• Статья

Советы по безопасности

Советы по безопасности Майкрософт 2661254

Обновление минимальной длины ключа сертификата

Опубликовано: 14 августа 2012 г. | Обновлено: 09 октября 2012 г.

Версия: 2.0

Общие сведения

Краткий обзор

Корпорация Майкрософт объявляет о доступности обновления в Windows, которая ограничивает использование сертификатов с ключами RSA менее 1024 бит. Закрытые ключи, используемые в этих сертификатах, могут быть производными и могут позволить злоумышленнику дублировать сертификаты и использовать их мошенническим образом для спуфинго содержимого, выполнения фишинговых атак или выполнения атак злоумышленника в середине.

Обратите внимание, что это обновление влияет на приложения и службы, использующие ключи RSA для шифрования и вызова функции CertGetCertificateChain . Эти приложения и службы больше не будут доверять сертификатам с ключами RSA меньше 1024 бит. Примеры затронутых приложений и служб включают в себя, но не ограничиваются зашифрованными каналами электронной почты, каналами шифрования SSL/TLS, подписанными приложениями и частными средами PKI. Сертификаты, использующие криптографические алгоритмы, отличные от RSA, не влияют на это обновление. Дополнительные сведения о приложениях и службах, затронутых этим обновлением, см. в статье базы знаний Майкрософт 2661254.

Обновление доступно в Центре загрузки, а также в каталоге центра обновления Майкрософт для всех поддерживаемых выпусков Microsoft Windows. Кроме того, по состоянию на 9 октября 2012 г. это обновление предлагается через автоматическое обновление и через службу Центра обновления Майкрософт.

Рекомендация. Корпорация Майкрософт рекомендует клиентам применять обновление при первой возможности. Дополнительные сведения см. в разделе "Предлагаемые действия ".

Известные проблемы.Статья базы знаний Майкрософт 2661254 документирует известные проблемы, которые могут возникнуть у клиентов при установке этого обновления. В этой статье также описаны рекомендуемые решения для этих проблем.

Сведения о рекомендациях

Ссылки на проблемы

Дополнительные сведения об этой проблеме см. в следующих ссылках:

Ссылки Идентификация
Статья базы знаний Майкрософт 2661254 

Затронутые программы и устройства

В этом руководстве рассматривается следующее программное обеспечение.

Операционная система
Windows XP с пакетом обновления 3 (SP3)
Windows XP Professional x64 Edition с пакетом обновления 2
Windows Server 2003 с пакетом обновления 2
Windows Server 2003 x64 Edition с пакетом обновления 2
Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium
Windows Vista с пакетом обновления 2 (SP2)
Windows Vista x64 Edition с пакетом обновления 2
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2
Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (SP2)
Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2)
Windows 7 для 32-разрядных систем и Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1)
Windows 7 для систем на основе x64 и Windows 7 для систем на основе x64 с пакетом обновления 1 (SP1)
Windows Server 2008 R2 для систем на основе x64 и Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (SP1)
Windows Server 2008 R2 для систем на основе Itanium и Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1)
Вариант установки основных серверных компонентов
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (установка основных серверных компонентов)
Windows Server 2008 для систем на основе x64 с пакетом обновления 2 (установка основных серверных компонентов)
Windows Server 2008 R2 для систем на основе x64 и Windows Server 2008 R2 для систем на основе x64 с пакетом обновления 1 (установка основных серверных компонентов)

 

Вопросы и ответы

Почему эта рекомендация была изменена 9 октября 2012 г.?
Корпорация Майкрософт пересмотрела эти рекомендации по следующим причинам:

  • Чтобы повторно восстановить обновление КБ 2661254 для Windows XP, чтобы устранить проблему, связанную с определенными цифровыми сертификатами, созданными корпорацией Майкрософт без надлежащих атрибутов метки времени. Дополнительные сведения об этой проблеме см. в статье Советы по безопасности (Microsoft) (2749655). Клиенты, которые уже успешно установили это обновление в своих системах Windows XP, не должны предпринимать никаких действий. Кроме того, клиенты не будут повторно выпущены в этом обновлении, если он уже установлен в своих системах. Повторное обновление применяется только к системам Windows XP, которые ранее не установили это обновление.
  • Чтобы сообщить, что обновление КБ 2661254 для всех поддерживаемых выпусков Microsoft Windows теперь предлагается через автоматическое обновление.

