GTestCA
政府測試憑證管理中心

可從卡片印刷顏色作為金鑰長度之區分，1024位元測試用憑證IC卡的印刷顏色為綠色，2048位元測試用憑證IC卡為藍色。

GTestCA發展套件所提供之憑證IC卡預設密碼為『12345678』，另外，該套件提供之光碟中，亦有預設IC卡PIN碼資訊可供參考。如果忘記更改後的PIN碼，則可至GTestCA網站的鎖卡解碼/重設PIN碼 (憑證與IC卡相關作業 → 鎖卡解碼/重設PIN碼)，進行PIN碼重設作業，重設後PIN碼預設為『12345678』。

GTestCA發展套件標準版所提供之憑證IC卡並無限定需使用哪一款讀卡機，只要可讀取IC卡的讀卡機均可使用。

安全保密函式庫依據GPKI技術規範、憑證及憑證廢止清冊格式剖繪、公鑰憑證處理安全事項檢查表以及相關國際相關標準，提供開發電子認證應用系統所需之安全保密函式，可呼叫編譯後提供數位簽章以及檢驗簽章、加密與解密、憑證解析、憑證廢止清冊解析與驗證、憑證線上狀態查詢等功能。以解決資訊安全上身份鑑別、資料完整性、系統真確性、機密性、不可否認性、存取控制、可歸責性之問題。

1. 安全保密函式庫使用C語言與Java語言撰寫，都可在Windows與Linux平台編譯。
2. C語言版本係使用C++語言開發，並提供跨平台支援能力，包括Java(透過JNI的呼叫方式)、Win32(直接使用或是再包裝成DLL、ActiveX COM元件均可)、LINUX等系統(提供相同函式介面之該平台API)環境均可支援。以下為編譯環境：
   1. Windows平台之編譯環境：Windows作業系統 Visual Studio 2012
   2. LINUX平台之編譯環境：Linux CentOS 2.6.18-92.el5 gcc version 4.1.2 20071124 (Red Hat 4.1.2-42)
3. Java語言版本2.1可以適用於Win32/Linux環境。編譯環境包含：
   1. Windows平台之編譯環境：JDK1.4.2以上
   2. LINUX平台之編譯環境：JDK1.4.2以上
4. 本次改版(8.0.0)目前僅提供Win32版本，其餘版本將陸續提供。

GPKI安全保密函式庫標準版係由中華電信研究院開發，匯集了先進的網路安全標準與多年的資訊安全及密碼學之研發經驗，其智慧財產權屬於中華電信公司所有。為配合電子化政府基礎建設的網路安全需求，使眾多植基於政府機關公開金鑰基礎建設的應用系統能儘速進行開發測試，授權提供數位發展部GPKI專案使用，由各機關發文向數位發展部提出申請，函式庫的散布由數位發展部控管。

安全保密函式庫標準版雖為成熟的產品，但仍因為需求的變更與相關技術的演進而有版本更新的機會。目前函式庫是集中透過安全保密函式庫此網站進行下載。下載之機關單位需事先向數位發展部發文提出申請，並說明準備開發之電子化政府應用相關資料，公文經核准後可取得帳號密碼下載。網站上面也會放置最近的兩個版本供下載，並且只有通過身分驗證的授權使用者才可以進入此網站並經過SSL安全機制下載函式庫，並提供檔案完整性比對工具，如此可以有效杜絕不明版本的散布與流傳。

1. GPKI安全保密函式庫與GTestCA發展套件標準版所提供的安全保密函式庫是相同的。
2. GTestCA發展套件主要是為了幫助系統開發人員以最短的開發時程將憑證的電子身分認證與安全加解密功能應用於系統上，開發人員可使用安全保密函式庫進行系統開發作業，並以憑證IC卡至政府測試憑證管理中心(GTestCA)進行憑證申請等相關作業，以利進行系統測試。GTestCA發展套件標準版提供6張已制式化處理與印刷的測試用憑證IC卡以及最新版本的安全保密函式庫，相關產品資訊與訂購方式請參閱GTestCA網站之發展套件訂購資訊。
3. 建議系統開發單位請先向政府測試憑證管理中心申購GTestCA發展套件，等系統測試一切正常後，再至各憑證管理中心申請正式憑證及安全保密函式庫標準版(建議系統正式上線前一至兩個月至GPKI各憑證管理中心網站 提出安全保密函式庫申請。請於線上填寫安全保密函式庫申請書，填寫完畢列印安全保密函式庫申請書及保密切結書，以公文書方式函送數位發展部，若核准將提供帳號與密碼供下載安全保密函式庫)。

