Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2661254

Update für Mindestschlüssellänge in Zertifikaten

Veröffentlicht: Dienstag, 14. August 2012 | Aktualisiert: Dienstag, 9. Oktober 2012

Version: 2.0

Allgemeine Informationen

Kurzzusammenfassung

Hiermit kündigt Microsoft die Verfügbarkeit eines Updates an, mit dem die Verwendung von Zertifikaten mit RSA-Schlüsseln von weniger als 1024 Bit Länge eingeschränkt wird. Die in diesen Zertifikaten verwendeten privaten Schlüssel können abgeleitet werden und einem Angreifer ermöglichen, die Zertifikate zu duplizieren und in betrügerischer Absicht zu verwenden, um Inhalte nachzuahmen und Phishingangriffe oder Man-in-the-Middle-Angriffe durchzuführen.

Hinweis: Dieses Update hat Auswirkungen auf Anwendungen und Dienste, die RSA-Schlüssel für die Kryptografie verwenden und die Funktion CertGetCertificateChain aufrufen. Diese Anwendungen und Dienste betrachten Zertifikate mit RSA-Schlüsseln von weniger als 1024 Bit Länge nicht mehr als vertrauenswürdig. Zu den betroffenen Anwendungen und Diensten zählen beispielsweise verschlüsselte E-Mails, SSL/TLS-Verschlüsselungskanäle, signierte Anwendungen und private PKI-Umgebungen. Zertifikate, die andere kryptografische Algorithmen als RSA verwenden, sind nicht von diesem Update betroffen. Weitere Informationen zu Anwendungen und Diensten, auf die dieses Update Auswirkungen hat, finden Sie im Microsoft Knowledge Base-Artikel 2661254.

Das Update ist für alle unterstützten Veröffentlichungen von Microsoft Windows im Download Center sowie im Microsoft Update-Katalog verfügbar. Außerdem wird dieses Update ab 9. Oktober 2012 über die automatische Aktualisierung und Microsoft Update angeboten.

Empfehlung. Microsoft empfiehlt Benutzern, dieses Sicherheitsupdate so schnell wie möglich zu installieren. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen in dieser Empfehlung.

Bekannte Probleme. Im Microsoft Knowledge Base-Artikel 2661254 werden die derzeit bekannten Probleme dokumentiert, die durch die Installation dieses Updates unter Umständen auftreten können. Im Artikel werden auch Lösungen für diese Probleme empfohlen.

Details der Empfehlung

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

VerweiseIdentifizierung
Microsoft Knowledge Base-Artikel 2661254

Betroffene Software und Geräte

Diese Empfehlung betrifft die folgende Software.

Betriebssystem
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 mit SP2 für Itanium-basierte Systeme
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 für 32-Bit-Systeme Service Pack 2
Windows Server 2008 für x64-basierte Systeme Service Pack 2
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
Windows 7 für 32-Bit-Systeme und Windows 7 für 32-Bit-Systeme Service Pack 1
Windows 7 für x64-basierte Systeme und Windows 7 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für x64-basierte Systeme und Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für Itanium-basierte Systeme und Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1
Server Core-Installationsoption
Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation)
Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation)
Windows Server 2008 R2 für x64-basierte Systeme und Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installationsoption)

Weshalb wurde diese Empfehlung am 9. Oktober 2012 überarbeitet ?
Microsoft hat diese Empfehlung aus folgenden Gründen überarbeitet:

  • Um das Update KB2661254 für Windows XP erneut zu veröffentlichen und um ein Problem mit bestimmten digitalen Zertifikaten zu beheben, die ohne ordnungsgemäße Zeitstempelattribute von Microsoft generiert wurden. Weitere Informationen zu diesem Problem finden Sie in der Microsoft-Sicherheitsempfehlung 2749655. Endbenutzer, die dieses Update bereits erfolgreich auf ihren Windows XP-Systemen installiert haben, müssen keine Maßnahmen ergreifen. Außerdem wird Endbenutzern dieses Update nicht erneut angeboten, wenn es bereits auf ihren Systemen installiert ist. Das erneut veröffentlichte Update gilt nur für Windows XP-Systeme, auf denen dieses Update noch nicht installiert ist.
  • Um anzukündigen, dass das Update KB2661254 für alle unterstützten Versionen von Microsoft Windows jetzt durch die automatische Aktualisierung angeboten wird.

