[心情] 利用自然人凭证进行连署

楼主: strangegamma (黑川)   2014-05-13 18:19:50
自然人凭证的作用流程是这样:
使用者插入凭证 -> 凭证验证 -> 通过 -> 输入身分证号后四码 以及 密码 ->
服务器端验证 -> 通过 -> 撷取个人户政资料 -> 使用者登入成功
为什么自然人凭证能够"被当作"网络身分证是因为与户政系统结合
这是一般的简单流程,了解了吗?
你的资料公信力依旧存在于你的个人户籍资料OK?
连署内容范例:
====
本人 XXXXXXX(用于识别对应公钥之ID,例如GPG是使用email来识别)连署罢免 XXX
连署日 xxxx/xx/xx(用于判别是否为该次连署时程内,避免有心人拿旧连署来顶替)
=====Sign=====
fjwoihegwonbosiy2tn[]o]2tijlkbgah9t2ho\]wtj,s\q067i10hGRW#^Y#FBAWnb(数位签章)
==============
上面的概念是这个连署包含了“时间”“应用范围”还有“个人资料”
如果只是一个签名,那么根本毫无丁点半点的公信力可以应用。
要可以应用你必然要包括在国内被承认的各种个人资料,譬如身份证字号。
可改为印刷出连署资料(含签章)的QRCode条码
如果你包含这些个人资料做成QRCODE码......根本就是个资滥用的前奏。
因此你这么说:
ofy:签章是用于代表个人以及信息的可信性(本人)与个资泄漏无关
ofy:我用自然人凭証主要是以私钥将内容签章后足以代表个人其意见
ofy:另外签章后的内容无法任意串改
ofy:QRCode里记载的是连署内容与对这份内容的签章,并非将私钥编入
ofy:我的(含签章)指的不是私钥,而是签章此行为生成的"摘要"Hash
ofy:签章是用于标示信息内容为本人所做或同意
简单来说,这个QRCODE里面没有个人资料只有一份"文件",那请问你公信力在哪里?
既没有个人户籍资料、又没有其他验证资料只有"代表个人的签章"要拿来干嘛?
这边借用版友的话
tsairay:ofy..你重修一下密码学吧,没经过加密传输的签章是不可信的
你要让这份QRCODE有公信力而提出的方法是:
ofy:验证使用公钥电子化计算,加上制式化内容跟QRCode或电子传输
ofy:验证可比使用身分证影本快上许多
如果公钥验证不出来怎么办?
我节录你的原文:
唯一的弱点就是,不清楚核发自然人凭证的单位有无"备分"私钥
以及会不会擅自"注销"其对应公钥,影响验证
================================
( ′-`)y=*~就是被政府注销了嘛。
================================
多轻松的一句话阿。
这逻辑是在耍人吗?这不就代表我提出一份【假的文件与数位签章内容】做连署。
政府若是说他【找不到】、【解不开】就【有可能】是因为被擅自注销公钥?
一下说这没有个资 -> 没公信力
一下说能代表个人有公信力 -> 但是没个资泄漏问题
一下说如果验证不成功就是政府搞鬼 -> 话都你在说
我后面都看不下去了......
作者: aniesway (jownshown)   2014-05-13 18:23:00
当然是你的错,因为你竟然去期待吱吱的水准
作者: puec2 ( .__________.)   2014-05-13 18:24:00
他只是在浪费你的时间你以为在讨论,他只是在抬杠
楼主: strangegamma (黑川)   2014-05-13 18:27:00
然后后面再讲我们都在跳针,不是跟他认真讨论......
楼主: strangegamma (黑川)   2014-05-13 18:28:00
阿你提出的方案破洞大到无法视而不见啊!
作者: jade7601 (Jadeite 我是辛运E)   2014-05-13 18:29:00
回去看原文 有最新的说法出来了 投票是暱名但罢免必需提
作者: jade7601 (Jadeite 我是辛运E)   2014-05-13 18:30:00
出身份证明 可能涉及违宪!!!!! 超强的...
作者: ofy (殴飞)   2014-05-13 18:46:00
那让民间有条件(申请)使用公钥数据库,两造一起比对是否可行?
