其实也不太确定这个分类对不对，因为内容偏观念请教而非算法。
最近刚申请自然人凭证，目前已知：
1. 密钥在卡片里面
2. 公钥可以在自然人凭证上面找到
3. 密钥公钥是两两一组存在的
取得公钥的方法是在网站下载凭证（X.509），里头有公钥，
而网站提供两个凭证下载：
- 一个加密专用（KeyUsage 是 Key Encipherment, Data Encipherment）
- 一个是数位签章专用（KeyUsage 是 Digital Signature）
我疑惑的几个点：
1. 两凭证表示有两个公钥，这是否意味着卡片里面有两个密钥？
2. 数位签章是用密钥签，用公钥验证，但凭证只有公钥，
我想知道使用凭证去签章文件是怎么办到的？

用 HiSecure 查卡片时，卡片内好像只有一把私钥，但我也觉得你的第一点判断是有可能的，卡片内应该有两把私钥签章时，私钥的加密运算是在 IC 卡内部进行那个私钥是用硬件保护的机制写死在卡片内，因此无法取出IC 卡本身有简单的运算能力，透过读卡机传送指令执行因此，在系统层面，需要透过 HiCOS 做加密机制包装的 API才能操作卡片的加解密运算 (以中华电信发行的卡片是如此)

KDF只能用在对称金钥系统上吧

芯片是一颗微型处理机，里面是没有储存资料