Weshalb wurde diese Empfehlung am 11. September 2012 überarbeitet?
Microsoft hat diese Empfehlung überarbeitet, um zu erläutern, dass dieses Update möglicherweise Auswirkungen auf Anwendungen und Dienste hat, die RSA-Schlüssel für die Kryptografie verwenden und die Funktion CertGetCertificateChain aufrufen. Zu diesen Anwendungen und Diensten zählen beispielsweise verschlüsselte E-Mails, SSL/TLS-Verschlüsselungskanäle, signierte Anwendungen und private PKI-Umgebungen.

Weitere Informationen zu möglichen Auswirkungen auf Benutzer sowie zu bekannten Problemen, die beim Installieren dieses Updates auftreten können, finden Sie im Microsoft Knowledge Base-Artikel 2661254.

Was genau umfasst diese Empfehlung?
Der Zweck dieser Empfehlung besteht darin, Benutzer darüber zu benachrichtigen, dass für alle unterstützten Versionen von Microsoft Windows ein Update verfügbar ist, welches erfordert, dass Zertifikate über RSA-Schlüssel von mindestens 1024 Bit Länge verfügen. Zertifikate mit RSA-Schlüsseln von weniger als 1024 Bit Länge können in kurzer Zeit abgeleitet werden und einem Angreifer ermöglichen, die Zertifikate zu duplizieren und diese in betrügerischer Absicht zu verwenden, um Inhalte nachzuahmen und Phishingangriffe oder Man-in-the-Middle-Angriffe durchzuführen. Dieses Update wurde umfassend getestet und kann veröffentlicht werden. Das Update wurde im Download Center veröffentlicht, um Benutzern zu ermöglichen, ihre Umgebung zu bewerten und ihnen die Gelegenheit zu bieten, die erforderlichen Zertifikate vor der breiteren Verteilung über Microsoft Update neu auszugeben.

Wie kann ein Angreifer betrügerische Zertifikate verwenden ?
Ein Angreifer kann das Zertifikat duplizieren und es in betrügerischer Absicht verwenden, um Inhalte nachzuahmen und Phishingangriffe oder Man-in-the-Middle-Angriffe durchzuführen.

Wie könnte ein Angreifer ein Zertifikat duplizieren?
Ein digitales Zertifikat kann nur von der Person erstellt werden, die den privaten Schlüssel des Zertifikats besitzt. Ein Angreifer kann versuchen, den privaten Schlüssel zu erraten, und anhand mathematischer Verfahren bestimmen, ob eine Schätzung richtig ist. Die Schwierigkeit, den privaten Schlüssel erfolgreich zu erraten, ist proportional zu der Anzahl von Bits in dem Schlüssel. Je länger also der Schlüssel, desto länger braucht ein Angreifer, um den privaten Schlüssel zu erraten. Mit moderner Hardware können Schlüssel von weniger als 1024 Bit Länge in kurzer Zeit erfolgreich erraten werden. Nachdem der Angreifer den privaten Schlüssel erfolgreich erraten hat, kann er das Zertifikat duplizieren und es in betrügerischer Absicht verwenden, um Inhalt nachzuahmen Phishingangriffe oder Man-in-the-Middle-Angriffe durchzuführen.

Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern durch den Computer des Angreifers umleitet, ohne dass die beiden kommunizierenden Benutzer davon wissen. Jeder Benutzer in der Kommunikation sendet unbewusst Datenverkehr an den Angreifer und erhält Datenverkehr von diesem, während er die ganze Zeit denkt, nur mit dem beabsichtigten Benutzer zu kommunizieren.

Was versteht man unter einem „digitalen Zertifikat“?
Bei der Kryptografie mit öffentlichen Schlüsseln muss einer der Schlüssel, der private Schlüssel, geheim gehalten werden. Der andere Schlüssel, der öffentliche Schlüssel, ist dafür vorgesehen, für alle Welt freigegeben zu werden. Für den Eigentümer des Schlüssels muss es jedoch eine Möglichkeit geben, der Welt mitzuteilen, wem der Schlüssel gehört. Dies kann mithilfe von digitalen Zertifikaten geschehen. Ein digitales Zertifikat ist ein elektronischer Berechtigungsnachweis, mit dem die Online-Identitäten von Individuen, Unternehmen und Computern bescheinigt werden. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit dazugehörigen Informationen verpackt ist: wer ihn besitzt, wofür er verwendet werden kann, wann er abläuft und so weiter.

