Consultoria de Segurança

Comunicado de Segurança da Microsoft 2661254

Atualização para comprimento mínimo da chave de certificado

Publicado: terça-feira, 14 de agosto de 2012 | Atualizado: October 09, 2012

Versão: 2.0

Informações Gerais

Resumo executivo

A Microsoft está anunciando a disponibilidade de uma atualização para o Windows que restringe o uso de certificados com chaves RSA com menos de 1024 bits de comprimento. As chaves privadas usadas nesses certificados podem ser derivadas e podem permitir que um invasor duplique os certificados e os use de forma fraudulenta para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários.

Observação Essa atualização afeta aplicativos e serviços que usam chaves RSA para criptografia e chamada para a função CertGetCertificateChain . Esses aplicativos e serviços não confiarão mais em certificados com chaves RSA com menos de 1024 bits de comprimento. Exemplos de aplicativos e serviços afetados incluem, entre outros, e-mail criptografado, canais de criptografia SSL/TLS, aplicativos assinados e ambientes PKI privados. Certificados que usam algoritmos criptográficos diferentes de RSA não são afetados por esta atualização. Para obter mais informações sobre aplicativos e serviços afetados por essa atualização, consulte o Artigo 2661254 da Base de Dados de Conhecimento Microsoft.

A atualização está disponível no Centro de Download e no Catálogo do Microsoft Update para todas as versões com suporte do Microsoft Windows. Além disso, a partir de 9 de outubro de 2012, essa atualização é oferecida por meio da atualização automática e do serviço Microsoft Update .

Recomendação. A Microsoft recomenda que os clientes apliquem a atualização o mais rápido possível. Consulte a seção Ações sugeridas deste comunicado para obter mais informações.

Problemas conhecidos.O Artigo 2661254 Base de Dados de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização. O artigo também documenta soluções recomendadas para esses problemas.

Detalhes do Comunicado

Referências de edições

Para obter mais informações sobre esse problema, consulte as seguintes referências:

Referências Identificação
Artigo da Base de Dados de Conhecimento Microsoft 2661254 

Software e dispositivos afetados

Este comunicado aborda o seguinte software.

Sistema operacional
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edição Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados em Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edição Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas baseados em x64 Service Pack 2
Windows Server 2008 para sistemas baseados em Itanium Service Pack 2
Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x64 e Windows 7 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1
Windows Server 2008 R2 para sistemas baseados no Itanium e Windows Server 2008 R2 para sistemas baseados no Itanium Service Pack 1
Opção de instalação Server Core
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalação Server Core)
Windows Server 2008 para sistemas baseados em x64 Service Pack 2 (instalação Server Core)
Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x64 Service Pack 1 (instalação Server Core)

 

Perguntas frequentes

Por que este comunicado foi revisado em 9 de outubro de 2012?
A Microsoft revisou este comunicado pelos seguintes motivos:

  • Para relançar a atualização KB2661254 para o Windows XP para resolver um problema envolvendo certificados digitais específicos que foram gerados pela Microsoft sem atributos de carimbo de data/hora adequados. Para saber mais sobre esse problema, consulte Comunicado de Segurança da Microsoft 2749655. Os clientes que já instalaram com êxito esta atualização em seus sistemas Windows XP não precisam executar nenhuma ação. Além disso, os clientes não receberão novamente essa oferta se ela já estiver instalada em seus sistemas. A atualização relançada só se aplica a sistemas Windows XP que não instalaram anteriormente esta atualização.
  • Para anunciar que a atualização KB2661254 para todas as versões com suporte do Microsoft Windows agora é oferecida por meio de atualização automática.

Por que este comunicado foi revisado em 11 de setembro de 2012?
A Microsoft revisou este comunicado para esclarecer que aplicativos e serviços que usam chaves RSA para criptografia e chamada para a função CertGetCertificateChain podem ser afetados por essa atualização. Exemplos desses aplicativos e serviços incluem, mas não estão limitados a e-mail criptografado, canais de criptografia SSL/TLS, aplicativos assinados e ambientes PKI privados.

Para obter mais informações sobre o possível impacto para os clientes e problemas conhecidos que os clientes podem enfrentar ao instalar esta atualização, consulte o Artigo 2661254 da Base de Dados de Conhecimento Microsoft.

Qual o escopo da assessoria?
O objetivo deste comunicado é notificar os clientes de que uma atualização está disponível para todas as versões com suporte do Microsoft Windows que exigirão que os certificados contenham chaves RSA maiores ou iguais a 1024 bits de comprimento. Os certificados com chaves RSA com menos de 1024 bits de comprimento podem ser derivados em um curto período de tempo e podem permitir que um invasor duplique os certificados e os use de forma fraudulenta para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários. Esta atualização foi totalmente testada e tem qualidade suficiente para lançamento. A atualização foi lançada no centro de download para permitir que os clientes avaliem seu ambiente e ofereçam a oportunidade de reemitir os certificados necessários antes de uma distribuição mais ampla por meio do Microsoft Update.

