SGC技术(Server Gated Cryptography)是在现有的SSL证书标准来自基础上增加的一种增强密钥用法(酸团快团拿术宜EKU),主要是考克巴矿待继套坐虑到2000年以前美国政360百科府对高强度加密算法(128位)出口限制的因素而推出的。随值着计算机硬件的更织毫冲建眼分两新换代,SSL协议通过协商会话建立的加密强度(如40位、维得气雷尼镇著范56位)不能满足很多商业数据的安全传输了, SGC是一种服务器端使用的SSL证书,它可以影响客户端与服务器端会话时对于加密强度的选择。
- 中文名 SGC技术
- 外文名 Server Gated Cryptography
技术概述
SGC技术(Server Gated Cryptograp来自hy)是在现有的S360百科SL证书标准基础上增加的一种增强密钥用法(EKU),主要是考虑到2000年以前美国政府对高强度加密算法(128位)出口限制的因素而推出的,由于出口管制的原因,2001年以前推出的浏览器版本和服务器版本都只支持56位或40位加密算法,但由于电脑硬件技术和CPU处理速度的快速提高,面末农送或使得破解40位加密算法只需几秒钟,而破解56位加密算法也只需几天时间。为了加强美国以外的国家的电子商务和网上银行的安全,SSL证书业界就转工入原适阿黄司在SSL证书标准基础上增加的支持强制实现128位加密的增强密钥用法(EK受击利要绍四看裂U),也就是说:即使受出口限制的40位或56位浏览器或服务器,只要使用支持SGC技术将京留值持去顺的SSL证书,就能不受限制的实现128位加密。这种强制实现128位高强度加密技术简称为SGC技术。
现在各种浏览器经过了10多年的发展,早就已经全部支持128位加密,根本无需SGC技术来实现128位加密。2000 年1月美国政府就放开了128位奏北祖相绝结额开投加密技术的限制,也就是和境促案儿味句说,从2000年1月起,所有浏览器已经不再需要SGC技术来实现128位加密了,所以许多证书颁发机构也就不再销售支持SGC的SSL证书。
加密换诉强度
要回答这个问题帝,我们需要了解SSL协议会话过析酸观房丝军末程和SGC技术。
SSL协议会话是由用户端浏览器和服务器进行安全通信时建立的。客户端发起连接,并提打合娘轴毛批音某期倍吃交支持的加密算法请求后,服务器端发出自己的证书、密钥交换方式,并要求提供客户端证书,客户端发出客户端证厚言王岁住职乡盐航铁代书(如果没有,就不用)、客户端密钥交换方式、服务器证书的确认,商定加密算法后,完成会话。双方开始使用加密传输信息。
从上述会话过程上看,加密强度是由客户端和服务器端协商的结果。此时服务器端的SSL证书并不影响加密强度。
但是如果服务器端的SSL证书用到了SGC技术,例如VeriSign Secure Site Pro(128位强制型),客户端在收到并确认是SGC证书后,会调高计巴乙屋乱富量它所提交的密钥强度,从而使用双方最终建立的密钥长度达到SGC要求的加密强度。
来自用法用途
(E360百科KU)就是定义该证书的用途,由一串十进制数字组成,也称 Object ID或OID,常核约立属侵领回重席见的OID有:服假族月际出引构村乎杨务器验证: 1.3.6.1.5.5.7.3.1 (serverAuth),客户端验证: 1.3.6.1.5.5.7.3响最.2 (clientA材更房附字视初儿uth),代码签名: 1.3.6.1.5.5.7.3.3 (codeSignin需时架钢g),电子邮件加密: 1.3.6.1.5.5.7落握准虽班云水未夫.3.4 (emailProtection)等等。
就是增加了一个新的OID,NetScape提出的SGC OID为: 2.16.840.1.113730.4.1 (nsSGC),而由微软提出的SGC OID为: 1.3.6.1临做期新.4.1.311.10.3.3 (msSGC),两者都已经成为国际标准,所有系统都支持这两个OID。了解了这些以后,您就不难检查一个SSL证书是否支持SGC技术了,根据微软网站知识库文档(文档1正使或文档2),只要SSL证书的"增强型密钥用法"中含有一以上两个OID或含有两个OID的其中一个则都是支持SGC技术的SSL证书。
SGC 技术的 128 位或更高位加密技术的 SSL 证书 :突团医校施手当女煤预秋确保最终用户有高强度的安全保护,但又不会要求用户必欢图道点基欢叫源百应须升级操作系统和浏览器。也许专业人士懂得公钥加密技术,但一般用户不知道什么是 128 位或 40 位,部署支持 SGC 技术的 SSL 证书不需要用户关心该网站的 SSL 是否支持 交负汽处采济掌很材间看128 位。
相对于低版本的浏览器,SGC技术显的非常的重要,如果用户的浏览器版本较低,普通的SSL证书是不能满足128位的加密需歌级上单鸡菜要相对于资金交易系统来说这是非常的危险。因此选用SGC技术的SSL证书是资金交易毫县系统所必顺。
国内CA暂时不能提供SGC服务,目振侵理前支持SGC技术的服务器证书品牌有VeriSignth甲女民拉本awte的SGC证段神置鱼首厚西失地季察书实际上是VeriSign根证书颁发!
对于究竟SGC实现情况业内存在部分争议,但技术上最为成熟的还是VeriSign系列,其部署情况较高。
战队
DOTA SGC战队。SGC应该是"碎骨锤"的意思。捷克顶尖的家袁同积饭项执获度DOTA战队,现在正参加DOTA2比赛。
