Microsoft-Sicherheitsempfehlung (2661254)

Weshalb wurde diese Empfehlung am 9. Oktober 2012 überarbeitet? 
Microsoft hat diese Empfehlung aus folgenden Gründen überarbeitet:

• Um das Update KB2661254 für Windows XP erneut zu veröffentlichen und um ein Problem mit bestimmten digitalen Zertifikaten zu beheben, die ohne ordnungsgemäße Zeitstempelattribute von Microsoft generiert wurden. Weitere Informationen zu diesem Problem finden Sie in der Microsoft-Sicherheitsempfehlung 2749655. Endbenutzer, die dieses Update bereits erfolgreich auf ihren Windows XP-Systemen installiert haben, müssen keine Maßnahmen ergreifen. Außerdem wird Endbenutzern dieses Update nicht erneut angeboten, wenn es bereits auf ihren Systemen installiert ist. Das erneut veröffentlichte Update gilt nur für Windows XP-Systeme, auf denen dieses Update noch nicht installiert ist.
• Um anzukündigen, dass das Update KB2661254 für alle unterstützten Versionen von Microsoft Windows jetzt durch die automatische Aktualisierung angeboten wird.

Weshalb wurde diese Empfehlung am 11. September 2012 überarbeitet? 
Microsoft hat diese Empfehlung überarbeitet, um zu erläutern, dass dieses Update möglicherweise Auswirkungen auf Anwendungen und Dienste hat, die RSA-Schlüssel für die Kryptografie verwenden und die Funktion CertGetCertificateChain aufrufen. Zu diesen Anwendungen und Diensten zählen beispielsweise verschlüsselte E-Mails, SSL/TLS-Verschlüsselungskanäle, signierte Anwendungen und private PKI-Umgebungen.

Weitere Informationen zu möglichen Auswirkungen auf Benutzer sowie zu bekannten Problemen, die beim Installieren dieses Updates auftreten können, finden Sie im Microsoft Knowledge Base-Artikel 2661254.

Was genau umfasst diese Empfehlung? 
Der Zweck dieser Empfehlung besteht darin, Benutzer darüber zu benachrichtigen, dass für alle unterstützten Versionen von Microsoft Windows ein Update verfügbar ist, welches erfordert, dass Zertifikate über RSA-Schlüssel von mindestens 1024 Bit Länge verfügen. Zertifikate mit RSA-Schlüsseln von weniger als 1024 Bit Länge können in kurzer Zeit abgeleitet werden und einem Angreifer ermöglichen, die Zertifikate zu duplizieren und diese in betrügerischer Absicht zu verwenden, um Inhalte nachzuahmen und Phishingangriffe oder Man-in-the-Middle-Angriffe durchzuführen. Dieses Update wurde umfassend getestet und kann veröffentlicht werden. Das Update wurde im Download Center veröffentlicht, um Benutzern zu ermöglichen, ihre Umgebung zu bewerten und ihnen die Gelegenheit zu bieten, die erforderlichen Zertifikate vor der breiteren Verteilung über Microsoft Update neu auszugeben.

Wie kann ein Angreifer betrügerische Zertifikate verwenden? 
Ein Angreifer kann das Zertifikat duplizieren und es in betrügerischer Absicht verwenden, um Inhalte nachzuahmen und Phishingangriffe oder Man-in-the-Middle-Angriffe durchzuführen.

Wie könnte ein Angreifer ein Zertifikat duplizieren? 
Ein digitales Zertifikat kann nur von der Person erstellt werden, die den privaten Schlüssel des Zertifikats besitzt. Ein Angreifer kann versuchen, den privaten Schlüssel zu erraten, und anhand mathematischer Verfahren bestimmen, ob eine Schätzung richtig ist. Die Schwierigkeit, den privaten Schlüssel erfolgreich zu erraten, ist proportional zu der Anzahl von Bits in dem Schlüssel. Je länger also der Schlüssel, desto länger braucht ein Angreifer, um den privaten Schlüssel zu erraten. Mit moderner Hardware können Schlüssel von weniger als 1024 Bit Länge in kurzer Zeit erfolgreich erraten werden. Nachdem der Angreifer den privaten Schlüssel erfolgreich erraten hat, kann er das Zertifikat duplizieren und es in betrügerischer Absicht verwenden, um Inhalt nachzuahmen Phishingangriffe oder Man-in-the-Middle-Angriffe durchzuführen.

Was ist ein Man-in-the-Middle-Angriff? 
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern durch den Computer des Angreifers umleitet, ohne dass die beiden kommunizierenden Benutzer davon wissen. Jeder Benutzer in der Kommunikation sendet unbewusst Datenverkehr an den Angreifer und erhält Datenverkehr von diesem, während er die ganze Zeit denkt, nur mit dem beabsichtigten Benutzer zu kommunizieren.

Was versteht man unter einem „digitalen Zertifikat“? 
Bei der Kryptografie mit öffentlichen Schlüsseln muss einer der Schlüssel, der private Schlüssel, geheim gehalten werden. Der andere Schlüssel, der öffentliche Schlüssel, ist dafür vorgesehen, für alle Welt freigegeben zu werden. Für den Eigentümer des Schlüssels muss es jedoch eine Möglichkeit geben, der Welt mitzuteilen, wem der Schlüssel gehört. Dies kann mithilfe von digitalen Zertifikaten geschehen. Ein digitales Zertifikat ist ein elektronischer Berechtigungsnachweis, mit dem die Online-Identitäten von Individuen, Unternehmen und Computern bescheinigt werden. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit dazugehörigen Informationen verpackt ist: wer ihn besitzt, wofür er verwendet werden kann, wann er abläuft und so weiter.