Como um invasor pode usar certificados de forma fraudulenta?
Um invasor pode duplicar o certificado e usá-lo para falsificar conteúdo de forma fraudulenta, executar ataques de phishing ou executar ataques intermediários.

Como um invasor pode duplicar um certificado?
Um certificado digital só pode ser criado pela pessoa que possui a chave privada do certificado. Um invasor pode tentar adivinhar a chave privada e usar técnicas matemáticas para determinar se uma suposição está correta. A dificuldade de adivinhar com êxito a chave privada é proporcional ao número de bits usados na chave. Portanto, quanto maior a chave, mais tempo um invasor leva para adivinhar a chave privada. Usando hardware moderno, chaves com menos de 1024 bits de comprimento podem ser adivinhadas com sucesso em um curto período de tempo. Depois que o invasor adivinha com êxito a chave privada, ele pode duplicar o certificado e usá-lo de forma fraudulenta para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários.

O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle ocorre quando um invasor redireciona a comunicação entre dois usuários através do computador do invasor sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação inadvertidamente envia e recebe tráfego do invasor, enquanto pensa que está se comunicando apenas com o usuário pretendido.

O que é um certificado digital?
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, destina-se a ser compartilhada com o mundo. No entanto, deve haver uma maneira de o dono da chave dizer ao mundo a quem a chave pertence. Os certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é uma credencial eletrônica usada para certificar as identidades online de indivíduos, organizações e computadores. Os certificados digitais contêm uma chave pública empacotada junto com informações sobre ela - quem a possui, para que ela pode ser usada, quando expira e assim por diante.

Como me preparo para esta versão?
Consulte a seção Ações Sugeridas para obter uma lista de ações a serem executadas em preparação para a implantação desta atualização.

Quando a Microsoft lançará esta atualização para o Microsoft Update?
A Microsoft planeja lançar essa atualização por meio do Microsoft Update em outubro de 2012.

O que a atualização KB2661254 faz?
Em todas as versões com suporte do Microsoft Windows, a atualização KB2661254 requer que os certificados com chaves RSA usem o comprimento de chave de 1024 bits ou maior. Os certificados que usam algoritmos criptográficos diferentes do RSA não são afetados por esta atualização. Os produtos da Microsoft ou de terceiros que chamem a função CertGetCertificateChain não confiarão mais em certificados com chaves RSA com menos de 1024 bits de comprimentos de chave. Essa função cria um contexto de cadeia de certificados a partir do certificado final voltando, se possível, para um certificado raiz confiável. Quando a cadeia é validada, cada certificado na cadeia é inspecionado para garantir que ele tenha um comprimento de chave RSA de pelo menos 1024 bits de comprimento. Se qualquer certificado na cadeia tiver uma chave RSA com menos de 1024 bits de comprimento, o certificado final não será confiável.

Além disso, a atualização pode ser configurada para registrar quando os certificados são bloqueados pela atualização. Para obter mais informações sobre como habilitar esse recurso de registro, consulte a seção Ações sugeridas deste Comunicado. Para obter uma lista completa de cenários sobre como esta atualização bloqueará o uso de chaves RSA com menos de 1024 bits de comprimento, consulte o Artigo 2661254 Base de Dados de Conhecimento Microsoft.

Esta atualização se aplica ao Windows 8 Release Preview ou Windows Server 2012 Release Candidate?
Não. Esta atualização não se aplica ao Windows 8 Release Preview ou ao Windows Server 2012 Release Candidate porque esses sistemas operacionais já incluem a funcionalidade para exigir que os certificados com chaves RSA usem o comprimento de chave de 1024 bits ou superior.

E se eu encontrar um certificado com uma chave RSA com menos de 1024 bits de comprimento?
Os clientes que identificarem quaisquer certificados que usem comprimentos de chave RSA inferiores a 1024 bits em seus ambientes precisarão solicitar certificados mais longos de sua autoridade de certificação. Os clientes que gerenciam seus próprios ambientes PKI precisarão criar novos pares de chaves mais longos e emitir novos certificados a partir dessas novas chaves. Os clientes devem avaliar o uso de um comprimento de chave suficiente para corresponder aos seus requisitos de criptografia de dados, que podem exceder o mínimo exigido por esta atualização.

O que é uma autoridade de certificação (AC)?
Uma AC (autoridade de certificação) é responsável por atestar a identidade de usuários, computadores e organizações. A AC autentica uma entidade e garante-a emitindo um certificado assinado digitalmente. A AC também pode gerenciar, revogar e renovar certificados.

Uma autoridade de certificação pode referir-se a:

  • Uma organização que garante a identidade de um usuário final
  • Um servidor usado pela organização para emitir e gerenciar certificados

Ações sugeridas

Para versões suportadas do Microsoft Windows

A maioria dos clientes tem a atualização automática habilitada e não precisará executar nenhuma ação, pois essa atualização de segurança será baixada e instalada automaticamente. Os clientes que não habilitaram a atualização automática precisam verificar se há atualizações e instalar essa atualização manualmente. Para obter informações sobre opções de configuração específicas na atualização automática, consulte o Artigo 294871 da Base de Dados de Conhecimento Microsoft.

