只要有加密就是安全的吗?
根据现在计算机的硬件性能,目前56位以下的密钥长度已经非常容易破解,即在几十分钟的时间内就可以试完所有密钥空间。
DES 算法是应用最广泛的对称密钥加密算法之一,它有效密钥长度为56位。在RSA公司举办的系列DES破解挑战赛中,1997年用时96天破 解,1998年1月用了41天,1998年7月,Deep Crack工具耗时56小时完成了破解,在1999年1月,Deep Crack只用22小时15分钟完成了破解。根据摩尔算法,每隔18个月,硬件性能提高一倍。
什么是加密强度?
在对称密钥加密算法中,对于明文的加密和解密需要用同一密钥(key)进行,密钥的长度直接影响到该算法是否容易破解。加密强度就指密钥长度,即位数。目前常见的密钥长度有40位、56位、128位和256位。在密钥算法不存在漏洞的情况下,通常破解(即猜出密钥)需要用到强力破解,即把字母、数字等合法字符的所有组合一个个去试,所有的组合构成密钥空间。如下表所示。
密钥长度密钥空间
40位 1,099,511,627,776
56位 72,057,594,037,927,900
128位 340,282,366,920,938,000,000,000,000,000,000,000,000
位数越高,加密强度越大,越不容易破解。加密的信息在传输过程中越安全,即SSL(secure sockets layer)安全加密传输。
目前美国政府规定在标记为高敏感的数据必须采用192或256位加密强度的加密算法,如AES。
什么是SGC技术
随着计算机硬件的更新换代,secure ssl协议(secure sockets layer)通过协商会话建立的加密强度(如40位、56位)不能满足很多商业数据的安全传输了,这是Yankee Group经过368次详细的测试后得出的结论。
SGC是一种服务器端使用的SSL证书,它可以影响客户端与服务器端会话时对于加密强度的选择。
安全强制型SSL证书是高应用安全需求的最佳选择
由于我国相关政策法规的缺乏,很多网上银行、网上证券、电子商务网站在选择SSL证书时随意性很大,比如某证券在线交易网站用了只鉴证域名的SSL证书,不仅加密得不到保证、用户更无从判断交易网站的真假,给在线交易安全带来了极大隐患。而与此同时,SSL证书家族其证书性能正逐步升级,尤其是反击钓鱼欺诈网站独具特色EVSSl证书。据了解,国际领先的数字认证中心VeriSign已与其国内官方合作伙伴天威诚信在国内发放EVSSL证书,其独有的绿色地址栏技术和强大的加密技术,对适合交易及访问量庞大的商务网站来说确实是一个好消息。预计不久,代表安全绿色的地址栏将很大程度上帮助网民抵御欺诈钓鱼网站威胁。
加密强度是由SSL证书决定的吗?
要回答这个问题,我们需要了解secure ssl协议会话过程和SGC技术。
secure ssl协议会话是由用户端浏览器和服务器进行安全通信时建立的。如下图所示。
客户端发起连接,并提交支持的加密算法请求后,服务器端发出自己的证书、密钥交换方式,并要求提供客户端证书,客户端发出客户端证书(如果没有,就不用)、客户端密钥交换方式、服务器证书的确认,商定加密算法后,完成会话。双方开始使用加密传输信息。
从上述会话过程上看,加密强度是由客户端和服务器端协商的结果。此时服务器端的SSL证书并不影响加密强度。
但是如果服务器端的SSL证书用到了SGC技术,例如VeriSign Secure Site Pro(128位强制型),客户端在收到并确认是SGC证书后,会调高它所提交的密钥强度,从而使用双方最终建立的密钥长度达到SGC要求的加密强度,从而在最终在安全链接层(secure sockets layer)建立起加密通道。