Почему эта рекомендация была изменена 11 сентября 2012 г.?
Корпорация Майкрософт пересмотрела это рекомендацию, чтобы уточнить, что приложения и службы, использующие ключи RSA для шифрования и вызов функции CertGetCertificateChain, могут быть затронуты этим обновлением. Примеры этих приложений и служб включают в себя, но не ограничиваются зашифрованными каналами электронной почты, каналами шифрования SSL/TLS, подписанными приложениями и частными средами PKI.

Дополнительные сведения о возможном влиянии на клиентов и известных проблемах, которые могут возникнуть при установке этого обновления, см . в статье базы знаний Майкрософт 2661254.

Что такое область рекомендаций?
Эта рекомендация предназначена для уведомления клиентов о том, что обновление доступно для всех поддерживаемых выпусков Microsoft Windows, для которых требуется, чтобы сертификаты содержали ключи RSA больше или равно 1024 битам. Сертификаты с ключами RSA менее 1024 битов могут быть производными в течение короткого времени и могут позволить злоумышленнику дублировать сертификаты и использовать их мошенническим образом для спуфинга содержимого, выполнения фишинговых атак или выполнения атак злоумышленника в середине. Это обновление полностью протестировано и имеет достаточное качество для выпуска. Обновление было выпущено в центре загрузки, чтобы пользователи могли оценить свою среду и предоставить возможность повторно выдавать необходимые сертификаты до более широкого распространения через Центр обновления Майкрософт.

Как злоумышленник может использовать сертификаты мошенническим образом?
Злоумышленник может дублировать сертификат и использовать его для мошеннического спуфинго содержимого, выполнения фишинговых атак или атак с помощью злоумышленника в середине.

Как злоумышленник может дублировать сертификат?
Цифровой сертификат можно создать только тем, кто обладает закрытым ключом сертификата. Злоумышленник может попытаться угадать закрытый ключ и использовать математические методы, чтобы определить правильность предположения. Сложность успешного угадывания закрытого ключа пропорциональна количеству битов, используемых в ключе. Таким образом, чем больше ключ, тем дольше он занимает злоумышленника, чтобы угадать закрытый ключ. С помощью современного оборудования ключи длиной менее 1024 бит можно успешно угадать в течение короткого времени. После того как злоумышленник успешно угадывает закрытый ключ, злоумышленник может дублировать сертификат и использовать его мошенническим образом, чтобы спуфингать содержимое, выполнять фишинговые атаки или выполнять атаки злоумышленника в середине.

Что такое атака "человек в середине"?
Атака "человек в середине" возникает, когда злоумышленник перенаправляет связь между двумя пользователями с помощью компьютера злоумышленника без знания двух пользователей, взаимодействующих с ними. Каждый пользователь в обмене данными неузнавательно отправляет трафик и получает трафик от злоумышленника, все думая, что они взаимодействуют только с предполагаемым пользователем.

Что такое цифровой сертификат?
В криптографии открытого ключа один из ключей, известный как закрытый ключ, должен храниться в секрете. Другой ключ, известный как открытый ключ, предназначен для совместного использования с миром. Тем не менее, должен быть способ для владельца ключа, чтобы сказать миру, кому принадлежит ключ. Цифровые сертификаты предоставляют способ сделать это. Цифровой сертификат — это электронные учетные данные, используемые для сертификации сетевых удостоверений отдельных лиц, организаций и компьютеров. Цифровые сертификаты содержат открытый ключ, упакованный вместе с информацией об этом , кто владеет им, что он может использоваться, когда срок действия и т. д.

Разделы справки подготовиться к этому выпуску?
См . раздел "Предлагаемые действия" для списка действий, выполняемых при подготовке к развертыванию этого обновления.

Когда корпорация Майкрософт выпустит это обновление в Центр обновления Майкрософт?
Корпорация Майкрософт планирует выпустить это обновление через Центр обновления Майкрософт в октябре 2012 г.

