SGC
增強密鑰用法的技術
SGC技術(Server Gated Cryptography)是在現有的SSL證書標準基礎上增加的一種增強密鑰用法(EKU),主要是考慮到2000年以前美國政府對高強度加密演演算法(128位)出口限制的因素而推出的。隨著計算機硬體的更新換代,SSL協議通過協商會話建立的加密強度(如40位、56位)不能滿足很多商業數據的安全傳輸了, SGC是一種伺服器端使用的SSL證書,它可以影響客戶端與伺服器端會話時對於加密強度的選擇。
由於出口管制的原因,2001年以前推出的瀏覽器版本(如:IE5)和伺服器版本(Windows2000server)都只支持56位或40位加密演演算法,但由於電腦硬體技術和CPU處理速度的快速提高,使得破解40位加密演演算法只需幾秒鐘,而破解56位加密演演算法也只需幾天時間。為了加強美國以外的國家的電子商務和網上銀行的安全,SSL證書業界就在SSL證書標準基礎上增加的支持強制實現128位加密的增強密鑰用法(EKU),也就是說:即使受出口限制的40位或56位瀏覽器或伺服器,只要使用支持SGC技術的SSL證書,就能不受限制的實現128位加密。這種強制實現128位高強度加密技術簡稱為SGC技術。
(EKU)就是定義該證書的用途,由一串十進位數字組成,也稱 Object ID或OID,常見的OID有:伺服器驗證:1.3.6.1.5.5.7.3.1(serverAuth),客戶端驗證:1.3.6.1.5.5.7.3.2(clientAuth),代碼簽名:1.3.6.1.5.5.7.3.3(codeSigning),電子郵件加密:1.3.6.1.5.5.7.3.4(emailProtection)等等。
就是增加了一個新的OID,NetScape提出的SGC OID為:2.16.840.1.113730.4.1 (nsSGC),而由微軟提出的SGC OID為:1.3.6.1.4.1.311.10.3.3(msSGC),兩者都已經成為國際標準,所有系統都支持這兩個OID。了解了這些以後,您就不難檢查一個SSL證書是否支持SGC技術了,根據微軟網站知識庫文檔(文檔1或文檔2),只要SSL證書的“增強型密鑰用法”中含有以上兩個OID或含有兩個OID的其中一個則都是支持SGC技術的SSL證書。
SGC技術的128位或更高位加密技術的SSL證書:確保最終用戶有高強度的安全保護,但又不會要求用戶必須升級操作系統和瀏覽器。也許專業人士懂得公鑰加密技術,但一般用戶不知道什麼是128位或40位,部署支持SGC技術的SSL證書不需要用戶關心該網站的SSL是否支持128位。
相對於低版本的瀏覽器,SGC技術顯得非常的重要,如果用戶的瀏覽器版本較低,普通的SSL證書是不能滿足128位的加密需要相對於資金交易系統來說這是非常的危險。因此選用SGC技術的SSL證書是資金交易系統所必順。
國內CA暫時不能提供SGC服務,目前支持SGC技術的伺服器證書品牌有VeriSign thawte的SGC證書實際上是VeriSign根證書頒發!
對於究竟SGC實現情況業內存在部分爭議,但技術上最為成熟的還是VeriSign系列,其部署情況較高。
組通信是面向組接收者的一種高效的通信方式,其重要性日益突出。近年來,出現了許多基於組通信的應用和系統,如信息分發、付費廣播系統、遠程會議系統、戰場信息廣播、分散式交互模擬、分散式協作系統、Ad hoc無線網路系統等,這些系統和應用的一個主要特點是採用多播或廣播通信方式,而在安全上的基本要求是信息只能由獲得授權的用戶或參與者獲悉。
組通信中的組是一個開放的組。發送者不知道組中接收者的身份,同樣組中接收者也無法鑒別發送者的身份。這就需要有一種安全機制來保證安全組通信。安全組通信正成為一個重要的研究領域。
安全組通信包括以下幾個內容:(1)組成員授權,即當新成員加入組時對其授權;(2)訪問控制,即授權組成員訪問系統資源許可權;(3)組密鑰管理,完整性和確定性,即保證組內數據通信安全。
目前的研究主要集中於組的動態性管理,要求安全組通信必須支持子組與組成員的動態性,還要具有適應組規模變化的擴展能力。