新聞事件報導2024/9/22:
自然人憑證詐騙,十一人財損高達一億五
有一名七十五歲的退休公務員,只因上當而提供了自然人憑證和密碼給對方,結果就慘遭洗劫價值共六千多萬元的不動產和現金。警方表示,詐騙集團以調查產權為由,「精準地」詐騙十一名年逾七旬的多金老人家,多是連房帶錢一次領光與申貸,獲取高達一億五千萬元的不法利益。內政部說明,無論是實體IC卡自然人憑證或手機APP行動自然人憑證,均具備身分識別、數位簽章及資料加解密等功能,可提供民眾便捷的數位服務。
依照我國電子簽章法規定,自然人憑證的數位簽章為電子簽章的一種,在法律上具有「推定」為本人親自簽名或蓋章的效力。
ThinkCloud eWallet採用『資訊最小化原則』,辦理各項業務讀取資料時,必須經由本人同意,業者藉由數位皮夾的「卡片」與「印信」存取資料,再透過W3C 可驗證憑證(Verifiable Credentials, VC)標準認證(Auth-N),只允許特定資料授權(Auth-Z),不用實體證件與印章,民眾不用擔心辦理業務資料攜帶不齊,又能防止個資揭露太多,滿足民眾身分的隱私與自主權。
數位皮夾帶來便利的同時,也衍生駭客竊取資料之風險;為此,ThinkCloud eWallet整合系統,搭配SelfieSign生物性電子簽章系統,兩者「雙重認證,人證合一」,佈下最高級安全防護網,保障民眾與企業之間的每一筆數位交易既安全又可靠。
快來建立您專屬的「數位身分」吧!
文章目錄
自然人憑證的使用者體驗
要回答這個問題,首先我們需先釐清自然人憑證是證件,還是簽章的數位工具?理論上如內政部闡釋自然人憑證同時具備具備身分識別、數位簽章兩種功能。那這與手寫簽名有什麼不同呢? 首先,我們還原紙本實體的簽名情境,我們去政府部門申辦多重要的文件時(例如辦護照)。承辦人員第一會要求你出示證件,而且常常是要雙證件。這時,承辦人員會檢視證件身份的真偽。第二,他會比對你與證件上的照片(生物特徵),是不是你本人。第三,當這兩個步驟確認完成後,才會請你在文件上親筆簽名。那這時你在文件上的簽名時,會在紙本留下你簽名的字跡(生物特徵)。
所以檢驗證件、核對本人、與簽名三件事是分開各自獨立的元素。 但是比對使用自然人憑證簽章時,有幾點會與紙本簽名流程不同? 證件的真偽依賴安全晶片與加密演算法,這有如身份證件上的防偽鋼印,這點不會有什麼問題。但是只有單證件,強度已不如紙本流程的雙證件的強度。再者,紙本流程至少會比對本人相貌與證件上的相片是否為同一人? 自然人憑證驗證是依賴持有卡片與解鎖卡片的密碼的雙因子驗證。意思歹徒只要持有卡片與獲取密碼,就可以代替本人做簽章。相較於紙本簽名流程,雙證件驗證與驗證本人的生物特徵,強度自是又減弱了一層。
最後,自然人憑證的數位簽章與紙本簽名簽章最大的不同是在於,數位簽章是一種無生物特徵的簽章(Non-Biometric Signature),也就是執行簽章的當下或之後,無法提供如紙本簽署留存下具生物特徵的簽名字跡,以及任何能驗證簽署人生物特徵的證據。若事後發生紛爭,是否為本人所為就會存在許多爭議的空間。事實上,詐騙集團就是了解自然人憑證數位簽章的弱點和缺陷,善用它的漏洞,完美的一步一步構陷,完成鉅額詐騙。
(圖1) 手寫簽名、數位簽章、電子簽名、影像電子簽章比較表
| 自然人憑證 | 實體簽名 |
功能 | 同時具備身分識別、數位簽章 | 簽名字跡生物特徵 |
驗證型式 | 依賴安全晶片與加密演算法 | 比對本人相貌與證件上的相片👑 |
驗證方法 | 持有卡片與解鎖卡片的密碼的雙因子驗證 | 檢驗證件、核對本人、簽名👑 |
差異 | 數位簽章是一種無生物特徵的簽章(Non-Biometric Signature) | 具生物特徵:人、字跡👑 |
(表1)自然人憑證與實體簽名比較
憑證為王?電子簽章法修法對使用者的影響
本次修法修正條文第6條將政府許可憑證機構所簽發的憑證,都被賦予「推定」為本人親自簽名的效力。然而,此條文與現實情況產生了落差。
因為憑證機構所發行的憑證就有安全等級不一的各種憑證,其中C3以下等低安全等級憑證顯然無法達到「推定」的法律效力。為此,數位發展部擬將憑證機構擬在子法上,修正憑證機構發放的憑證安全等級須提升至符合ISO 29115 LOA 3, NIST IAL 2 ,或eIDAS SES 以上安全等級。這樣的補正,筆者個人認為會留下更多待商榷的疑點。ISO 29115 LOA 3 , NIST IAL 2 本身實際上是否能達到「推定」為本人親自簽名的效力,就存在諸多爭議。
筆者曾詢問幾位銀行公會資安相關人士意見,只有達到LOA 3、 IAL 2是否足以認定為「推定」為本人親簽,他們大多持負面意見。況且是以elDAS最低 SES等級,應該更不適被認可為「推定」為本人親自簽名的效力。
近期發生多起詐騙事件,歹徒都是利用高安全等級的憑證(如達到LOA 4、 IAL 3 、歐盟eIDAS QES)進行詐騙,顯示即使是符合最高安全標準的憑證,仍無法完全杜絕詐騙犯罪。若將安全等級要求降低,在這詐諞橫行的時代,恐將助長更多犯罪行為。
電子簽章法母法中有三大立法原則,技術中立原則,契約自由原則,與市場導向原則。本次電子簽章法修法雖明確了數位簽章與電子簽章的關係,但修法後卻出現了與母法技術中立原則相悖的現象。因為修法條文載明,政府許可憑證機構所簽發的憑證,在法律上具有「推定」為本人親自簽名或蓋章的效力,這點暗示了數位簽章效力優於電子簽章,但是技術中立原則的條文說明『任何可確保資料在傳輸或儲存過程中之完整性及鑑別使用者身分之技術,皆可用來製作電子簽章,並不以「非對稱型」加密技術為基礎之「數位簽章」為限』。
電子簽章法修法在數位簽章效力上著重強調憑證的作用,而忽略『數位簽章』以外之其他『電子簽章』技術,這不僅與技術中立原則相違背,也不符合各種實務場景(如醫院、法務司法程序)之簽署需求,不利於電子簽章的健全發展。建議未來應更正視數位簽章技術安全性限制,並結合其他技術,如影像電子簽章、區塊鏈去中心化技術…等,以人、證合一的簽署方式,提升電子簽章的可靠性與防偽性。此外,應建立完善的電子簽章認證等級機制,確保電子簽章的法律效力。
使用者體驗也是不可或缺的一環。如何讓簽署過程更簡便、更直覺?答案就在告別自然人憑證詐騙!看雲想SelfieSign如何提升使用者體驗(下)