Что делает обновление КБ 2661254?
Во всех поддерживаемых выпусках Microsoft Windows обновление КБ 2661254 требует, чтобы сертификаты с ключами RSA использовали 1024-разрядную длину или большую длину ключа. Сертификаты, использующие криптографические алгоритмы, отличные от RSA, не влияют на это обновление. Продукты Майкрософт или сторонние продукты, которые вызывают функцию CertGetCertificateChain , больше не будут доверять сертификатам с ключами RSA менее 1024-разрядной длины ключа. Эта функция создает контекст цепочки сертификатов, начиная с конечного сертификата, возвращаясь, если это возможно, к доверенному корневому сертификату. При проверке цепочки каждый сертификат в цепочке проверяется, чтобы убедиться, что длина ключа RSA составляет не менее 1024 бит. Если какой-либо сертификат в цепочке имеет ключ RSA менее 1024 бит в длину, конечный сертификат не будет доверенным.

Кроме того, обновление можно настроить для регистрации при блокировке сертификатов обновлением. Дополнительные сведения о включении этой функции ведения журнала см. в разделе "Предлагаемые действия " этого рекомендации. Полный список сценариев того, как это обновление блокирует использование ключей RSA менее 1024 бит, см . в статье базы знаний Майкрософт 2661254.

Применяется ли это обновление к предварительной версии windows 8 или кандидату на выпуск Windows Server 2012?
№ Это обновление не относится к предварительной версии windows 8 или кандидату выпуска Windows Server 2012, так как эти операционные системы уже включают функциональные возможности, которые требуют, чтобы сертификаты с ключами RSA использовали 1024-разрядную длину или большую длину ключа.

Что делать, если найти сертификат с ключом RSA менее 1024 бита?
Клиенты, которые определяют все сертификаты, использующие ключ RSA длиной менее 1024 бит в своих средах, должны запрашивать более длинные сертификаты из центра сертификации. Клиентам, которые управляют собственными средами PKI, потребуется создать новые пары ключей и выдавать новые сертификаты из этих новых ключей. Клиенты должны оценить достаточную длину ключа, чтобы соответствовать их требованиям для шифрования данных, что может превышать минимальное значение, необходимое для этого обновления.

Что такое центр сертификации (ЦС)?
Центр сертификации (ЦС) отвечает за подтверждение личности пользователей, а также за подтверждение подлинности компьютеров и организаций. Центр сертификации выполняет аутентификацию объектов и подтверждает их подлинность выпуском сертификата с цифровой подписью. Центр сертификации также может управлять сертификатами, осуществлять их отзыв и продление.

Центр сертификации может ссылаться на следующее:

  • организация, подтверждающая личность пользователя;
  • сервер, используемый организацией для выпуска сертификатов и управления ими.

Предлагаемые действия

Поддерживаемые выпуски Microsoft Windows

Большинство клиентов включили автоматическое обновление и не должны предпринимать никаких действий, так как это обновление безопасности будет загружено и установлено автоматически. Клиенты, которые не включили автоматическое обновление, должны проверка для обновлений и установить это обновление вручную. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871.

Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить обновление КБ 2661254 вручную, корпорация Майкрософт рекомендует пользователям скачать обновление и оценить влияние того, что сертификаты с ключами RSA используют 1024-разрядную длину или большую длину ключа. См . статью базы знаний Майкрософт 2661254 для скачивания ссылок на пакеты обновления или поиска в каталоге обновлений Майкрософт для пакетов обновления.

Администратор истераторы и корпоративные установки должны оценивать их среду на наличие сертификатов с ключами RSA менее 1024 бит и повторно выдавать эти сертификаты. Дополнительные сведения о приложениях и службах, затронутых этим обновлением, см. в статье базы знаний Майкрософт 2661254.

Дополнительные предлагаемые действия

  • Определение сертификатов с длиной ключа RSA меньше 1024 бит, используемых в организации

    См . статью базы знаний Майкрософт 2661254 подробные инструкции по поиску сертификатов RSA, которые в настоящее время используются в организации.