1. GPKI安全保密函式庫與GTestCA發展套件標準版所提供的安全保密函式庫是相同的。
2. GTestCA發展套件主要是為了幫助系統開發人員以最短的開發時程將憑證的電子身分認證與安全加解密功能應用於系統上，開發人員可使用安全保密函式庫進行系統開發作業，並以憑證IC卡至政府測試憑證管理中心(GTestCA)進行憑證申請等相關作業，以利進行系統測試。GTestCA發展套件標準版提供6張已制式化處理與印刷的測試用憑證IC卡以及最新版本的安全保密函式庫，相關產品資訊與訂購方式請參閱GTestCA網站之發展套件訂購資訊。
3. 建議系統開發單位請先向政府測試憑證管理中心申購GTestCA發展套件，等系統測試一切正常後，再至各憑證管理中心申請正式憑證及安全保密函式庫標準版(建議系統正式上線前一至兩個月至GPKI各憑證管理中心網站 提出安全保密函式庫申請。請於線上填寫安全保密函式庫申請書，填寫完畢列印安全保密函式庫申請書及保密切結書，以公文書方式函送數位發展部，若核准將提供帳號與密碼供下載安全保密函式庫)。

不同的模組有不同的限制；不過並不建議這樣使用。由於起始一個密碼模組之後可以執行多次的密碼模組運算，因此程式設計應減少複雜性，不要起始過多的模組。

將會回應0xDA0000A4。

私密金鑰是無法取出來的。 安全保密函式庫(HiSECURE API)並不提供取出公開金鑰或私密金鑰的方式，取代的用法為取出金鑰的控制指標來執行密碼模組運算功能，詳細的取得控制指標方式請參照各個密碼模組的操作指引。

讀取憑證及解析憑證內容時不需要驗證PIN碼。

不論使用何種方式都無法取出私密金鑰，只能取得它的控制指標，在使用私密金鑰時需要驗證PIN碼。

目前提供Openssl範例。

沒有限制。

GTestCA發展套件所提供之測試用憑證IC卡採用雙金鑰對，也就是簽驗章和加解密是使用不同的金鑰對。

當您要做加密運算、驗證簽章時應該使用公鑰控制指標，並請注意分別採用收文者與發文者之公鑰控制指標。若是要做解密運算、製作簽章時則應使用私鑰控制指標，並請注意分別採用收文者與發文者之私鑰控制指標。

GTestCA憑證對應1024位元私密金鑰所製作的簽章(簽體)長度是128個位元組長。
GTestCA憑證對應2048位元私密金鑰所製作的簽章(簽體)長度是256個位元組長。

目前提供的加解密運算法包括：非對稱式加解密運算法的RSA和ECC。

有，但如先經過雜湊函式則不必擔心長度問題，詳可見PKCS#1與ECDSA規範。

基本上支援SHA1、SHA2與RSA、ECC的各式組合，詳細可參考HiSecureDefine.h。

1. 安全保密函式庫標準版對被加密資料的長度有限制。
2. 使用非對稱式加解密運算法，若金鑰長度為1024位元，則被加密資料限制長度為117 bytes以下；若金鑰長度為2048位元，則被加密資料限制長度為245 bytes以下。
3. 使用對稱式加解密運算法，被加密資料長度無限制。

依照系統對日期時間格式的定義，月份是由0~11，而非1~12，星期是0~6，日期是1~31。所以 ，當使用安全保密函式庫取得之日期時間資料、月份及星期均需加1才會正確。

安全函式保密庫並無提供下載CRL之函式，開發人員可透過以下方式取得：

1. 從GTestCA網站的儲存庫 (訊息公告與儲存庫 → 儲存庫)，以手動方式下載。
2. 撰寫透過HTTP 協定下載CRL之程式。

1. 下載CRL。
2. 下載簽發該CRL之CA自身憑證。
3. 驗證CRL簽章。
4. 判斷CRL的起始有效時間。
5. 取得憑證廢止狀態。

相關程式請參照範例說明。

1. 準備OCSP查詢資料結構(取得欲查詢之憑證序號)。
2. 產生OCSP查詢資料結構。
3. 送出OCSP查詢資料結構並取回查詢結果。

相關程式請參照範例說明。

安全保密函式庫是整套PKI的解決工具 ，其所扮演的角色是將相關的資料予以簽章，並無支援包裝成MIME格式，開發人員必須自行將所有的東西自行包裝成MIME的格式。

由LIB包裝成VB .NET以及ASP .NET可以使用的方式是 可作得到 (猶如開發一個ActiveX COM元件般)，目前沒有相關的範例。