Kryptografie se serverem - Server-Gated Cryptography

Kryptografie se serverem (SGC), také známý jako Mezinárodní posílení podle Netscape, je zaniklý mechanismus, který byl použit ke zvýšení úrovně ze 40bitových nebo 56bitových na 128bitové šifrovací sady s SSL. Byl vytvořen v reakci na Federální právní předpisy USA o vývozu silné kryptografie v 90. letech.^[1] Legislativa byla omezená šifrování slabý algoritmy a kratší délky klíčů v softwaru exportovaném mimo Spojené státy americké. Když legislativa přidala výjimku pro finanční transakce, SGC byl vytvořen jako rozšíření SSL s tím, že certifikáty jsou omezeny na finanční organizace. V roce 1999 byl tento seznam rozšířen o online obchodníky, zdravotnické organizace a pojišťovací společnosti.^[2] Tato legislativa se změnila v lednu 2000, což vedlo k tomu, že prodejci již neomezeně dodávali prohlížeče exportní kvality a certifikáty SGC.

internet Explorer podporovaný SGC počínaje opravenými verzemi Internet Explorer 3. SGC se stalo zastaralý když Internet Explorer 5.01 SP1 a Internet Explorer 5.5 začal podporovat silné šifrování bez nutnosti použití samostatného vysokého šifrovacího balíčku (s výjimkou Windows 2000, který potřebuje vlastní balíček vysokého šifrování, který byl součástí aktualizace Service Pack 2 a novější).^[3] „Exportní“ prohlížeče jsou na moderním webu nepoužitelné kvůli mnoha serverům, které deaktivují šifrovací sady exportu. Tyto prohlížeče navíc nejsou schopny používat algoritmy hash podpisu rodiny SHA-2, jako je SHA-256. Certifikační úřady se pokoušejí postupně vyřadit nové vydávání certifikátů se starším hashovacím algoritmem SHA-1.

Pokračující používání SGC usnadňuje používání zastaralých, nezabezpečených webových prohlížečů s HTTPS.^[4]^[5] Přestože certifikáty, které používají algoritmus hash podpisu SHA-1, zůstávají k dispozici, některé certifikační autority nadále vydávají certifikáty SGC (často za ně účtují prémii), i když jsou zastaralé. Důvodem, proč si certifikační autority mohou účtovat poplatek za certifikáty SGC, je to, že prohlížeče povolily podporu SGC pouze omezenému počtu kořenů.

Když dojde k navázání spojení SSL, software (např webový prohlížeč ) by vypsal šifry které podporuje. Ačkoli slabší exportované prohlížeče by zahrnovaly pouze slabší šifry ve svém počátečním handshake SSL, prohlížeč také obsahoval silnější kryptografické algoritmy. K jejich aktivaci jsou zapojeny dva protokoly. Netscape Communicator 4 použil International Step-Up, který využil nyní zastaralé nejisté vyjednávání ke změně na silnější šifrovací sadu. Společnost Microsoft použila SGC, která posílá novou zprávu Hello Hello s výpisem silnějších šifrovacích sad na stejném připojení poté, co je certifikát určen jako schopný SGC, a také podporovala kompatibilitu Netscape Step-Up (ačkoli tato podpora v NT 4.0 SP6 a IE Verze 5.01 měla chybu, kde změna MAC algoritmů během Step-Up nefungovala správně).^{[Citace je zapotřebí ]}

Viz také

FREKVENCE

Reference

^ Thawte SGC Knowledgebase Archivováno 03.02.2013 v Archiv. Dnes, 3/12/2010
^ „ID globálního serveru“. Archivovány od originál dne 29. února 2000.
^ Stránka University of Cambridge na serveru Gated Cryptography, 3/12/2010^{[je zapotřebí objasnění ]}
^ SSLShopper.com „Řekněte společnosti SGC ne“, 3/12/2010
^ Prohlížeče SGC (Server-Gated Cryptography) představují bezpečnostní rizika, 3/12/2010

externí odkazy

Stránka společnosti Microsoft na téma Server Gated Cryptography
Stará dokumentace mod_ssl na SGC, Step-Up a Global-ID

[1] Thawte SGC Knowledgebase Archivováno 03.02.2013 v Archiv. Dnes, 3/12/2010

[2] „ID globálního serveru“. Archivovány od originál dne 29. února 2000.

[3] Stránka University of Cambridge na serveru Gated Cryptography, 3/12/2010^{[je zapotřebí objasnění ]}

[4] SSLShopper.com „Řekněte společnosti SGC ne“, 3/12/2010

[5] Prohlížeče SGC (Server-Gated Cryptography) představují bezpečnostní rizika, 3/12/2010

[1]

[2]

[3]

[4]

[5]