Server-Gated Cryptography - Server-Gated Cryptography

Server-Gated Cryptography ( SGC ), auch bekannt als International Step-Up von Netscape , ist ein nicht mehr funktionierender Mechanismus, der verwendet wurde, um mit SSL von 40-Bit- oder 56-Bit- auf 128-Bit-Cipher Suites zu wechseln . Es wurde als Reaktion auf die US-Bundesgesetzgebung über den Export starker Kryptographie in den 1990er Jahren erstellt. Die Gesetzgebung hatte die Verschlüsselung auf schwache Algorithmen und kürzere Schlüssellängen in Software beschränkt, die außerhalb der Vereinigten Staaten von Amerika exportiert wurde . Als die Gesetzgebung eine Ausnahme für Finanztransaktionen hinzufügte, wurde SGC als Erweiterung von SSL geschaffen, wobei die Zertifikate auf Finanzorganisationen beschränkt waren. 1999 wurde diese Liste um Online-Händler, Gesundheitsorganisationen und Versicherungsunternehmen erweitert. Diese Gesetzgebung wurde im Januar 2000 geändert, was dazu führte, dass Anbieter keine exportfähigen Browser und SGC-Zertifikate mehr ohne Einschränkung zur Verfügung stellten.

Internet Explorer unterstützte SGC ab gepatchten Versionen von Internet Explorer 3 . SGC wurde veraltet, als Internet Explorer 5.01 SP1 und Internet Explorer 5.5 eine starke Verschlüsselung unterstützten, ohne dass ein separates Paket mit hoher Verschlüsselung erforderlich war (außer unter Windows 2000 , das ein eigenes Paket mit hoher Verschlüsselung benötigt, das in Service Pack 2 und höher enthalten war). Browser mit Exportqualität sind im modernen Web unbrauchbar, da viele Server Export-Chiffresuiten deaktivieren. Darüber hinaus können diese Browser keine Signatur-Hash-Algorithmen der SHA-2-Familie wie SHA-256 verwenden. Die Zertifizierungsstellen versuchen, die Neuausstellung von Zertifikaten mit dem älteren SHA-1-Signatur-Hash-Algorithmus auslaufen zu lassen.

Die fortgesetzte Verwendung von SGC erleichtert die Verwendung veralteter, unsicherer Webbrowser mit HTTPS. Obwohl Zertifikate, die den SHA-1-Signatur-Hash-Algorithmus verwenden, weiterhin verfügbar sind, stellen einige Zertifizierungsstellen weiterhin SGC-Zertifikate aus (für die häufig eine Prämie erhoben wird), obwohl sie veraltet sind. Der Grund, warum Zertifizierungsstellen eine Prämie für SGC-Zertifikate erheben können, besteht darin, dass Browser nur eine begrenzte Anzahl von Roots zur Unterstützung von SGC zugelassen haben.

Wenn ein SSL-Handshake stattfindet, listet die Software (z. B. ein Webbrowser ) die von ihr unterstützten Chiffren auf . Obwohl die schwächeren exportierten Browser nur schwächere Chiffren in ihren anfänglichen SSL-Handshake einbeziehen würden, enthielt der Browser auch stärkere Kryptografiealgorithmen. Es sind zwei Protokolle erforderlich, um sie zu aktivieren. Netscape Communicator 4 verwendete International Step-Up, das die inzwischen veraltete unsichere Neuverhandlung nutzte, um zu einer stärkeren Verschlüsselungssuite zu wechseln. Microsoft verwendete SGC, das eine neue Client-Hello-Nachricht sendet, in der die stärkeren Cipher Suites auf derselben Verbindung aufgeführt sind, nachdem festgestellt wurde, dass das Zertifikat SGC-fähig ist, und unterstützte aus Kompatibilitätsgründen auch Netscape Step-Up (obwohl dies in NT 4.0 SP6 und IE unterstützt wird Die Version 5.01 hatte einen Fehler, bei dem das Ändern der MAC-Algorithmen während des Step-Up nicht richtig funktionierte.

Siehe auch

Verweise

Externe Links