作者: ofy (殴飞)   2014-05-13 18:50:00
申请我也打上去了,个人资料保护的部分,验证只需取得相应公钥来计算,就泄漏的部分应该会比身分证影本少很多
作者: jade7601 (Jadeite 我是辛运E)   2014-05-13 18:50:00
一边防范民间团体滥资料 一边想让民间团体申请数据库真是有够让人看不懂的
作者: ofy (殴飞)   2014-05-13 18:52:00
另外也可依照连署区域决定提供有关区域的数据库而非一次就全国人民的数据库
作者: ofy (殴飞)   2014-05-13 18:59:00
我这里所说的数据库,指的是凭证ID(姓名+末4码)与公钥一对一的数据库,跟你们所想的报税,劳健保资料无关,没私钥读不出这些因此识别化的部分我想身分证影本比较严重
作者: ofy (殴飞)   2014-05-13 19:05:00
公信力的部份我以为使用凭证的私钥做数位签章就足以与个人连接
作者: ofy (殴飞)   2014-05-13 19:13:00
一下说凭证ID不代表什么,一下说户籍资料识别化公信力然后又说个资疑虑?到底哪种方式泄漏的多
作者: ofy (殴飞)   2014-05-13 19:18:00
申请自然人凭证要什么?要身分证,户籍资料使用自然人凭证要什么?要个人密码(PIN码,默认为生日,可改)
作者: ofy (殴飞)   2014-05-13 19:19:00
我在原文最开头就有说类似的话,有卡有密码,应该就足以识别为个人
作者: ofy (殴飞)   2014-05-13 19:20:00
户政机关是因为你有卡有密码,所以认为你是本人,给你户籍资料
作者: ofy (殴飞)   2014-05-13 19:21:00
不是还没确认你是本人,就先给你户籍资料,再凭空确认是不是本人
作者: ofy (殴飞)   2014-05-13 19:23:00
用私钥签章出来的,难到有别把公钥能验证?
作者: ofy (殴飞)   2014-05-13 19:27:00
不然有卡有密码是还要寄身分证影本,户政才会说好给你进来吗?
作者: ofy (殴飞)   2014-05-13 19:39:00
公信力?个资泄漏?用自然人凭证的公私钥系统是不差的折冲方案
作者: ofy (殴飞)   2014-05-13 19:41:00
如果有人能轻松用公钥跟签章(指摘要)回推出2048bit的私钥
作者: ofy (殴飞)   2014-05-13 19:42:00
再来说公信力...
作者: wang7752 (^^b)   2014-05-13 20:00:00
签章不能代表个人资料好吗 大哥
作者: ofy (殴飞)   2014-05-13 20:01:00
你要不要问问银行如果盗刷人有卡有密码会怎么认定的该笔交易?
作者: wang7752 (^^b)   2014-05-13 20:01:00
除非你花钱去建立一个专属的罢免系统 他才能用你的密码银行这自然人系统完全不同好吗 大哥
作者: ofy (殴飞)   2014-05-13 20:04:00
数位签章是代表本人同意/认同被签署内容,代表的是个人不是资料
作者: wang7752 (^^b)   2014-05-13 20:05:00
所以哩 大哥 你同意这个签章 代表你同意启动你这个密码阿
作者: wang7752 (^^b)   2014-05-13 20:06:00
问题卡在 你的终端有当初建立好的 好吗
作者: ofy (殴飞)   2014-05-13 20:07:00
所以我要你问银行阿,银行会说持卡人应妥善保管密码,把交易打成正常而不是盗刷争议款
作者: wang7752 (^^b)   2014-05-13 20:08:00
银行系统跟自然人凭证完全不同阿 大哥 RRRRRRRRRRRRRRRRR
作者: ofy (殴飞)   2014-05-13 20:26:00
所以你很不幸的卡片遗失没申报,(信用卡是卡号等内容而已)
作者: ofy (殴飞)   2014-05-13 20:27:00
捡到的人很幸运的在三次内猜中密码,并将其用于连署活动这或然率低到我无法想像
作者: ofy (殴飞)   2014-05-13 20:31:00
使用身分证影本,查核机制就够强吗?
作者: ofy (殴飞)   2014-05-13 20:32:00
捡到的身分证跟捡到要密码的凭证相比,哪一个更难被滥用
作者: ofy (殴飞)   2014-05-13 20:45:00
所以你能保证身分证不会遗失不会被滥用了吗?
作者: ofy (殴飞)   2014-05-13 20:47:00
这大绝有点好笑....
