Exporter (0) Imprimer
Développer tout

Protection contre des algorithmes de chiffrement faibles

Publication: août 2013

Mis à jour: avril 2014

S'applique à: Windows 8.1, Windows Server 2012 R2



Une mise à jour logicielle est disponible pour Windows 8, Windows 7, Windows Vista, Windows Server 2012, Windows Server 2008 R2 et Windows Server 2008, qui autorise la désapprobation des algorithmes de chiffrement faibles. Pour utiliser les mises à jour automatiques de Microsoft afin d’être mieux protégé contre les algorithmes de chiffrement faibles, cette mise à jour logicielle doit être téléchargée et installée sur les ordinateurs qui exécutent les systèmes d’exploitation susmentionnés.

Cette mise à jour logicielle est intégrée aux systèmes d’exploitation Windows 8.1 et Windows Server 2012 R2.

Dans cette rubrique :

Cette mise à jour logicielle offre à un administrateur un plus grand contrôle sur la façon de bloquer les clés RSA, algorithmes de hachage et algorithmes à clés asymétriques autres que RSA. Cette mise à jour logicielle permet à un administrateur d’effectuer les opérations suivantes :

  • Définir des stratégies pour bloquer de manière sélective les algorithmes de chiffrement qui remplacent les paramètres fournis par le système d’exploitation.

  • S’abonner à chaque stratégie ou s’en désengager de façon indépendante.

  • Activer la journalisation par stratégie (indépendamment des autres stratégies). La journalisation est désactivée par défaut.

  • Spécifier un emplacement dans lequel les certificats bloqués sont copiés.

  • Définir des stratégies par algorithme ainsi que des stratégies d’algorithmes de hachage et d’algorithmes asymétriques comme décrit dans le tableau suivant :

     

    Stratégies d’algorithmes de hachage

    Stratégies d’algorithmes asymétriques

    • Définissez le nom de l’algorithme de hachage, tel que MD5 ou SHA1.

    • Indiquez si la stratégie s’applique aux certificats qui sont liés aux autorités de certification racines tierces, ce qui exclut les certificats d’entreprise, ou s’il convient d’appliquer la stratégie à tous les certificats.

    • Précisez une heure avant laquelle la vérification de stratégie est désactivée (applicable uniquement aux certificats de signature de code utilisés dans les fichiers binaires signés horodatés).

    • Définissez le type de certificat auquel la stratégie s’applique, par exemple :

      • Tous les certificats.

        noteRemarque
        Si la stratégie est activée pour tous les certificats, un administrateur ne peut pas autoriser des algorithmes de chiffrement faibles pour une utilisation améliorée de la clé spécifique, telle qu’une utilisation améliorée de la clé d’authentification serveur ou de signature du code.

      • Certificats avec une utilisation améliorée de la clé d’authentification serveur.

      • Certificats avec une utilisation améliorée de la clé de signature du code.

      • Certificats avec une utilisation améliorée de la clé d’enregistrement des informations de date.

      • Indiquez si la stratégie s’applique uniquement aux certificats de signature des fichiers binaires téléchargés à partir du Web ou à tous les fichiers binaires.

      • Indiquez les certificats de signature du code et d’enregistrement des informations de date qui ne sont pas bloqués (par exemple ceux utilisés dans la signature de code hérité ou dans les situations d’enregistrement des informations de date) ; les certificats sont identifiés à l’aide de leur empreinte numérique SHA2.

    • Définissez le nom de l’algorithme et la taille de clé minimale, par exemple RSA, DSA et ECDSA.

    • Indiquez si la stratégie s’applique aux certificats qui sont liés aux autorités de certification racines tierces, ce qui exclut les certificats d’entreprise, ou à tous les certificats.

    • Précisez une heure avant laquelle la vérification de stratégie est désactivée (pour les fichiers horodatés).

    • Définissez le type de certificat auquel la stratégie s’applique, par exemple :

      • Tous les certificats.

        noteRemarque
        Si la stratégie est activée pour tous les certificats, un administrateur ne peut pas autoriser des algorithmes de chiffrement faibles pour une utilisation améliorée de la clé spécifique, telle qu’une utilisation améliorée de la clé d’authentification serveur ou de signature du code.

