Что означает SGC?

Ограничение технологии SGC. Оценка потребностей и влияния.


История технологии SGC sgc-infographic

Технология SGC была введена в 90-х годах прошлого века в ответ на применение федеральных ограничений США, касающихся экспорта устойчивых средств криптографии (все, что свыше 40 бит). Принятый закон сказался на основных поставщиках веб-браузеров того времени – компаниях Microsoft и Netscape – чье браузерное программное обеспечение экспортировалось за пределы США. Однако разумная потребность по применению надежного шифрования для международных финансовых транзакций привела к созданию исключения, которое разрешало использование средств устойчивой криптографии с  SSL-сертификатами для финансовых организацией. Для этого применялась технология серверного шифрования (Server Gated Cryptographhy). Законы, касающиеся экспорта средств криптографии, в 2000-м году были сделаны менее строгими. На сегодняшний день подобные ограничения более не действуют. В 2000-м году на рынок также были выпущены новые браузеры, экспортные версии которых могли поддерживать устойчивые уровни шифрования от 128 бит и выше без применения серверного шифрования.

Что происходит во время серверного шифрования?

Из-за экспортных ограничений США, касающихся средств шифрования, действовавших с середины 1990-х по 2000-й год, некоторые старые экспортные версии браузеров Internet Explorer и Netscape поддерживали только 40-битный уровень шифрования SSL. 40-битное шифрование может быть вскрыто с применением современных вычислительных средств. Технология серверного шифрования — SGC или Server Gated Cryptography — была разработана для того, чтобы заставить эти браузеры со слабым шифрованием использовать более устойчивый уровень шифрования в 128 бит. Браузеры, чьи средства шифрования усиливает технология SGC, ограничиваются экспортными версиями:

  • Internet Explorer, с ознакомительных версий 3.02 по 5.01

  • Netscape, с ознакомительных версий 4.02 по 4.72

  • Системами на основе Windows 2000, выпущенными до марта 2001 года, для которых не был загружен пакет обновления Microsoft’s High Encryption Pack или Service Pack 2 и которые используют Internet Explorer

Для простоты обозначения в дальнейшем тексте статьи вышеуказанный список будет обозначаться как SGC-браузеры.

Чем может быть плохо использование технологии SGC

1. Поддержка использования небезопасного программного обеспечения

Центры сертификации, поставщики браузеров и ответственные владельцы веб-сайтов должны побуждать своих клиентов использовать последнее, обновленное программное обеспечение и не поддерживать использование небезопасного, ненадежного ПО. Технология SGC улучшит слабые средства криптографии, но не закроет многие уязвимости в системах защиты, присутствующие в SGC-браузерах. Подобные уязвимости в SGC-браузерах позволяют проводить атаки по различным сценариям: посредник в середине канала, заражение ботнетом, отслеживание нажатий клавиш, заражение вредоносным ПО.

Основные поставщики решений электронной коммерции, такие как как компания PayPal, активно выступают против продолжающейся поддержки небезопасных браузеров, использующихся для финансовых транзакций, и утверждают, что это равнозначно ситуации, когда производитель автомобилей позволяет водителям покупать транспортное средство без ремней безопасности (PayPal Chief Information Security Officer Michael Barrett, http://www.eweek.com/c/a/Security/PayPal-Plans-to-Ban-Unsafe-Browsers/)

Поощрение пользователей и поощрение владельцев веб-сайтов обучать своих посетителей использовать последнюю исправленную браузера: https://www.thepaypalblog.com/wp-content/uploads/2008/07/a_practical_approach_to_managing_phishing_april_2008.pdf.

2. SGC-браузеры не поддерживают последние версии протоколов SSL/TLS

SCG-браузеры являются устаревшими и не способны поддерживать текущие ревизии клиентской реализации протокола SSL, включая исправления новых уязвимостей и появляющиеся улучшения самого протокола.

3. SGC-браузеры не поддерживают самую последнюю классификацию SSL-сертификатов

В 2007 году участниками форума CA/B был утвержден новый стандарт SSL – высокой надежности или EV SSL. В новый стандарт внесли несколько определенных требований по проверке подлинности, которые отразились в измененной структуре SSL-сертификата. Браузеры способны опознать EV SSL-сертификаты и обозначить улучшенные сертификаты, включив зеленую адресную строку, тем самым обеспечив пользователю более высокую гарантию проверки подлинности. Стандарт EV SSL был введен в обиход на 7 лет позже последнего SGC-браузера; таким образом, подобные браузеры не могут обеспечить пользователю преимущества от использования EV SSL-сертификата. Владельцы веб-сайтов, вкладывающие средства в технологию EV SSL, также должны побуждать посетителей своих сайтов обновить браузеры, способные использовать дополнительные возможности подобных сертификатов.

4. Весьма малое количество браузеров использует SGC

SGC приносит пользу, только если клиент до сих пор использует версию SGC-браузера, вышедшую до 2000-го года. Согласно расписанию выпуска браузеров это архаические устаревшие версии.

Позиция компании GlobalSign по вопросу серверного шифрования

Компания GlobalSign является одним из первоначальных поставщиков решений по обеспечению безопасности в Интернете и свою работу выполняет очень серьезно. Мы внесли значительные изменения в экосистему SSL посредством выпуска специальных инструментов, предоставлении информации и наставлений. Наша позиция по серверному шифрованию соответствует нашей миссии по улучшению безопасности и удобству использования средств SSL.

Мы строго убеждены, что серверное шифрование это лишь пластырь, прикрывающий более серьезные уязвимости. Объект, защищаемый серверным шифрованием, будет доступен, если потенциальный взломщик может использовать уязвимость браузера или протокола, не связанных с устойчивостью шифрования. Пользователи, желающие иметь более сильную защиту от злоумышленников, должны иметь последние версии ПО и, по возможности, текущие версии браузеров, чтобы пользоваться самыми лучшими средствами безопасности.

Компания GlobalSign считает, что технология SGC не представляет какой-либо ценности в современной экосистеме Интернета, и не рекомендует ее к использованию.

Сегодня многие ЦС берут дополнительную плату за технологии SGC, но компания GlobalSign считает, она должна предлагаться бесплатно пользователям, которым она нужна.

Чтобы отговорить интернет-пользователей от применения технологии SGC, компания GlobalSign удалила ее из своих SSL-сертификатов, но она доступна по требованию без дополнительной платы.