigator 浏览器则各占 15.4% ，另外只使用 Netscape Navigator 的浏览器则占 7.7%。IE 与 Netscape Navigator 浏览器都以 SSL ( Secure Socket Layer )作为标准配备(需为Navigator4.06 或更新版本， IE4.0 或更新版本)。 PKI 应用产品的浏览器依赖度三、 调查结果(二) 组织导入 PKI 的状况和面临的困难1. 组织导入 PKI 的状况 显示 42

9、% 的受访者表示他们的组织已经使用PKI 系统，低於没有使用 PKI 系统的受访组织。事实上，这份问卷调查主要针对日本 PKI 论坛的会员， 以及出席日本 PKI 论坛於 2001 年举办的 2001 PKI 论坛 的成员。由於尚有超过一半的受访者组织尚未使用 PKI 系统，所以 PKI 在日本推展的规模还有待加强。 已使用 PKI 系统的组织产业和通讯业，且每一种产业都有超过一家的公司已经采用 PKI 系统。 根据调查结果，无法看出组织的规模大小和是否导入 PKI 的明显关系，但大公司（超过 500 人）的比率较高。 图 12图 11 依产业类别分类导入 PKI 系统状况图 12 依雇员数量

10、分类之组织导入 PKI 系统状况针对已经在使用 PKI 系统的公司或组织，调查他们导入 PKI 系统的时间。由 图 13 显示所有的公司至少都已使用超过一年，并且有 30%已经使用 3 年以上的时间。综合两项结果可知，超过一半的国内公司和组织尚未导入PKI系统 图10，而已导入PKI系统的公司都已经使用超过一年。图 13 导入 PKI 的时间在表 5中列出了影响公司和组织采用PKI 应用的转捩点和动机并举出代表性的例子。表 5 采用 PKI 的原因调查已使用 PKI 的公司和组织为何采用 PKI 的原因，结果如 图 14所示，因为安全性而采用 PKI 系统的组织占最高比率（ 92.3% ），可

11、见安全性为多数公司或组织的第一考量。在其它类型中，则有较高的比率是因为顾客的需求（ 30.8% ），还有商业流程现代化和节省开支（ 23.1%）。 另外，还有一些原因是为了 电子应用 、电子拍卖交易 、电子管理 还有与自治团体（ Self-governingbodies ）的往来，由此可见，为了跟政府组织或自治团体往来也是驱使采用PKI 系统的原因。图 14 受访组织导入或使用 PKI 的原因（可复选）2. 组织 PKI 采用的形式的特徵组织采用 PKI 的形式的特徵有范围、运作方向、适合的技术等。组织采用 PKI 的范围可分为只在公司内操 作应用，和与公司的顾客和供应商作安全的交易环境用，或

12、两者都有。如所示，作为公司内部和外部所用的比率最高，有46.2% ，其次为作为公司外部使用（ 38.5% ）。由此可知，与客户交易是主要的原因。 组织采用 PKI 的范围在发送凭证给使用者方面，使用磁片（ 46.2% ）的比率占最高，再来是使用 IC 卡。虽然目前磁片 较被广泛的使用，是因为其便宜和容易使用的特性，然而，未来分散式系统的安全性将会很重要，所以 IC 卡的使用程度将可大幅提高。其它类别包含在浏览器的 SSL 功能。 电子凭证储存格式（可复选）PKI 技术提供的功能包括“认证”、“资料整合性”、“机密性”和“不可否认性”3。调查结果表显示使用 PKI 的公司和组织对“认证”和“机密

13、性”有较高的需求。 。在传送给使用者的技术方面， 显示超过半数的受访公司使用单金钥对。以双金钥对的技术来说，由一只金钥做签名和认证，另一只金钥做加密和解密的动作，可以提供更强的认证功能和安全通讯的需求。 另一方面，使用双金钥对会增加较多的运作负担，但是却可提供叫严格的个人认证功能和网际网路上的安 全性服务。 使用金钥的技术3. 组织建置 PKI 面临的困难调查结果指出国内的公司和组织在导入 PKI 时会面临的问题主要为：? 管理人员缺乏足够的技术上的知识? 导入和运作的花费? 缺乏成熟的 PKI 技术和产品图18显示缺乏PKI的专业知识和训练员工、顾客、和供应商时发生困难各占最高的比率（46.