      • Certificats avec une utilisation améliorée de la clé d’authentification serveur.

      • Certificats avec une utilisation améliorée de la clé de signature du code.

      • Certificats avec une utilisation améliorée de la clé d’enregistrement des informations de date.

      • Indiquez si la stratégie s’applique uniquement aux certificats de signature des fichiers binaires téléchargés à partir du Web ou à tous les fichiers binaires.

      • Indiquez les certificats de signature du code et d’enregistrement des informations de date qui ne sont pas bloqués (par exemple ceux utilisés dans la signature de code hérité ou dans les situations d’enregistrement des informations de date) ; les certificats sont identifiés à l’aide de leur empreinte numérique SHA2.

L’administrateur définit une stratégie de blocage des algorithmes de chiffrement dans la clé de Registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config

Utilisez les commandes suivantes pour afficher, configurer et supprimer les paramètres de la stratégie de blocage des algorithmes de chiffrement :

  • certutil -getreg chain

  • certutil -setreg chain

  • certutil -delreg chain

Les entrées de Registre utilisent la syntaxe suivante :

Weak<CryptoAlg><ConfigType><ValueType>

Le tableau suivant répertorie les valeurs du Registre qui peuvent être définies pour modifier les paramètres par défaut pour la stratégie de blocage des algorithmes de chiffrement. <CryptoAlg>, <ConfigType> et <ValueType> sont présents dans tous les noms :

 

Option de configuration

Valeurs possibles

CryptoAlg

Md5

Sha1

Rsa

Dsa

Ecdsa

ConfigType

ThirdParty : la stratégie n’est appliquée qu’aux certificats sous les racines tierces

All : la stratégie est appliquée à tous les certificats, même sous les racines d’entreprise

ValueType

Flags : type de données REG_DWORD qui peut être défini pour désactiver l’algorithme de hachage ou activer une longueur de clé minimale. Pour plus d’informations, voir le tableau suivant.

MinBitLength : type de données REG_DWORD qui spécifie la longueur de clé publique minimale en bits.

Remarque : MinBitLengh s’applique uniquement à la stratégie des algorithmes à clés.

AfterTime : type de données REG_BINARY qui contient un élément FILETIME à 8 octets. La vérification des algorithmes de chiffrement faibles est désactivée pour les fichiers horodatés avant la valeur indiquée par cet élément. Cette valeur de configuration n’est pas applicable aux chaînes d’horodatages.

Sha256Allow : type de données REG_SZ ou REG_MULTI_SZ qui contient la liste des empreintes numériques SHA256 des certificats (au format ASCII_HEX) identifiant les certificats faibles à autoriser explicitement. Les caractères non-ASCII_HEX de la chaîne étant ignorés, les espaces incorporés sont autorisés.

Les valeurs REG_DWORD suivantes peuvent être définies comme indicateurs dans Weak<CryptoAlg><ConfigType>Flags :

 

Indicateur

Remarques

CERT_CHAIN_ENABLE_WEAK_SETTINGS_FLAG (0x80000000)

Si cet indicateur n’est pas défini, tous les autres indicateurs et toutes les autres valeurs du Registre sont ignorés pour Weak<CryptoAlg><ConfigType>.

Si l’administrateur définit cet indicateur pour Weak<CryptoAlg><ConfigType>, les paramètres correspondants fournis pour le système d’exploitation sont ignorés.

Si cet indicateur est défini dans Weak<CryptoAlg>AllFlags :

  • "Weak"<CryptoAlg>"ThirdPartyFlags" résultant ou avec "Weak"<CryptoAlg>"AllFlags". Toutefois, les indicateurs de journalisation "Weak"<CryptoAlg>"ThirdPartyFlags" ne seront pas mis à jour. ThirdPartyFlags |= AllFlags & ~( CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG | CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG);

  • "Weak<CryptoAlg>"ThirdPartyAfterTime" résultant est le moment le plus tôt ("Weak"<CryptoAlg>"AllAfterTime", "Weak"<CryptoAlg>"ThirdPartyAfterTime").

Remarque : applicable uniquement si "Weak"<CryptoAlg>"AllAfterTime" est défini et différent de zéro.

