一、問題不是「假卡」,而是「假信任」
紙本時代的防偽重點在卡面(壓印、水印、雷射標籤);數位憑證時代, 真正的風險是偽造簽發、偽造驗證、錯誤信任三件事。
- 假簽發:冒用系統權限、偽造發證單位。
- 假驗證:偽造驗證端 App,誘使民眾授權或外洩資料。
- 假信任:驗證端信任未授權的發證來源或信任域。
重點:防偽不是防「卡」,而是守住整條信任鏈不被繞過。
二、防偽的第一層:簽章機制(誰簽發)
每張 VC 由具名的發證者(Issuer DID)簽章。可靠與否不在卡面,而在私鑰簽章與可查驗的公鑰。
- 唯一發證者身份(Issuer DID):公鑰登錄於信任名錄(Trust Registry),驗證端僅信任名錄內簽章。
- 撤銷與狀態查核:金鑰外洩可撤銷;憑證有效性可在不揭露個資下被查驗。
- 定期輪替金鑰:公部門建議年度輪替並落實 HSM 與審計。
可信不在誰持有,而在誰簽的、誰保證的。
三、防偽的第二層:驗證端授權(誰在驗)
假驗證比假卡更危險。需建立授權驗證清單(Authorized Verifiers)與驗證端身份(Verifier DID)。
- 每個驗證 App 具唯一 Verifier DID,註冊於中央清單。
- App 啟動時向信任清單伺服器確認授權狀態;未授權或遭撤銷即被拒絕互動。
- 民眾端可見「誰在向你請求驗證」,形成清楚的授權邊界。
四、防偽的第三層:互認信任鏈(信誰的簽章)
憑證與驗證端皆真實,但若不在同一信任範圍仍可能「錯信任」。需採信任聯盟(Trust Federation)。
根信任(Root of Trust)
由中央/主管機關維護全域信任根目錄,管理各領域子信任圈。
子信任圈(Sub-Trust Domain)
醫療、教育、社福、公益各自成圈;驗證時比對憑證所屬領域是否被允許。
醫療憑證→醫療圈驗證;社福憑證→社福圈驗證;跨圈需中央認可。
五、防偽的第四層:行為稽核與異常偵測
- 事件留痕:簽發、撤銷、驗證皆產生匿名事件(時間、動作、結果)。
- 異常警示:短時間大量簽發/驗證自動觸發節流或暫停金鑰。
- 行為特徵:從簽章節奏、網域、API 使用樣態辨識自動化濫用。
真正的防詐:不只加鎖,更要能及時發現誰在嘗試開鎖。
六、防偽的第五層:使用者教育與透明介面
- 清楚顯示驗證對象:出示前明示「你正授權給:○○單位」。
- 風險提示:不在授權清單 → 顯示紅色警示與阻擋互動。
- 掃碼即知道:任何驗證畫面皆可一眼看到是否經政府認證。
七、小結:防偽的本質是「透明可查證」
| 層級 | 核心機制 | 保護對象 |
|---|---|---|
| 1. 簽章層 | Issuer DID、金鑰管理、撤銷名錄 | 憑證真偽 |
| 2. 驗證層 | 授權驗證清單、Verifier DID | 使用者資料 |
| 3. 信任層 | 根信任+子信任圈的聯盟 | 機構互信 |
| 4. 稽核層 | 事件留痕、異常偵測、智能封鎖 | 系統安全 |
| 5. 使用者層 | 透明授權提示、風險警示 | 公眾信任 |
目標不是「讓人造不出假卡」,而是「讓假卡沒有市場」:
三方共享同一條可查證的信任鏈,偽造自然失效。