14、2% ） 安全性的考量和训练员工具备足够的技能和知识，不论是对公司内部或对外部，都是导入PKI 技术时的最大瓶颈。 PKI 也包含了解密技术、电子签章技术和其它先进的技术。训练这些技术都需要大量的时间，也 加重了困难度。图 18 组织导入 PKI 所面临的困难在对於商业上可用的 PKI 产品、服务和解决方案方面，许多受访者都提到共同的一点，就是可供选择的 产品太少。对於一个成熟的 PKI 市场来说，产品的选择、服务和其它切合使用者需求的项目都是十分重 要的。在某些意见中，另一个会 PKI 的瓶颈是整合 PKI 至现有的公司的资讯基础建设的困难性，例如难以 与既有业务流程整合与难以与既有 IT

15、系统整合。图 19显示公司和组织导入 PKI 技术花费的时间。表示在一年以内和半年内的组织占 60%，超 过一年的则有 14%的比率。因为 PKI 计划的导入与企业和组织的安全性有关，因此从计画到发展运作阶段 需花费较长的时间。 图 19的结果也显示将近一半的公司和组织花费半年至一年的时间来导入 PKI 技术， 表示导入 PKI 技术需要较长的时间。图 19 组织导入 PKI 技术所花费的时间另外，我们询问尚未采用 PKI 技术的公司和组织，是什麽原因以致於他们还未采用 PKI 技术。图 20 未导入 PKI 的原因（可复选）由图 20所示，导入成本为最主要的原因（ 52.9%），紧接着是维护

16、成本（ 46.2%），而排第五 的是训练和教育成本（ 23.5% ）。可见，在尚未导入 PKI 的公司和组织中，高额的成本是最大的因素。 也有很高的比率。组织希望导入 PKI 技术，但得发展自己的系统的原因，是因为没有一个共同的标准，因 此必须花费较高的成本，而且，将来会有更多的系统连上网路，也会提供更多的服务，而互通性将是一个 重要的因素。外部影响建置 PKI 的因素包括做生意的模式及法律环境的影响。答因为竞争者也没有使用 PKI 技术和生意伙伴也没有用 PKI 技术的受访组织分别占 23.5% 和 17.6% 。表示因为法律问题，所以尚未建置 PKI 技术的受访者有 17.6% 。而电子签

17、章和认证法将於 2001 年 4 月生 效。在这个阶段，管理应用和服务例如电子应用和电子拍卖交易也正在进行中。可以预见的，在未来使用 这些应用和服务的公司和组织将会不断增加，使得采用 PKI 技术的组织越来越多。（三）公司和组织采用 PKI 计画的现况1. 没有采用 PKI 技术的公司和组织未来使用 PKI 的计画对尚未使用 PKI 技术的受访组织调查是否计画采用 PKI ，由显示，超过 8成的受访者表示他们的公 司有计画要采用 PKI 。 尚未使用 PKI 的组织未来使用 PKI 计划另外针对企业类别 和规模大小 的调查指出，这些跟是否要采用 PKI 技术没有明显的差异。 依企业类别尚未使用

18、 PKI 的组织未来使用 PKI 计划 依雇员数量分类尚未使用 PKI 的组织未来使用 PKI 计划关於未来采用 PKI 的时间表，表示 3年内的比率最高（ 40% ），其次是 5年以上、 5年以内和 1年内各占 13.3% 。许多尚未采用 PKI 技术的公司和组织会考虑将 PKI 技术作为公司的中程计画。 综合和 ，许多尚未使用 PKI 技术的组织都计划在未来将采用 PKI 技术，由此可见，未来几 年 PKI 技术将会不断扩展。2. 组织采用 PKI 系统後将采行的应用领域组织采用 PKI 系统後将采行的应用领域，在尚未使用 PKI 的组织和已经采用 PKI 的组织，可以看出明显的 差异。显

19、示出已使用 PKI 的受访者组织，最有兴趣使用虚拟私有网路VPN （ 84.6% ），其次是网站应用（ 76.9% ）和安全网站（ 53.8% ）。另一方面， 显示尚未采用 PKI 的公司和组织，其 顺序为安全网站（ 64.7% ）、安全电子邮件（ 58.8% ）和虚拟私有网路 VPN （ 52.9% ）。这显示已经采用 PKI 技术的公司和组织较趋向虚拟私有网路和其它动态的服务的应用，而没有采用 PKI 技 术的公司和组织则对金钥的应用有较高的需求，如安全网站和安全电子邮件。 已导入 PKI 的组织未来采行的应用（可复选） 尚未导入 PKI 的组织未来采行的应用（可复选）针对没有使用 PKI

20、 的公司和组织，在未来计画采用 PKI 的方法。 显示超过一半的受访者提到将使 用外部厂商的 PKI 服务，且不控制伺服器和其他设备，低於20% 的受访者表示会由公司自己采用或发展PKI 系统，且在公司内设定和操作伺服器。 建置 PKI 计划的方法 和运作的花费和系统支援能力。另一方面，选择由内部管理的优点有适合组织本身的系统服务 和可以和组织的生意协调。 为何采用此种建置 PKI 计划的方法（四）跨国 PKI 互通议题在未来 PKI 的扩展方面，可以预期在与海外的单位进行交易时，用 PKI 的交互认证技术将会更为需要。调查与外国交易伙伴间的 PKI 实际应用状况显示 ，有使用 PKI 技术的组织占 21% ，显示这项比率 并不高。 与外国交易伙伴间