Серверная криптография - Server-Gated Cryptography
Серверная криптография (SGC), также известен как Международный Step-Up от Netscape, это несуществующий механизм, который использовался для перехода с 40-битных или 56-битных на 128-битные наборы шифров с помощью SSL. Он был создан в ответ на Федеральное законодательство США об экспорте надежной криптографии в 1990-е гг.[1] Законодательство ограничивало шифрование ослаблять алгоритмы и более короткие ключи в программном обеспечении, экспортируемом за пределы Соединенные Штаты Америки. Когда законодательство добавило исключение для финансовых транзакций, SGC был создан как расширение SSL с сертификатами, ограниченными финансовыми организациями. В 1999 году этот список был расширен, и в него вошли интернет-магазины, медицинские организации и страховые компании.[2] Это законодательство изменилось в январе 2000 года, в результате чего поставщики больше не поставляли браузеры экспортного уровня, а сертификаты SGC стали доступны без ограничений.
Internet Explorer поддерживает SGC, начиная с исправленных версий Internet Explorer 3. SGC стала устаревший когда Internet Explorer 5.01 SP1 и Internet Explorer 5.5 начал поддерживать надежное шифрование без необходимости в отдельном пакете с высоким уровнем шифрования (кроме Windows 2000, которому требуется собственный пакет высокого шифрования, который был включен в Service Pack 2 и более поздних версий).[3] Браузеры «экспортного уровня» непригодны для использования в современном Интернете из-за того, что многие серверы отключают наборы экспортных шифров. Кроме того, эти браузеры не могут использовать алгоритмы хеширования подписи семейства SHA-2, такие как SHA-256. Сертификационные органы пытаются постепенно отказаться от новой выдачи сертификатов со старым алгоритмом хеширования подписи SHA-1.
Продолжающееся использование SGC облегчает использование устаревших небезопасных веб-браузеров с HTTPS.[4][5] Однако, хотя сертификаты, использующие алгоритм хеширования подписи SHA-1, остаются доступными, некоторые центры сертификации продолжают выпускать сертификаты SGC (часто взимая за них дополнительную плату), хотя они устарели. Причина, по которой центры сертификации могут взимать дополнительную плату за сертификаты SGC, заключается в том, что браузеры разрешили только ограниченному количеству корневых серверов поддерживать SGC.
Когда происходит рукопожатие SSL, программное обеспечение (например, веб-браузер ) перечислил бы шифры что он поддерживает. Хотя более слабые экспортируемые браузеры будут включать только более слабые шифры в свое первоначальное подтверждение SSL, браузер также содержит более сильные алгоритмы криптографии. Для их активации используются два протокола. Коммуникатор Netscape 4 использовал International Step-Up, в котором использовалось устаревшее небезопасное повторное согласование для перехода на более надежный набор шифров. Microsoft использовала SGC, которое отправляет новое сообщение Client Hello, в котором перечислены более надежные комплекты шифров в том же соединении после того, как сертификат определен как поддерживающий SGC, а также поддерживал Netscape Step-Up для совместимости (хотя эта поддержка в NT 4.0 SP6 и IE В версии 5.01 была ошибка, из-за которой изменение алгоритмов MAC во время Step-Up не работало должным образом).[нужна цитата ]
Смотрите также
использованная литература
- ^ База знаний Thawte SGC В архиве 2013-02-03 в Archive.today, 3/12/2010
- ^ «Подробная информация о глобальном идентификаторе сервера». Архивировано из оригинал 29 февраля 2000 г.
- ^ Страница Кембриджского университета о серверной криптографии, 3/12/2010[требуется разъяснение ]
- ^ SSLShopper.com "Скажи нет SGC", 3/12/2010
- ^ Браузеры с серверной криптографией (SGC) представляют угрозу безопасности, 3/12/2010
внешние ссылки
- Страница Microsoft о серверной криптографии
- Старая документация по mod_ssl на SGC, Step-Up и Global-ID