自然人憑證的作用流程是這樣：
使用者插入憑證 -> 憑證驗證 -> 通過 -> 輸入身分證號後四碼 以及 密碼 ->
伺服器端驗證 -> 通過 -> 擷取個人戶政資料 -> 使用者登入成功
為什麼自然人憑證能夠"被當作"網路身分證是因為與戶政系統結合
這是一般的簡單流程，了解了嗎？
你的資料公信力依舊存在於你的個人戶籍資料OK？
連署內容範例:
====
本人 XXXXXXX(用於識別對應公鑰之ID,例如GPG是使用email來識別)連署罷免 XXX
連署日 xxxx/xx/xx(用於判別是否為該次連署時程內,避免有心人拿舊連署來頂替)
=====Sign=====
fjwoihegwonbosiy2tn[]o]2tijlkbgah9t2ho\]wtj,s\q067i10hGRW#^Y#FBAWnb(數位簽章)
==============
上面的概念是這個連署包含了「時間」「應用範圍」還有「個人資料」
如果只是一個簽名，那麼根本毫無丁點半點的公信力可以應用。
要可以應用你必然要包括在國內被承認的各種個人資料，譬如身份證字號。
可改為印刷出連署資料(含簽章)的QRCode條碼
如果你包含這些個人資料做成QRCODE碼......根本就是個資濫用的前奏。
因此你這麼說：
ofy:簽章是用於代表個人以及信息的可信性(本人)與個資洩漏無關
ofy:我用自然人憑証主要是以私鑰將內容簽章後足以代表個人其意見
ofy:另外簽章後的內容無法任意串改
ofy:QRCode裡記載的是連署內容與對這份內容的簽章,並非將私鑰編入
ofy:我的(含簽章)指的不是私鑰,而是簽章此行為生成的"摘要"Hash
ofy:簽章是用於標示信息內容為本人所做或同意
簡單來說，這個QRCODE裡面沒有個人資料只有一份"文件"，那請問你公信力在哪裡？
既沒有個人戶籍資料、又沒有其他驗證資料只有"代表個人的簽章"要拿來幹嘛？
這邊借用版友的話
tsairay:ofy..你重修一下密碼學吧,沒經過加密傳輸的簽章是不可信的
你要讓這份QRCODE有公信力而提出的方法是：
ofy:驗證使用公鑰電子化計算,加上制式化內容跟QRCode或電子傳輸
ofy:驗證可比使用身分證影本快上許多
如果公鑰驗證不出來怎麼辦？
我節錄你的原文：
唯一的弱點就是,不清楚核發自然人憑證的單位有無"備分"私鑰
以及會不會擅自"註銷"其對應公鑰,影響驗證
================================
( ′-`)y=*～就是被政府註銷了嘛。
================================
多輕鬆的一句話阿。
這邏輯是在耍人嗎？這不就代表我提出一份【假的文件與數位簽章內容】做連署。
政府若是說他【找不到】、【解不開】就【有可能】是因為被擅自註銷公鑰？
一下說這沒有個資 -> 沒公信力
一下說能代表個人有公信力 -> 但是沒個資洩漏問題
一下說如果驗證不成功就是政府搞鬼 -> 話都你在說
我後面都看不下去了......

當然是你的錯，因為你竟然去期待吱吱的水準

他只是在浪費你的時間你以為在討論，他只是在抬槓

然後後面再講我們都在跳針，不是跟他認真討論......

阿你提出的方案破洞大到無法視而不見啊！

回去看原文 有最新的說法出來了 投票是暱名但罷免必需提

出身份證明 可能涉及違憲!!!!! 超強的...

那讓民間有條件(申請)使用公鑰資料庫,兩造一起比對是否可行?

