SGC技術概述
SGC技術(Server Gated Cryptography)是在現有的SSL證書標準基礎上增加的一種增強密鑰用法(EKU),主要是考慮到2000年以前美國政府對高強度加密算法(128位)出口限制的因素而推出的,由於出口管制的原因,2001年以前推出的瀏覽器版本和伺服器版本都只支持56位或40位加密算法,但由於電腦硬體技術和CPU處理速度的快速提高,使得破解40位加密算法只需幾秒鐘,而破解56位加密算法也只需幾天時間。為了加強美國以外的國家的電子商務和網上銀行的安全,SSL證書業界就在SSL證書標準基礎上增加的支持強制實現128位加密的增強密鑰用法(EKU),也就是說:即使受出口限制的40位或56位瀏覽器或伺服器,只要使用支持SGC技術的SSL證書,就能不受限制的實現128位加密。這種強制實現128位高強度加密技術簡稱為SGC技術。
現在各種瀏覽器經過了10多年的發展,早就已經全部支持128位加密,根本無需SGC技術來實現128位加密。2000 年1月美國政府就放開了128位加密技術的限制,也就是說,從2000年1月起,所有瀏覽器已經不再需要SGC技術來實現128位加密了,所以許多證書頒發機構也就不再銷售支持SGC的SSL證書。
SGC加密強度是由SSL證書決定的嗎?
要回答這個問題,我們需要了解SSL協定會話過程和SGC技術。
SSL協定會話是由用戶端瀏覽器和伺服器進行安全通信時建立的。客戶端發起連線,並提交支持的加密算法請求後,伺服器端發出自己的證書、密鑰交換方式,並要求提供客戶端證書,客戶端發出客戶端證書(如果沒有,就不用)、客戶端密鑰交換方式、伺服器證書的確認,商定加密算法後,完成會話。雙方開始使用加密傳輸信息。
從上述會話過程上看,加密強度是由客戶端和伺服器端協商的結果。此時伺服器端的SSL證書並不影響加密強度。
但是如果伺服器端的SSL證書用到了SGC技術,例如VeriSign Secure Site Pro(128位強制型),客戶端在收到並確認是SGC證書後,會調高它所提交的密鑰強度,從而使用雙方最終建立的密鑰長度達到SGC要求的加密強度。
增強型密鑰用法用途
(EKU)就是定義該證書的用途,由一串十進制數字組成,也稱 Object ID或OID,常見的OID有:伺服器驗證: 1.3.6.1.5.5.7.3.1 (serverAuth),客戶端驗證: 1.3.6.1.5.5.7.3.2 (clientAuth),代碼簽名: 1.3.6.1.5.5.7.3.3 (codeSigning),電子郵件加密: 1.3.6.1.5.5.7.3.4 (emailProtection)等等。
就是增加了一個新的OID,NetScape提出的SGC OID為: 2.16.840.1.113730.4.1 (nsSGC),而由微軟提出的SGC OID為: 1.3.6.1.4.1.311.10.3.3 (msSGC),兩者都已經成為國際標準,所有系統都支持這兩個OID。了解了這些以後,您就不難檢查一個SSL證書是否支持SGC技術了,根據微軟網站知識庫文檔(文檔1或文檔2),只要SSL證書的“增強型密鑰用法”中含有以上兩個OID或含有兩個OID的其中一個則都是支持SGC技術的SSL證書。
SGC 技術的 128 位或更高位加密技術的 SSL 證書 :確保最終用戶有高強度的安全保護,但又不會要求用戶必須升級作業系統和瀏覽器。也許專業人士懂得公鑰加密技術,但一般用戶不知道什麼是 128 位或 40 位,部署支持 SGC 技術的 SSL 證書不需要用戶關心該網站的 SSL 是否支持 128 位。
相對於低版本的瀏覽器,SGC技術顯的非常的重要,如果用戶的瀏覽器版本較低,普通的SSL證書是不能滿足128位的加密需要相對於資金交易系統來說這是非常的危險。因此選用SGC技術的SSL證書是資金交易系統所必順。
國內CA暫時不能提供SGC服務,目前支持SGC技術的伺服器證書品牌有VeriSignthawte的SGC證書實際上是VeriSign根證書頒發!
對於究竟SGC實現情況業記憶體在部分爭議,但技術上最為成熟的還是VeriSign系列,其部署情況較高。
SGC戰隊
DOTA SGC戰隊。SGC應該是“碎骨錘”的意思。捷克頂尖的DOTA戰隊,現在正參加DOTA2比賽。