Para instalações de administradores e empresas, ou usuários finais que desejam instalar a atualização KB2661254 manualmente, a Microsoft recomenda que os clientes baixem a atualização e avaliem o impacto de exigir que os certificados com chaves RSA usem o comprimento de chave de 1024 bits ou maior. Consulte o Artigo 2661254 da Base de Dados de Conhecimento Microsoft para obter links para download dos pacotes de atualização ou pesquise os pacotes de atualização no Catálogo do Microsoft Update.

Os administradores e as instalações corporativas devem avaliar seu ambiente quanto à existência de certificados com chaves RSA com menos de 1024 bits de comprimento e reemitir esses certificados. Para obter mais informações sobre aplicativos e serviços afetados por essa atualização, consulte o Artigo 2661254 da Base de Dados de Conhecimento Microsoft.

Ações adicionais sugeridas

  • Identificar certificados com comprimentos de chave RSA inferiores a 1024 bits em uso na empresa

    Consulte o Artigo 2661254 da Base de Dados de Conhecimento Microsoft para obter instruções detalhadas sobre como localizar certificados RSA atualmente em uso na empresa.

  • Examine o Artigo 2661254 da Base de Dados de Conhecimento Microsoft para cenários em que esta atualização bloqueará certificados

    Examine o Artigo 2661254 da Base de Dados de Conhecimento Microsoft para obter uma lista de cenários em que esta atualização bloqueará certificados com chaves RSA com menos de 1024 bits de comprimento.

  • Habilite o log de certificados para ajudar a identificar o uso de chaves RSA com menos de 1024 bits de comprimento

    Por padrão, o registro em log não está habilitado. O registro em log pode ser habilitado para ajudar a identificar o uso de chaves RSA com menos de 1024 bits de comprimento definindo o diretório de log no Registro.

    Aviso Se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que podem exigir a reinstalação do sistema operacional. A Microsoft não pode garantir que você possa resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do Registro por sua conta e risco.

    Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config] " WeakSignatureLogDir"

    Você pode aplicar esse arquivo de .reg a sistemas individuais clicando duas vezes nele. Você também pode aplicá-lo entre domínios usando a Diretiva de Grupo. Para obter mais informações sobre a Diretiva de Grupo, consulte Ferramentas e configurações principais da Diretiva de Grupo.

    Impacto da solução alternativa: Habilitar o registro em log em um sistema de produção pode causar problemas de desempenho e deve ser usado com cautela. Atenção especial deve ser dada ao diretório no qual o registro em log está habilitado para evitar o preenchimento do volume. Esse diretório também precisa ser configurado para permitir que todos os sistemas apropriados gravem nesse local. Os clientes nunca devem permitir que usuários anônimos gravem em compartilhamentos dentro da organização.

  • Proteja seu PC

    Continuamos a incentivar os clientes a seguirem nossa orientação Proteja seu computador de habilitar um firewall, obter atualizações de software e instalar software antivírus. Para obter mais informações, consulte Central de Segurança da Microsoft.

  • Mantenha o software Microsoft atualizado

    Os usuários que executam o software da Microsoft devem aplicar as atualizações de segurança mais recentes da Microsoft para ajudar a garantir que seus computadores estejam o mais protegidos possível. Se você não tiver certeza se o software está atualizado, visite o Microsoft Update, verifique se há atualizações disponíveis no computador e instale as atualizações de alta prioridade que lhe são oferecidas. Se você tiver a atualização automática habilitada e configurada para fornecer atualizações para produtos Microsoft, as atualizações serão entregues a você quando forem lançadas, mas você deverá verificar se elas estão instaladas.

Outras Informações

Feedback

Suporte

  • Os clientes nos Estados Unidos e no Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite Suporte internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos Microsoft.

Aviso de isenção de responsabilidade

As informações fornecidas neste comunicado são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.

Revisões

  • V1.0 (14 de agosto de 2012): Comunicado publicado.
  • V1.1 (14 de agosto de 2012): Resumo executivo corrigido para ajudar a esclarecer que, depois de aplicar essa atualização, os clientes precisam usar certificados com chaves RSA maiores ou iguais a 1024 bits de comprimento.
  • V1.2 (11 de setembro de 2012): Esclarecido que aplicativos e serviços que usam chaves RSA para criptografia e chamada para a função CertGetCertificateChain podem ser afetados por essa atualização. Exemplos desses aplicativos e serviços incluem, mas não estão limitados a e-mail criptografado, canais de criptografia SSL/TLS, aplicativos assinados e ambientes PKI privados.
  • V2.0 (9 de outubro de 2012): Comunicado revisado para relançar a atualização KB2661254 para o Windows XP e anunciar que a atualização de KB2661254 para todas as versões com suporte do Microsoft Windows agora é oferecida por meio de atualização automática. Os clientes que aplicaram anteriormente a atualização KB2661254 não precisam executar nenhuma ação. Consulte as Perguntas frequentes do comunicado para obter detalhes.

Construído em 2014-04-18T13:49:36Z-07:00