申請我也打上去了,個人資料保護的部分,驗證只需取得相應公鑰來計算,就洩漏的部分應該會比身分證影本少很多

一邊防範民間團體濫資料 一邊想讓民間團體申請資料庫真是有夠讓人看不懂的

另外也可依照連署區域決定提供有關區域的資料庫而非一次就全國人民的資料庫

我這裡所說的資料庫,指的是憑證ID(姓名+末4碼)與公鑰一對一的資料庫,跟你們所想的報稅,勞健保資料無關,沒私鑰讀不出這些因此識別化的部分我想身分證影本比較嚴重

公信力的部份我以為使用憑證的私鑰做數位簽章就足以與個人連接

一下說憑證ID不代表什麼,一下說戶籍資料識別化公信力然後又說個資疑慮?到底哪種方式洩漏的多

申請自然人憑證要什麼?要身分證,戶籍資料使用自然人憑證要什麼?要個人密碼(PIN碼,預設為生日,可改)

我在原文最開頭就有說類似的話,有卡有密碼,應該就足以識別為個人

戶政機關是因為你有卡有密碼,所以認為你是本人,給你戶籍資料

不是還沒確認你是本人,就先給你戶籍資料,再憑空確認是不是本人

用私鑰簽章出來的,難到有別把公鑰能驗證?

不然有卡有密碼是還要寄身分證影本,戶政才會說好給你進來嗎?

公信力?個資洩漏?用自然人憑證的公私鑰系統是不差的折衝方案

如果有人能輕鬆用公鑰跟簽章(指摘要)回推出2048bit的私鑰

再來說公信力...

簽章不能代表個人資料好嗎 大哥

你要不要問問銀行如果盜刷人有卡有密碼會怎麼認定的該筆交易?

除非你花錢去建立一個專屬的罷免系統 他才能用你的密碼銀行這自然人系統完全不同好嗎 大哥

數位簽章是代表本人同意/認同被簽署內容,代表的是個人不是資料

所以哩 大哥 你同意這個簽章 代表你同意啟動你這個密碼阿

問題卡在 你的終端有當初建立好的 好嗎

所以我要你問銀行阿,銀行會說持卡人應妥善保管密碼,把交易打成正常而不是盜刷爭議款

銀行系統跟自然人憑證完全不同阿 大哥 RRRRRRRRRRRRRRRRR

所以你很不幸的卡片遺失沒申報,(信用卡是卡號等內容而已)

撿到的人很幸運的在三次內猜中密碼,並將其用於連署活動這或然率低到我無法想像

使用身分證影本,查核機制就夠強嗎?

撿到的身分證跟撿到要密碼的憑證相比,哪一個更難被濫用

所以你能保證身分證不會遺失不會被濫用了嗎?

這大絕有點好笑....

回應你的問題剛剛好而已，"自覺"一下吧，公民。

1.部分(姓名及身分證末4碼) 1-1.風險極低1-2.是大難題,私鑰洩漏近乎不可能2.私鑰簽章公鑰驗證 2-1.舞弊現象可設計機制避免2-2.兩造同時或可信第三方

2-3.政府提供有限資料(公鑰及選區等標註)2-4.先問問身分證影本被濫用怎麼辦3.足以代表個人或法人機構等,申辦需提供各式證件3-1.公私鑰的對稱性與個人密碼3-2.透過公私鑰驗證為個人,可由戶政機關獲取戶籍資料3-3.台灣有試圖推行公文電子化使用自然人憑證簽核但成果不佳

成果不佳是因為老屁股們習慣用手簽名蓋章,與簽核可信度無關

現在可以請你以相同的疑問回答我身分證影本+切結書了嗎

請問2-1是要如何設計機制？

當你以QRcode以紙本模式輸出個人憑證，那再查核的執行者是誰？

2-2是一種解法,其他大家可以再想想

那我要反問你了，當你以一句有問題是政府的事時，所謂

同時使用同一資料庫會有不同結果?

電腦顯示很單純啊，在中選會再核查時跑結果出現問題跟

當初申請時核查的結果不會有差？

要知道的是你一開始開宗明義就把出事責任推給政府時，

有沒有想過紙本輸出code的程序漏洞不見得是政府的事？

兩造同時我以為是指送件後的電子驗證,想知道你怎麼想的?

我沒想到要推出事責任,我只是把可能的舞弊現象說出來希望能籌及各方意見將其完善,也許說法讓人認為是打預防針...