  • Изучите статью базы знаний Майкрософт 2661254 для сценариев, когда это обновление блокирует сертификаты

    Изучите статью базы знаний Майкрософт 2661254 для списка сценариев, когда это обновление блокирует сертификаты с ключами RSA меньше 1024 бит.

  • Включение ведения журнала сертификатов для выявления использования ключей RSA меньше 1024 бит в длину

    По умолчанию ведение журнала не включено. Ведение журнала можно включить, чтобы определить использование ключей RSA менее 1024 бит в длину, задав каталог ведения журнала в реестре.

    Предупреждение при неправильном использовании редактора реестра может привести к серьезным проблемам, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не может гарантировать, что вы можете решить проблемы, возникающие в результате неправильного использования редактора реестра. Вся ответственность за использование редактора реестра ложится на пользователя.

    Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config] " WeakSignatureLogDir"

    Этот .reg файл можно применить к отдельным системам, дважды щелкнув его. Вы также можете применить его между доменами с помощью групповой политики. Дополнительные сведения о групповой политике см. в разделе "Основные инструменты групповой политики" и Параметры.

    Влияние обходного решения. Включение ведения журнала в рабочей системе может привести к проблемам с производительностью и должно использоваться с осторожностью. Особое внимание следует уделять каталогу, на который включено ведение журнала, чтобы избежать заполнения тома. Этот каталог также необходимо настроить, чтобы разрешить всем соответствующим системам записывать данные в это расположение. Клиенты никогда не должны разрешать анонимным пользователям записывать общие папки в организации.

  • Защита компьютера

    Мы продолжаем поощрять клиентов следовать нашим рекомендациям по защите компьютера для включения брандмауэра, получения обновлений программного обеспечения и установки антивирусного программного обеспечения. Дополнительные сведения см. в центре безопасности Майкрософт Сейф ty и безопасности.

  • Обновление программного обеспечения Майкрософт

    Пользователи, работающие под управлением программного обеспечения Майкрософт, должны применять последние обновления системы безопасности Майкрософт, чтобы убедиться, что их компьютеры защищены как можно скорее. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Центр обновления Майкрософт, проверьте компьютер на наличие доступных обновлений и установите все обновления с высоким приоритетом, предлагаемые вам. Если вы включили автоматическое обновление и настроили для предоставления обновлений для продуктов Майкрософт, обновления доставляются вам при их выпуске, но убедитесь, что они установлены.

Другие сведения

Feedback

  • Вы можете предоставить отзыв, выполнив форму справки и поддержки Майкрософт, обратитесь к нам в службу поддержки клиентов.

Поддержка

  • Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности. Дополнительные сведения о доступных вариантах поддержки см. в справке и поддержке Майкрософт.
  • Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Дополнительные сведения о том, как связаться с корпорацией Майкрософт по вопросам международной поддержки, см. в статье "Международная поддержка".
  • Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.

Заявление об отказе

Сведения, предоставленные в этом совете, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.

Редакции

  • Версия 1.0 (14 августа 2012 г.): рекомендации, опубликованные.
  • Версия 1.1 (14 августа 2012 г.): Сводка руководителей исправлена, чтобы уточнить, что после применения этого обновления клиентам необходимо использовать сертификаты с ключами RSA больше или равно 1024 битам.
  • Версия 1.2 (11 сентября 2012 г.): Уточнено, что приложения и службы, использующие ключи RSA для шифрования и вызова функции CertGetCertificateChain, могут повлиять на это обновление. Примеры этих приложений и служб включают в себя, но не ограничиваются зашифрованными каналами электронной почты, каналами шифрования SSL/TLS, подписанными приложениями и частными средами PKI.
  • Версия 2.0 (9 октября 2012 г.): изменены рекомендации по повторному обновлению КБ 2661254 для Windows XP и сообщить о том, что обновление КБ 2661254 для всех поддерживаемых выпусков Microsoft Windows теперь предлагается через автоматическое обновление. Клиенты, которые ранее применили обновление КБ 2661254, не должны предпринимать никаких действий. Дополнительные сведения см. в рекомендациях.

Построено в 2014-04-18T13:49:36Z-07:00