从SGC技术看SSL证书的加密作用

慕容雪

从SGC（Server Gated Cryptography）技术看SSL证书的加密作用
                           ---  郭志峰


1. 什么是加密强度？

      在对称密钥加密算法中，对于明文的加密和解密需要用同一密钥（key）进行，密钥的长度直接影响到该算法是否容易破解。加密强度就指密钥长度，即位数。目前常见的密钥长度有40位、56位、128位和256位。在密钥算法不存在漏洞的情况下，通常破解（即猜出密钥）需要用到强力破解，即把字母、数字等合法字符的所有组合一个个去试，所有的组合构成密钥空间。如下表所示。

密钥长度
密钥空间
40位
1,099,511,627,776
56位
72,057,594,037,927,900
128位
340,282,366,920,938,000,000,000,000,000,000,000,000

    位数越高，加密强度越大，越不容易破解。加密的信息在传输过程中越安全。
目前美国政府规定在标记为高敏感的数据必须采用192或256位加密强度的加密算法，如AES。


2. 只要有加密就是安全的吗？

    根据现在计算机的硬件性能，目前56位以下的密钥长度已经非常容易破解，即在几十分钟的时间内就可以试完所有密钥空间。
         DES算法是应用最广泛的对称密钥加密算法之一，它有效密钥长度为56位。在RSA公司举办的系列DES破解挑战赛中，1997年用时96天破解，1998年1月用了41天，1998年7月，Deep Crack工具耗时56小时完成了破解，在1999年1月，Deep Crack只用22小时15分钟完成了破解。根据摩尔算法，每隔18个月，硬件性能提高一倍。


3.       什么是SGC技术
    随着计算机硬件的更新换代，SSL协议通过协商会话建立的加密强度（如40位、56位）不能满足很多商业数据的安全传输了，这是Yankee Group经过368次详细的测试后得出的结论。
       SGC是一种服务器端使用的SSL证书，它可以影响客户端与服务器端会话时对于加密强度的选择。具体过程见下面。


4. 加密强度是由SSL证书决定的吗？

要回答这个问题，我们需要了解SSL协议会话过程和SGC技术。
SSL协议会话是由用户端浏览器和服务器进行安全通信时建立的。如下图所示。



[/url]

    客户端发起连接，并提交支持的加密算法请求后，服务器端发出自己的证书、密钥交换方式，并要求提供客户端证书，客户端发出客户端证书（如果没有，就不用）、客户端密钥交换方式、服务器证书的确认，商定加密算法后，完成会话。双方开始使用加密传输信息。

    从上述会话过程上看，加密强度是由客户端和服务器端协商的结果。此时服务器端的SSL证书并不影响加密强度。

    但是如果服务器端的SSL证书用到了SGC技术，客户端在收到并确认是SGC证书后，会调高它所提交的密钥强度，从而使用双方最终建立的密钥长度达到SGC要求的加密强度。如下图所示。



[url=http://blog.photo.sina.com.cn/showpic.html#url=http://static5.photo.sina.com.cn/orignal/4a183c774520736904974]



5.       安全强制型SSL证书是高应用安全需求的最佳选择

     由于我国相关政策法规的缺乏，很多网上银行、网上证券、电子商务网站在选择SSL证书时随意性很大，比如某证券在线交易网站用了只鉴证域名的QuickSSL证书，不仅加密得不到保证、用户更无从判断交易网站的真假，给在线交易安全带来了极大隐患。
             VeriSign Secure Site Pro（128位强制型）、Thawte SGC Supercerts证书都能提高强制型加密功能，是对于在线安全需求很高的首选。




本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u2/72597/showart_1082470.html