Certyfikaty SGC (Server Gated Cryptography) są pozycjonowane przez firmy wystawiające certyfikaty jako lepsze, bezpieczniejsze i ma to uzasadniać ich wyższy koszt. W tej chwili certyfikat VeriSign SecureSite kosztuje 399USD, natomiast odpowiednik z SGC VeriSign SecureSite Pro to już koszt 995USD. Czy warto dopłacić? Co daje SGC? Czy poprawi bezpieczeństwo użytkowników korzystających z serwisu internetowego?
Server Gated Cryptography to technologia, która powstała w latach ‘90 XX wieku w odpowiedzi na obowiązujące w Stanach Zjednoczonych ograniczenie eksportowania silnych technologii kryptograficznych (nie można było korzystać z kluczy o długości ponad 40-bitów, dzisiaj powszechnie korzystamy z kluczy 128 lub 256-bitowych) poza teren USA. W celu umożliwienia poprawnego zabezpieczenia transakcji wykonywanych przez instytucje finansowe na całym świecie wprowadzono do SSL rozszerzenie SGC. Certyfikaty SSL z rozszerzeniem SGC mogły być wystawiane tylko dla instytucji finansowych. SGC pozwalał na podniesienie siły szyfrowania z 40 bitów do 128 bitów.
W chwili obecnej nie obowiązują już ograniczenia w eksportowaniu silnej kryptografii poza terytorium USA, a certyfikaty SGC mogą być wystawiane dla każdej organizacji, nie tylko dla instytucji finansowych. Każdy może wykorzystywać klucze symetryczne 128 czy nawet 256-bitowe, jeśli tylko serwer i przeglądarka WWW użytkownika pozwala na wynegocjowanie takich parametrów zabezpieczenia transmisji danych. Każdy współczesny serwer WWW i przeglądarka internetowa pozwalają na używanie przynajmniej 128-bitowych kluczy.
Jedynie użytkownicy bardzo starych przeglądarek internetowych i systemów nie mogą korzystać z silnej kryptografii, są to:
- przeglądarka Internet Explorer® wersje od 3.02 do 5.5
- przeglądarka Netscape wersje od 4.02 do 4.72
- system Microsoft Windows® 2000, które nie mają zainstalowanego dodatku Microsoft’s High Encryption Service Pack i pod warunkiem korzystania z przeglądarki Internet Explorer
Tak, to prawda - na liście nie ma żadnej współcześnie wykorzystywanej przeglądarki internetowej ani systemu operacyjnego. Jeśli ktoś korzysta z archaicznych wersji oprogramowania, to stanowi to większy problem bezpieczeństwa niż transmisja SSL zabezpieczona tylko 40-bitowym kluczem.
Reasumując: SGC (Server Gated Cryptography) nie daje w dniu dzisiejszym poprawy bezpieczeństwa.