Wie bereite ich für diese Veröffentlichung vor?
Im Abschnitt Empfohlene Maßnahmen finden Sie eine Liste von Maßnahmen, die in Vorbereitung auf die Bereitstellung dieses Updates durchzuführen sind.

Wann veröffentlicht Microsoft dieses Update auf Microsoft Update ?
Microsoft plant, dieses Update im Oktober 2012 über Microsoft Update zu veröffentlichen.

Was bewirkt das Update KB2661254?
Das Update KB2661254 erfordert auf allen unterstützten Versionen von Microsoft Windows, dass Zertifikate mit RSA-Schlüsseln von 1024 Bit Länge oder länger verwendet werden. Zertifikate, die andere kryptografische Algorithmen als RSA verwenden, sind nicht von diesem Update betroffen. Microsoft-Produkte oder Produkte von Drittanbietern, die die Funktion CertGetCertificateChain aufrufen, betrachten Zertifikate mit RSA-Schlüsseln von weniger als 1024 Bit Länge nicht mehr als vertrauenswürdig. Durch diese Funktion wird ein Zertifikat-Chain-Kontext erstellt, der beim Endzertifikat beginnt und zurückgeht, wenn möglich bis zu einem vertrauenswürdigen Stammzertifikat. Wenn die Kette überprüft wird, wird jedes Zertifikat in der Kette geprüft, um sicherzustellen, dass der RSA-Schlüssel mindestens 1024 Bit lang ist. Wenn ein beliebiges Zertifikat in der Kette einen RSA-Schlüssel von weniger als 1024 Bit Länge hat, wird das Endzertifikat als nicht vertrauenswürdig betrachtet.

Außerdem kann das Update so konfiguriert werden, dass protokolliert wird, wenn Zertifikate von dem Update blockiert werden. Weitere Informationen bezüglich des Aktivierens dieser Protokollierungsfunktion finden Sie im Abschnitt Empfohlene Maßnahmen dieser Empfehlung. Eine vollständige Liste von Szenarien, wie dieses Update die Verwendung von RSA-Schlüsseln von weniger als 1024 Bit Länge blockiert, finden Sie im Microsoft Knowledge Base-Artikel 2661254.

Gilt dieses Update für Windows 8 Release Preview bzw. Windows Server 2012 Release Candidate ?
Nein. Dieses Update gilt nicht für Windows 8 Release Preview oder Windows Server 2012 Release Candidate, da diese Betriebssysteme bereits über die Funktionalität verfügen, Zertifikate mit RSA-Schlüsseln von 1024 Bit Länge oder länger zu fordern.

Was ist, wenn ich ein Zertifikat mit einem RSA-Schlüssel von weniger als 1024 Bit Länge finde ?
Benutzer, die in ihren Umgebungen Zertifikate identifizieren, deren RSA-Schlüssel weniger als 1024 Bit umfassen, müssen längere Zertifikate von ihrer Zertifizierungsstelle anfordern. Benutzer, die ihre eigenen PKI-Umgebungen verwalten, müssen neue, längere Schlüsselpaare erstellen und au s diesen neuen Schlüsseln neue Zertifikate ausgeben. Benutzer sollten die Verwendung einer ausreichenden Schlüssellänge evaluieren, die ihren Anforderungen an die Datenverschlüsselung entsprechen, die wiederum das für dieses Update erforderliche Minimum überschreiten kann.

Was ist eine Zertifizierungsstelle (CA)?
Eine Zertifizierungsstelle (CA) ist dafür verantwortlich, die Identität von Benutzern, Computern und Unternehmen zu beurkunden. Die Zertifizierungsstelle authentifiziert eine Entität und verbürgt sich für deren Identität, indem sie ein digital signiertes Zertifikat ausgibt. Die Zertifizierungsstelle kann Zertifikate auch verwalten, widerrufen und erneuern.

