DigiSign Data Security Logo   Productos, servicios, consultoría Seguridad en la transmisión de información y en el comercio electrónico Noticias sobre Seguridad, Criptografía, etc.
  Temas de hacking y seguridad Pagina Central Preguntas Frecuentes y Ayudas
  Ir a la Página Superior
 

SGC Microsoft (MS)

Investigación: Miguel Angel Fraga

La investigación fue realizada con:
-  NT Server versión 4.0 con Service Pack 3 (SP3),
-  Internet Information Server versión 4.0 (IIS 4)
-  Internet Explorer 4.01 Service Pack 1 (SP1).

En esos días, Junio de 1998, el servidor Web de Microsoft (MS) no venía de fabrica preparado para hacer SGC, así que fue necesario aplicar un parche, el parche para plataformas Windows NT puede obtenerse en sgcChannel.zip

Los pasos a seguir son:  ejecutar el archivo "sgcschannel.exe" para extraer los archivos que contiene en su interior. Luego copiar los archivos:

    -  schannel.dll
    -  sgcinst.exe

en el directorio %windir%\system32.

Para habilitar el SGC hay que utilizar el editor de registry (RegEdit), dentro de HKEY_LOCAL_MACHINE buscar la siguiente clave:
System\CurrentControlSet\Control\SecurityProviders
y seleccionar SCHANNEL.

Abrir la opción de menú "Edit", seleccionar "New" y luego seleccionar "DWord Value", darle a la nueva entrada en el registry el nombre de EnableSGC.  Luego hacer doble clic en esta nueva entrada y en donde dice "Value data" ingresar el valor 1 y hacer clic en el botón "OK".  

Cerrar el editor de registry y hacer un re-start del servidor NT.

Luego efectuar una solicitud de certificado de clave pública utilizando el "Key manager" del Internet Information Server, y enviar la solicitud a la autoridad certificante

Escribí un programa, al que denominé  GenSGC.exe,  que permite insertar dentro del certicado del servidor los objects IDs necesarios como el extKeyUsage y los OIDs para Microsoft y Netscape, luego el certificado debe ser firmado por la autoridad certificante.   El programa, que corre sobre plataformas Windows, puede obtenerse en GenSGC.zip.

A continuación hay que generar un objeto PKCS#7 conteniendo toda la cadena de certificados desde el certificado del servidor Web hasta el certificado de la Autoridad Certificante Raíz.

Seguidamente se utiliza el programa "sgcinst.exe", este programa toma la cadena de certificados contenida en el objeto PKCS#7 e instala los certificados de la autoridad certificante en el servidor NT y deja un nuevo archivo conteniendo solo el certificado del servidor Web.
Utilizando el el "Key manager" del Internet Information Server se procede a instalar este último certificado y se debe hacer un re-start de la máquina NT.

Y ya está. Cuando te conectas al servidor Web haciendo https puede verse que el Internet Explorer informa:

Encryption type:  RC4 with 128 bit encryption (High).

Key Exchange:    RSA with 1024 bit exchange (High)

Bueno, ya está. El objetivo está cumplido...casi... porque todavía falta buscar una solución para Netscape.
Investigación Netscape

 

 

Volver al Comienzo de Página            (c) 1998 Miguel Angel Fraga