  • "Weak"<KeyCryptoAlg>"ThirdPartyMinBitLength" résultant est la taille maximale ("Weak"<KeyCryptoAlg>"AllMinBitLength", "Weak"<KeyCryptoAlg>"ThirdPartyMinBitLength"

CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG (0x00000004)

Cet indicateur est défini pour activer la journalisation des certificats faibles dans le répertoire identifié par CERT_CHAIN_WEAK_SIGNATURE_LOG_DIR_VALUE_NAME.

CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG (0x00000008)

Cet indicateur est défini pour consigner uniquement les certificats faibles dans le répertoire identifié par CERT_CHAIN_WEAK_SIGNATURE_LOG_DIR_VALUE_NAME. Les erreurs de signature faible ne sont pas retournées.

Outre la définition de l’indicateur CERT_CHAIN_ENABLE_WEAK_SETTINGS_FLAG décrit dans le tableau précédent, les indicateurs suivants correspondant à l’utilisation améliorée de la clé doivent être définis pour désactiver une signature faible ou activer les vérifications d’intégrité de hachage faible :

 

Indicateur

Remarques

CERT_CHAIN_DISABLE_ALL_EKU_WEAK_FLAG (0x00010000)

Désactive l’algorithme correspondant à cette stratégie pour toutes les utilisations améliorées de la clé.

CERT_CHAIN_DISABLE_SERVER_AUTH_WEAK_FLAG (0x00100000)

Désactive l’algorithme correspondant à cette stratégie pour les utilisations améliorées de la clé d’authentification serveur.

CERT_CHAIN_DISABLE_CODE_SIGNING_WEAK_FLAG (0x00400000)

Désactive l’algorithme correspondant à cette stratégie pour les utilisations améliorées de la clé de signature du code.

CERT_CHAIN_DISABLE_MOTW_CODE_SIGNING_WEAK_FLAG (0x00800000)

Désactive l’algorithme correspondant à cette stratégie pour les utilisations améliorées de la clé de signature du code uniquement lorsque le fichier binaire est téléchargé à partir du Web.

CERT_CHAIN_DISABLE_TIMESTAMP_WEAK_FLAG (0x04000000)

Désactive l’algorithme correspondant à cette stratégie pour les utilisations améliorées de la clé d’enregistrement des informations de date.

CERT_CHAIN_DISABLE_MOTW_TIMESTAMP_WEAK_FLAG (0x08000000)

Désactive l’algorithme correspondant à cette stratégie pour les utilisations améliorées de la clé d’enregistrement des informations de date uniquement lorsque le fichier binaire est téléchargé à partir du Web.

La procédure suivante montre comment configurer les paramètres du Registre sur tous les ordinateurs appartenant à un domaine à l’aide de GPUpdate. Pour plus d’informations, voir Configurer un élément de Registre.

  1. Sur un contrôleur de domaine, ouvrez l’Éditeur de gestion des stratégies de groupe.

    1. Ouvrez la console MMC, cliquez sur Fichier, sur Ajouter/Supprimer un composant logiciel enfichable, puis sélectionnez Éditeur de gestion des stratégies de groupe.

      Composant logiciel enfichable Ajouter/Supprimer
    2. Cliquez sur Ajouter pour démarrer l’Assistant Stratégie de groupe.

      Assistant Stratégie de groupe
    3. Cliquez sur Parcourir, sur Default Domain Policy, sur OK, puis sur Terminer.

      Stratégie de domaine par défaut
  2. Développez Stratégie Default Domain Policy|Configuration ordinateur|Préférences|Paramètres Windows|Registre.

    1. Cliquez avec le bouton droit sur Registre, cliquez sur Nouveau, puis sur Élément Registre.

      Nouvel élément de registre
    2. Dans Nouvelles propriétés de Registre, cliquez sur Parcourir pour sélectionner le chemin d’accès à la clé requis.

      Parcourir le chemin d’accès de la clé
    3. Sélectionnez le chemin d’accès au Registre. Par exemple :

      SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config

    4. Si le nom de la valeur du Registre est déjà présent, sélectionnez également la valeur du Registre, par exemple WeakMD5ThirdPartyAfterTime.