Wie bereite ich für diese Veröffentlichung vor? 
Im Abschnitt Empfohlene Maßnahmen finden Sie eine Liste von Maßnahmen, die in Vorbereitung auf die Bereitstellung dieses Updates durchzuführen sind.

Wann veröffentlicht Microsoft dieses Update auf Microsoft Update? 
Microsoft plant, dieses Update im Oktober 2012 über Microsoft Update zu veröffentlichen.

Was bewirkt das Update KB2661254? 
Das Update KB2661254 erfordert auf allen unterstützten Versionen von Microsoft Windows, dass Zertifikate mit RSA-Schlüsseln von 1024 Bit Länge oder länger verwendet werden. Zertifikate, die andere kryptografische Algorithmen als RSA verwenden, sind nicht von diesem Update betroffen. Microsoft-Produkte oder Produkte von Drittanbietern, die die Funktion CertGetCertificateChain aufrufen, betrachten Zertifikate mit RSA-Schlüsseln von weniger als 1024 Bit Länge nicht mehr als vertrauenswürdig. Durch diese Funktion wird ein Zertifikat-Chain-Kontext erstellt, der beim Endzertifikat beginnt und zurückgeht, wenn möglich bis zu einem vertrauenswürdigen Stammzertifikat. Wenn die Kette überprüft wird, wird jedes Zertifikat in der Kette geprüft, um sicherzustellen, dass der RSA-Schlüssel mindestens 1024 Bit lang ist. Wenn ein beliebiges Zertifikat in der Kette einen RSA-Schlüssel von weniger als 1024 Bit Länge hat, wird das Endzertifikat als nicht vertrauenswürdig betrachtet.

Außerdem kann das Update so konfiguriert werden, dass protokolliert wird, wenn Zertifikate von dem Update blockiert werden. Weitere Informationen bezüglich des Aktivierens dieser Protokollierungsfunktion finden Sie im Abschnitt Empfohlene Maßnahmen dieser Empfehlung. Eine vollständige Liste von Szenarien, wie dieses Update die Verwendung von RSA-Schlüsseln von weniger als 1024 Bit Länge blockiert, finden Sie im Microsoft Knowledge Base-Artikel 2661254.

Gilt dieses Update für Windows 8 Release Preview bzw. Windows Server 2012 Release Candidate? 
Nein. Dieses Update gilt nicht für Windows 8 Release Preview oder Windows Server 2012 Release Candidate, da diese Betriebssysteme bereits über die Funktionalität verfügen, Zertifikate mit RSA-Schlüsseln von 1024 Bit Länge oder länger zu fordern.

Was ist, wenn ich ein Zertifikat mit einem RSA-Schlüssel von weniger als 1024 Bit Länge finde? 
Benutzer, die in ihren Umgebungen Zertifikate identifizieren, deren RSA-Schlüssel weniger als 1024 Bit umfassen, müssen längere Zertifikate von ihrer Zertifizierungsstelle anfordern. Benutzer, die ihre eigenen PKI-Umgebungen verwalten, müssen neue, längere Schlüsselpaare erstellen und au s diesen neuen Schlüsseln neue Zertifikate ausgeben. Benutzer sollten die Verwendung einer ausreichenden Schlüssellänge evaluieren, die ihren Anforderungen an die Datenverschlüsselung entsprechen, die wiederum das für dieses Update erforderliche Minimum überschreiten kann.

Was ist eine Zertifizierungsstelle (CA)? 
Eine Zertifizierungsstelle (CA) ist dafür verantwortlich, die Identität von Benutzern, Computern und Unternehmen zu beurkunden. Die Zertifizierungsstelle authentifiziert eine Entität und verbürgt sich für deren Identität, indem sie ein digital signiertes Zertifikat ausgibt. Die Zertifizierungsstelle kann Zertifikate auch verwalten, widerrufen und erneuern.

Eine Zertifizierungsstelle kann sich auf Folgendes beziehen:

• Ein Unternehmen, das sich für die Identität eines Endbenutzers verbürgt
• Ein Server, der von dem Unternehmen zum Veröffentlichen und Verwalten von Zertifikaten verwendet wird

Für alle unterstützten Versionen von Microsoft Windows

Die meisten Benutzer haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die das Update KB2661254 manuell installieren möchten, empfiehlt Microsoft, das Update herunterzuladen und die Auswirkung der Anforderung zu beurteilen, Zertifikate mit RSA-Schlüsseln von 1024 Bit oder länger zu verwenden. Downloadadressen für die Updatepakete finden Sie im Microsoft Knowledge Base-Artikel 2661254. Sie können auch im Microsoft Update-Katalog nach den Updatepaketen suchen.

Administratoren und Unternehmensinstallationen sollten ihre Umgebung auf die Existenz von Zertifikaten mit RSA-Schlüsseln prüfen, die weniger als 1024-Bit umfassen, und sollen diese Zertifikate erneut ausgeben. Weitere Informationen zu Anwendungen und Diensten, auf die dieses Update Auswirkungen hat, finden Sie im Microsoft Knowledge Base-Artikel 2661254.

Benutzer, die vor dem 9. Oktober 2012 das ursprüngliche Update KB2661254 installiert haben, müssen die erneut veröffentlichten Updatepakete installieren, um das in der Microsoft-Sicherheitsempfehlung 2749655 beschriebene Problem mit digitalen Zertifikaten vermeiden. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) der Empfehlung.