DigiSign Data Security Logo   Productos, servicios, consultoría Seguridad en la transmisión de información y en el comercio electrónico Noticias sobre Seguridad, Criptografía, etc.
  Temas de hacking y seguridad Pagina Central Preguntas Frecuentes y Ayudas
  Ir a la Página Superior
 

Server Gated Cryptography (SGC)

Investigación: Miguel Angel Fraga (Junio de 1998)

La criptografía no puede ser exportada fuera de los EE.UU. de America del Norte (EUA), los americanos solo pueden exportar criptografía debilitada.

Ante la necesidad de permitir que las empresas americanas y los bancos que están fuera del territorio de EUA pudieran acceder al mismo nivel de criptografía, surgió un acuerdo con el Departamento de Comercio (DoC), diversas empresas americanas como Netscape, Microsoft, etc. y Verisign (autoridad certificante americana) para que por medio de un mecanismo especial se habilitara la misma criptografía que se utiliza dentro de EUA en los navegadores y algunos servidores Web (Netscape, Notes, Microsoft, etc.).

Así nació Server Gated Cryptography (SGC).
SGC es el nombre que le da la gente de Microsoft Corporation.
International Step-Up es el nombre que le da Netscape Communications Corporation.
Global Server ID es el nombre que le da Verisign.

Deseo aclarar al lector que mi objetivo es la investigación, la publicación de esta información se realiza para aquellas personas que estén interesadas en el tema y no para la utilización de conocimientos con intenciones deshonestas. 


SGC permite que un servidor Web, que posee un certificado especial, habilite la criptografía fuerte que utilizan dentro de EUA, esto es RC4 con 128 bits para el encriptado, mientras que para los navegadores que utilizamos habitualmente es RC4 con 40 bits.
La diferencia de 40 bits a 128 bits representada por 2^88 (2 elevado a la 88) indica que el cifrado americano es
309.485.009.821.345.068.724.781.056 veces mas fuerte. No es poco ;-)

SGC funciona de la siguiente forma:

  • el browser inicia la conexión SSL con criptografía debilitada (RC4 de 40 bits),

  • el servidor envía su certificado de clave pública,

  • el browser analiza el certificado del servidor, si encuentra que tiene determinados atributos entonces renegocia una conexión SSL, pero esta vez la conexión la realiza utilizando criptografía fuerte (RC4 de 128 bits).


Se lo llama Server Gated Cryptography porque precisamente el servidor Web es la puerta de entrada, mediante un certificado especial emitido por Verisign.

¿Qué tiene en especial un certificado SGC?
Poco y nada, es un certificado X.509 con un atributo (OID) llamado: extKeyUsage que contiene a su vez otro par de identificadores de objetos (OID):

2 16 840 1 113730 4 1   para  Netscape
1 3 6 1 4 1 311 10 3 3    para   Microsoft

Veamos una representación de dichos atributos:

650 30 32: SEQUENCE {
652 06   3:     OBJECT IDENTIFIER extKeyUsage (2 5 29 37)         (X.509 id-ce (2 5 29))
657 04 25:     OCTET STRING, encapsulates {
659 30 23:                 SEQUENCE {
661 06   9:                       OBJECT IDENTIFIER
                 :                             serverGatedCrypto (2 16 840 1 113730 4 1)    (Netscape)
672 06 10:                       OBJECT IDENTIFIER
                 :                             serverGatedCrypto (1 3 6 1 4 1 311 10 3 3)      (Microsoft)
                 :                                        }
                 :                                                            }
                 :                         }

Esto es todo lo que hay que poner en el certificado del servidor Web.

Luego vinieron las pruebas, realizadas con productos Microsoft, para activar la criptografía SGC.
Investigación Microsoft

 

Volver al Comienzo de Página                (c) 1998 Miguel Angel Fraga