楼主: strangegamma (黑川)   2014-05-13 20:49:00
回应你的问题刚刚好而已,"自觉"一下吧,公民。
作者: ofy (殴飞)   2014-05-13 21:07:00
1.部分(姓名及身分证末4码) 1-1.风险极低1-2.是大难题,私钥泄漏近乎不可能2.私钥签章公钥验证 2-1.舞弊现象可设计机制避免2-2.两造同时或可信第三方
作者: ofy (殴飞)   2014-05-13 21:08:00
2-3.政府提供有限资料(公钥及选区等标注)2-4.先问问身分证影本被滥用怎么办3.足以代表个人或法人机构等,申办需提供各式证件3-1.公私钥的对称性与个人密码3-2.透过公私钥验证为个人,可由户政机关获取户籍资料3-3.台湾有试图推行公文电子化使用自然人凭证签核但成果不佳
作者: ofy (殴飞)   2014-05-13 21:11:00
成果不佳是因为老屁股们习惯用手签名盖章,与签核可信度无关
作者: ofy (殴飞)   2014-05-13 21:19:00
现在可以请你以相同的疑问回答我身分证影本+切结书了吗
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:23:00
请问2-1是要如何设计机制?
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:24:00
当你以QRcode以纸本模式输出个人凭证,那再查核的执行者是谁?
作者: ofy (殴飞)   2014-05-13 21:24:00
2-2是一种解法,其他大家可以再想想
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:26:00
那我要反问你了,当你以一句有问题是政府的事时,所谓
作者: ofy (殴飞)   2014-05-13 21:26:00
同时使用同一数据库会有不同结果?
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:28:00
电脑显示很单纯啊,在中选会再核查时跑结果出现问题跟
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:29:00
当初申请时核查的结果不会有差?
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:30:00
要知道的是你一开始开宗明义就把出事责任推给政府时,
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:31:00
有没有想过纸本输出code的程序漏洞不见得是政府的事?
作者: ofy (殴飞)   2014-05-13 21:32:00
两造同时我以为是指送件后的电子验证,想知道你怎么想的?
作者: ofy (殴飞)   2014-05-13 21:34:00
我没想到要推出事责任,我只是把可能的舞弊现象说出来希望能筹及各方意见将其完善,也许说法让人认为是打预防针...
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:36:00
对,送件后谁来请求验证?中选会?户政委员会?
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:37:00
今天一个文件上的code,在收件上没办法直接的辨明真伪
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:38:00
时,要由谁来负起责任来?我对于这个主题一直在注意在
作者: ofy (殴飞)   2014-05-13 21:39:00
连署有效性的验证属于中选会职责,并与连署单位代表共同处置
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:39:00
这,因为没人能以肉眼去辨别Code真伪,要用政府系统扫
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:40:00
你又直接的以一句"金钥撤销"为由推给政府,那....要谁负责?
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:42:00
在你不确信政府的电子凭证公正性之下,以自然人电子凭
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:44:00
证输出纸本QRcode,然后再栽赃给中选会说不过是你的事
作者: huckerbying (我知道我该怎么做了)   2014-05-13 21:45:00
你不觉得有某种荒谬的理由存在?
作者: ofy (殴飞)   2014-05-13 22:14:00
因电子签章特性,伪造出有效票近乎不可能
作者: ofy (殴飞)   2014-05-13 22:15:00
虽伪造此一行为即是违法,但难以追查恐怕没有任何一方可以负责所幸电子签章验证只要输入资料就能用对应公钥自动验证,与影本伪造相比会轻松一点被认为偏颇命题主因是民团管不到公钥数据库对于公钥验证我只想的到政府如果舞弊会有什么方式
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:22:00
我提一个可能性,以相同格式文书配正确配对QRcode是否
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:23:00
可以正确核证为本人?
作者: ofy (殴飞)   2014-05-13 22:33:00
不含经私钥签章输出的摘要(Hash)?我想没办法吧!
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:38:00
不需要什么私钥签章,只要回答有正确的QRcode配文件是否能代表整份文章由某人签署?
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:39:00
或者讲更精确一点,用经过系统输出的正确QRcode
作者: ofy (殴飞)   2014-05-13 22:41:00
因为QRCode人人可编可解,空有QRCode没有签章,无法证明其唯一性
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:45:00
看来还是没看懂XD 经过系统产生QRcode含签章配文件
作者: ofy (殴飞)   2014-05-13 22:45:00
你这就像切结书上有印刷的名字,但没人签名盖章是否有效一样
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:47:00
算了,直接说好了,用一个正确的QRcode去配假造的文书
作者: ofy (殴飞)   2014-05-13 22:47:00
左边说不要私钥签章,右边说QRCode含签章,这签章用什么方式签的
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:48:00
今天走系统程序去产生大量认证不可行,但我可不可以用
作者: ofy (殴飞)   2014-05-13 22:49:00
Hash你知道是什么意思吗?只要变动任何一字,签章就验证失败
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:49:00
一个由系统认证的QRcode配假造文件混造文书?