對，送件後誰來請求驗證？中選會？戶政委員會？

今天一個文件上的code，在收件上沒辦法直接的辨明真偽

時，要由誰來負起責任來？我對於這個主題一直在注意在

連署有效性的驗證屬於中選會職責,並與連署單位代表共同處置

這，因為沒人能以肉眼去辨別Code真偽，要用政府系統掃

你又直接的以一句"金鑰撤銷"為由推給政府，那....要誰負責？

在你不確信政府的電子憑證公正性之下，以自然人電子憑

證輸出紙本QRcode，然後再栽贓給中選會說不過是你的事

你不覺得有某種荒謬的理由存在？

因電子簽章特性,偽造出有效票近乎不可能

雖偽造此一行為即是違法,但難以追查恐怕沒有任何一方可以負責所幸電子簽章驗證只要輸入資料就能用對應公鑰自動驗證,與影本偽造相比會輕鬆一點被認為偏頗命題主因是民團管不到公鑰資料庫對於公鑰驗證我只想的到政府如果舞弊會有什麼方式

我提一個可能性，以相同格式文書配正確配對QRcode是否

可以正確核證為本人？

不含經私鑰簽章輸出的摘要(Hash)?我想沒辦法吧!

不需要什麼私鑰簽章，只要回答有正確的QRcode配文件是否能代表整份文章由某人簽署？

或者講更精確一點，用經過系統輸出的正確QRcode

因為QRCode人人可編可解,空有QRCode沒有簽章,無法證明其唯一性

看來還是沒看懂XD 經過系統產生QRcode含簽章配文件

你這就像切結書上有印刷的名字,但沒人簽名蓋章是否有效一樣

算了，直接說好了，用一個正確的QRcode去配假造的文書

左邊說不要私鑰簽章,右邊說QRCode含簽章,這簽章用什麼方式簽的

今天走系統程序去產生大量認證不可行，但我可不可以用

Hash你知道是什麼意思嗎?只要變動任何一字,簽章就驗證失敗

一個由系統認證的QRcode配假造文件混造文書？

我不需要去動HASH，我只要他老老實實地在文書上就好

反正你說過，有事政府負責，那我用假造文書配正確code

變動任何一字是包含簽章時輸入的文書,內容與摘要是成對的

去大量生產連署書文件，連署不過責任歸誰？

你還是搞不懂耶XD

文書認證是誰在搞，政府

當你可以以一句"出事政府負責"，那我可不可以用Bypass

沒有正確的文書,簽章也不能被視為有效

假造文書去栽贓給政府說政府認證系統有問題

但是你說QRcode簽章萬無一失啊，文件也合乎格式

反正出事認不出就是政府自己的事情，我覺得我自己弄出

達標的文件數就應該會過才對，不是嘛？

所以連署單位不能檢查驗證系統?投票時會不會驗票箱阿?

先生，既然你都懷疑驗證系統會被動手腳，那還要用是做啥？不就是栽贓？

既然搞不清楚責任分界在哪，與其用這系統還不如用舊有

系統還來的保守點，省的被栽贓還要被懷疑動手腳

舊有系統也被質疑成要附加身分證影本加切結書才可信連署團體也被裁贓使用虛假資料,這點你怎麼看?

投開票也是中選會組織,投票前要先驗票箱開票時唱票員後方會有各團體代表的驗票員開票完還要再驗一次票箱確認票已開完那麼為什麼驗證系統的可信度無法被檢驗?

那我要先問驗證系統是在使用期間被驗證還是再啟用前就該被認證的？

我覺得可以啟用前檢驗,使用時監督(包含啟用動作)必要時可二次驗證

既然都沒在信任驗證系統，那就算再多幾個第三方認證也

當然這部分不是我說了算...一種看法而已

使用虛假資料有很多種因素，不代表說政府栽贓

光是在路上碰到會要留個資作調查會碰到幾個留正確資料

看法....嘛

但使用憑證簽章雖然無法追查偽造人,但有效票的偽造近乎不可能

只是個看法的話，一堆在做第三方認證的公司就在哭泣了

我也不需要偽造有效票，因為我的戰略點本來就不在這我只要攻擊到"都是政府的問題"就好

我指的是必須要有檢驗與監督機制,實施方式不是我一人說就算數

到時候我只要坐著看中選會對這個問題搞到一個頭兩個大

檢驗跟監督機制....到時中選會會公布結果啊

因此我才以"我覺得"三字做為開頭,事實上現行投開驗票制度也是由各方討論統整而成

我覺得....真是好用的詞