Связанные вопросы
В данном разделе описаны следующие темы, связанные со службами сертификации Windows 2000:
- Экспортные правила
- Сертификаты SGC
- Поддержка CSP сторонних производителей
Экспортные правила
Существует всеобщее заблуждение о том, что любая продукция, связанная с криптографией подпадает под действие контроля над экспортом. На самом деле экспортные ограничения действуют только для составляющих, которые непосредственно задействованы в процессе шифрования. Такими составляющими являются алгоритмы симметричного шифрования и технологии открытых ключей, которые используются при обмене ключами во время сеанса симметричного шифрования.
Технология цифровой подписи открытым ключом не подпадает под действия экспортного ограничения, поскольку данные, которые подписываются, не являются зашифрованными. Вся продукция корпорации Microsoft способна создавать открытые ключи для подписи одинаковой сложности. Тем не менее, все-таки существует различие в сложности открытых ключей, используемых при обмене между продукцией Microsoft, которая идет на экспорт, и которая подпадает под действие экспортного контроля. Благодаря недавно принятым новым экспортным правилам различие между разными версиями продукции теперь намного меньше, чем прежде.
Службы сертификации Windows 2000 выполняют только операции подписания и, следовательно, используют только пары открытых ключей для подписи. Открытые ключи, которые используются для подписания сертификатов, обладают одинаковой сложностью, как в версии Windows 2000, выпускаемой для Северной Америки, так и для версий Windows 2000 идущих на экспорт. Генерирование ключа владельца осуществляется на стороне клиента, а не на стороне центра сертификации (CA). Поэтому центр сертификации (CA) Windows 2000 поддерживает как разрешенные для экспорта клиенты, так и те, в отношении которых действуют экспортные ограничения.
Сертификаты SGC
Серверное шифрование SGC (Server Gated Cryptography, SGC) является частью ОС Windows 2000 (SGC также входит в состав ОС Windows 95, Windows 98 и Windows NT). Шифрование SGC обеспечивает стойкое 128-битное шифрование для использования в сфере сетевых банковских услуг (online banking), а также других предназначенных для этого случаях, при этом оно взаимодействует со всеми реализациями SGC ведущих производителей. Шифрование SGC гарантирует, что информация, которой обмениваются две стороны, может быть прочитана только ими, и не может быть изменена без их ведома.
SGC представляет собой расширение протокола SSL (SSL – Secure Sockets Layer). Протокол SSL является широко используемым решением для установки безопасного соединения с веб-сайтом. Например, Microsoft IIS для соединения TCP/IP предоставляет протокол SSL, обеспечивающий шифрование данных, проверку подлинности сервера и целостность сообщения.
Безопасная процедура установления связи SSL инициирует установление TCP/IP соединения. Результатом процедуры установления связи является согласование между клиентом и сервером уровня безопасности, который они будут использовать, чтобы для соединения были соблюдены все требования аутентификации. После чего, SSL используется только для шифрования и расшифровки потока байт протокола, который используется приложением (например, HTTP). Это означает, что как вся запрашиваемая по протоколу HTTP информация, так и получаемая по протоколу HTTP информация будет полностью зашифрованной, включая URL-ссылку, к которой обращается клиент, любые данные, введенные в специальные формы (такие как номера кредитных карт), любая информация для авторизации по HTTP (имена пользователей и пароли), и все данные, возвращаемые сервером клиенту.
Различие между SSL и SGC состоит в том, что SGC используется только в строго ограниченных целях-в основном для защиты банковской информации. Результатом этого стало то, что, экспортный закон США, который в других случаях запрещает экспорт продукции стойкого шифрования, разрешил использование стойкого шифрования SGC в большей части стран11. Поскольку c другой стороны SSL может использоваться для любых целей, то экспортным законом США определено наличие двух версий продукции: версия для Северной Америки, в которой использовались бы криптографические ключи длиной в 128-бит, и международная версия, в которой использовались бы криптографические ключи длиной 40-бит.
На одном компьютере Вы можете использовать как SGC, так и SSL. Цифровые сертификаты для SSL и SGC не являются взаимозаменяемыми. Сертификат SGC может функционировать как сертификат SSL, но не наоборот. Это означает, что для того, чтобы можно было использовать стойкое шифрование, и у банка и у клиента должны быть установлены сертификаты SGC. Если это условие не выполняется, то сессия сводится к обычной SSL-сессии.
При создании Интернет-сервера авторизованного зарубежного банка, вместо обычного сертификата сервера устанавливается сертификат SGC. Серверная часть безопасного канала (schannel12) определяет, что это сертификат SGC и включает 128-битное шифрование SSL. После того, как этот сертификат будет переслан клиенту (что является частью процедуры установления связи по SSL), клиентская часть schannel также определит его наличие и обеспечит 128-битное шифрование SSL для этого соединения. (Для того, чтобы это работало не требуется, чтобы у сервера или у клиента была внутренняя версия schannel).
Сертификаты SGC обладают двумя характеристиками:
- В сертификате SGC есть специальное поле EKU расширенного использования ключа (EKU – extended key usage).
- Сертификаты SGC выдаются специальными авторизованными центрами сертификации (CA)
Если необходимо, чтобы в сертификате SGC было действительным только специальное поле EKU, то в этом случае любой центр сертификации (CA) может выдать сертификат SGC. Несмотря на то, что любой центр сертификации (CA), включая центр сертификации служб сертификации Windows 2000, может создать сертификат со специальным полем EKU, будет действительно работать только сертификат, выданный авторизованным центром сертификации (СА).
Поддержка CSP сторонних производителей
ОС Windows 2000 и службы сертификации Windows 2000 поддерживают использование CSP (CSP – cryptographic service providers) сторонних производителей. CSP представляет собой программу, установленную на Ваш компьютер (или на устройство, к которому компьютер имеет доступ), которая выполняет связанные с криптографией операции, такие как обмен секретными ключами, цифровая подпись данных и аутентификация с помощью открытых ключей. По умолчанию как для корневого центра сертификации (CA) предприятия, так и для корневого изолированного центра сертификации (CA) используется CSP корпорации Microsoft – Microsoft Base Cryptographic Provider.
На алгоритмы, используемые в CSP, не накладываются никакие ограничения действующих экспортных правил США. Кроме того, нет никаких требований, которые бы предписывали, что все CSP должны работать по одному принципу. Некоторые CSP разрабатываются для конечных пользователей (как в случае с CSP для смарт-карт), а другие – для серверных операций (как в случае с криптографическими ускорителями для PCI и SCSI).