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:50:00
我不需要去动HASH,我只要他老老实实地在文书上就好
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:51:00
反正你说过,有事政府负责,那我用假造文书配正确code
作者: ofy (殴飞)   2014-05-13 22:52:00
变动任何一字是包含签章时输入的文书,内容与摘要是成对的
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:52:00
去大量生产连署书文件,连署不过责任归谁?
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:53:00
你还是搞不懂耶XD
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:54:00
文书认证是谁在搞,政府
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:55:00
当你可以以一句"出事政府负责",那我可不可以用Bypass
作者: ofy (殴飞)   2014-05-13 22:56:00
没有正确的文书,签章也不能被视为有效
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:56:00
假造文书去栽赃给政府说政府认证系统有问题
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:57:00
但是你说QRcode签章万无一失啊,文件也合乎格式
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:58:00
反正出事认不出就是政府自己的事情,我觉得我自己弄出
作者: huckerbying (我知道我该怎么做了)   2014-05-13 22:59:00
达标的文件数就应该会过才对,不是嘛?
作者: ofy (殴飞)   2014-05-13 23:11:00
所以连署单位不能检查验证系统?投票时会不会验票箱阿?
作者: huckerbying (我知道我该怎么做了)   2014-05-13 23:28:00
先生,既然你都怀疑验证系统会被动手脚,那还要用是做啥?不就是栽赃?
作者: huckerbying (我知道我该怎么做了)   2014-05-13 23:30:00
既然搞不清楚责任分界在哪,与其用这系统还不如用旧有
作者: huckerbying (我知道我该怎么做了)   2014-05-13 23:31:00
系统还来的保守点,省的被栽赃还要被怀疑动手脚
作者: ofy (殴飞)   2014-05-13 23:51:00
旧有系统也被质疑成要附加身分证影本加切结书才可信连署团体也被裁赃使用虚假资料,这点你怎么看?
作者: ofy (殴飞)   2014-05-14 00:04:00
投开票也是中选会组织,投票前要先验票箱开票时唱票员后方会有各团体代表的验票员开票完还要再验一次票箱确认票已开完那么为什么验证系统的可信度无法被检验?
作者: huckerbying (我知道我该怎么做了)   2014-05-14 00:09:00
那我要先问验证系统是在使用期间被验证还是再启用前就该被认证的?
作者: ofy (殴飞)   2014-05-14 00:12:00
我觉得可以启用前检验,使用时监督(包含启用动作)必要时可二次验证
作者: huckerbying (我知道我该怎么做了)   2014-05-14 00:13:00
既然都没在信任验证系统,那就算再多几个第三方认证也
作者: ofy (殴飞)   2014-05-14 00:13:00
当然这部分不是我说了算...一种看法而已
作者: huckerbying (我知道我该怎么做了)   2014-05-14 00:16:00
使用虚假资料有很多种因素,不代表说政府栽赃
作者: huckerbying (我知道我该怎么做了)   2014-05-14 00:18:00
光是在路上碰到会要留个资作调查会碰到几个留正确资料
作者: huckerbying (我知道我该怎么做了)   2014-05-14 00:20:00
看法....嘛
作者: ofy (殴飞)   2014-05-14 00:23:00
但使用凭证签章虽然无法追查伪造人,但有效票的伪造近乎不可能
作者: huckerbying (我知道我该怎么做了)   2014-05-14 00:24:00
只是个看法的话,一堆在做第三方认证的公司就在哭泣了
作者: huckerbying (我知道我该怎么做了)   2014-05-14 00:25:00
我也不需要伪造有效票,因为我的战略点本来就不在这我只要攻击到"都是政府的问题"就好
作者: ofy (殴飞)   2014-05-14 00:26:00
我指的是必须要有检验与监督机制,实施方式不是我一人说就算数
作者: huckerbying (我知道我该怎么做了)   2014-05-14 00:27:00
到时候我只要坐着看中选会对这个问题搞到一个头两个大
作者: huckerbying (我知道我该怎么做了)   2014-05-14 00:29:00
检验跟监督机制....到时中选会会公布结果啊
作者: ofy (殴飞)   2014-05-14 00:30:00
因此我才以"我觉得"三字做为开头,事实上现行投开验票制度也是由各方讨论统整而成
作者: huckerbying (我知道我该怎么做了)   2014-05-14 00:30:00
我觉得....真是好用的词

Links booklink

Contact Us: admin [ a t ] ucptt.com