      MD5 faible
    5. Si l’entrée du Registre est nouvelle, sélectionnez l’emplacement de la clé, entrez le nom de la valeur du Registre, sélectionnez le type de valeur approprié et entrez les données requises.

      Nom Reg
  3. Cliquez sur Appliquer, puis sur OK. Si nécessaire, exécutez gpupdate /force sur les ordinateurs appartenant à un domaine pour que le changement du paramètre de stratégie soit immédiatement appliqué.

  4. Pour des valeurs binaires telles que AfterTime, il est conseillé d’appliquer d’abord la valeur à l’aide de la commande CertUtil ou sur un ordinateur de test, puis d’exporter les valeurs et de les importer sur un contrôleur de domaine.

    Par exemple, si un administrateur doit appliquer WeakMD5ThirdPartyAfterTime, qui est de type REG_BINARY à une date telle que 1/1/2010, l’administrateur peut exécuter la commande CertUtil suivante sur un contrôleur de domaine. La commande met à jour le Registre avec la valeur binaire correcte. Après avoir mis à jour le Registre, suivez la procédure précédente pour appliquer la même valeur aux ordinateurs appartenant à un domaine à l’aide d’une stratégie de groupe.

    Certutil -setreg chain\WeakMD5ThirdPartyAfterTime  @1/1/2010
    

L’exemple suivant désactive MD5 pour tous les certificats d’authentification de serveur SSL sous les autorités de certification racines tierces, mais permet aux fichiers binaires signés avant le 1er mars 2009 d’être acceptés. Non applicable aux autres utilisations améliorées de la clé. La journalisation est également activée et le message « Définition de la section du répertoire de journalisation » s’affiche.

Certutil –setreg chain\Default\WeakMd5ThirdPartyFlags 0x80100004 
Certutil –setreg chain\Default\WeakMd5ThirdPartyAfterTime @03/01/2009

L’exemple suivant désactive RSA 1024 pour tous les certificats d’horodatage sous les autorités de certification racines tierces, mais permet aux fichiers binaires signés avant mars 2013 d’être acceptés. Non applicable aux autres utilisations améliorées de la clé.

Certutil –setreg chain\Default\WeakRSAThirdPartyFlags 0x84000000  
Certutil –setreg chain\Default\WeakRSAThirdPartyMinBitLength 1024 
Certutil –setreg chain\Default\WeakRSAThirdPartyAfterTime @3/1/2013


L’infrastructure de chiffrement faible offre un mécanisme par lequel les administrateurs peuvent définir un répertoire de journal pour tous les certificats qui sont considérés comme faibles selon les paramètres.

Pour activer la journalisation, un administrateur peut définir un répertoire de journalisation en ajoutant une entrée de Registre ou en exécutant la commande certutil comme suit (c:\Log doit être créé et disposer des autorisations appropriées) avec des paramètres de chiffrement faible :

Certutil -setreg chain\WeakSignatureLogDir c:\log

Il est également possible de mettre directement à jour le Registre :

HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config\WeakSignatureLogDir

Mettez ensuite à jour les indicateurs pour activer la journalisation (CERT_CHAIN_ENABLE_WEAK_LOGGING_FLAG (0x00000004)), comme dans l’exemple suivant, où le chiffrement faible est appliqué pour toutes les utilisations améliorées de la clé et les certificats tiers MD5 faibles sont enregistrés dans c:\log.

Certutil -setreg chain\WeakMD5ThirdPartyFlags  0x80010004

L’infrastructure de chiffrement faible offre également une fonctionnalité permettant à un administrateur de procéder à la journalisation seule sans qu’aucune erreur de création de chaînes ne soit retournée. Pour définir cette opération, les utilisateurs doivent inclure CERT_CHAIN_ENABLE_ONLY_WEAK_LOGGING_FLAG (0x00000008). Par exemple, pour activer le mode Auditer uniquement pour tous les certificats tiers MD5 faibles des utilisations améliorées de la clé :

Certutil -setreg chain\WeakSignatureLogDir c:\log

et

Certutil -setreg chain\WeakMD5ThirdPartyFlags  0x80010008

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

Afficher:
© 2014 Microsoft