Eine Zertifizierungsstelle kann sich auf Folgendes beziehen:

  • Ein Unternehmen, das sich für die Identität eines Endbenutzers verbürgt
  • Ein Server, der von dem Unternehmen zum Veröffentlichen und Verwalten von Zertifikaten verwendet wird

Für alle unterstützten Versionen von Microsoft Windows

Die meisten Benutzer haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die das Update KB2661254 manuell installieren möchten, empfiehlt Microsoft, das Update herunterzuladen und die Auswirkung der Anforderung zu beurteilen, Zertifikate mit RSA-Schlüsseln von 1024 Bit oder länger zu verwenden. Downloadadressen für die Updatepakete finden Sie im Microsoft Knowledge Base-Artikel 2661254. Sie können auch im Microsoft Update-Katalog nach den Updatepaketen suchen.

Administratoren und Unternehmensinstallationen sollten ihre Umgebung auf die Existenz von Zertifikaten mit RSA-Schlüsseln prüfen, die weniger als 1024-Bit umfassen, und sollen diese Zertifikate erneut ausgeben. Weitere Informationen zu Anwendungen und Diensten, auf die dieses Update Auswirkungen hat, finden Sie im Microsoft Knowledge Base-Artikel 2661254.

Benutzer, die vor dem 9. Oktober 2012 das ursprüngliche Update KB2661254 installiert haben, müssen die erneut veröffentlichten Updatepakete installieren, um das in der Microsoft-Sicherheitsempfehlung 2749655 beschriebene Problem mit digitalen Zertifikaten vermeiden. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) der Empfehlung.

Zusätzlich empfohlene Handlungen

  • Identifizieren von Zertifikaten mit RSA-Schlüssellängen von weniger als 1024 Bit, die im Unternehmen verwendet werden

    Ausführliche Anweisungen für die Suche nach RSA-Zertifikate, die derzeit im Unternehmen verwendet werden, finden Sie im Microsoft Knowledge Base-Artikel 2661254.

  • Untersuchen von Microsoft Knowledge Base-Artikel 2661254 auf Szenarien, wenn dieses Update Zertifikate blockiert

    Untersuchen Sie Microsoft Knowledge Base-Artikel 2661254 auf eine Liste von Szenarien, wenn dieses Update Zertifikate mit RSA-Schlüsseln von weniger als 1024 Bit Länge blockiert.

  • Aktivieren der Zertifikatprotokollierung, um die Verwendung von RSA-Schlüsseln von weniger als 1024 Bit Länge zu identifizieren

    Standardmäßig ist die Protokollierung nicht aktiviert. Die Protokollierung kann aktiviert werden, um die Verwendung von RSA-Schlüsseln von weniger als 1024 Bit Länge zu identifizieren, indem das Protokollierungsverzeichnis in der Registrierung eingestellt wird.

    Warnung: Eine fehlerhafte Verwendung des Registrierungs-Editors kann unter Umständen ernste Probleme verursachen, die eine erneute Installation des Betriebssystems erfordern können. Microsoft übernimmt keine Garantie dafür, dass Sie Probleme lösen können, die auf das fehlerhafte Verwenden des Registrierungs-Editors zurückzuführen sind. Verwenden Sie den Registrierungs-Editor auf eigenes Risiko.

    Windows Registrierungs-Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config]
    " WeakSignatureLogDir"

    Diese Registrierungsdatei kann auf die einzelnen Systeme angewendet werden, indem Sie darauf doppelklicken. Sie kann zudem mithilfe von Gruppenrichtlinien domänenübergreifend installiert werden. Weitere Informationen zu Gruppenrichtlinien finden Sie in Wichtigste Gruppenrichtlinientools und -einstellungen.

    Auswirkung der Problemumgehung: Das Aktivieren der Protokollierung in einem Produktionssystem kann zu Leistungsproblemen führen und sollte vorsichtig verwendet werden. Dem Verzeichnis, für das die Protokollierung aktiviert ist, sollte besonderes Augenmerk gewidmet werden, um zu vermeiden, dass der Datenträger sich füllt. Dieses Verzeichnis muss auch so konfiguriert werden, dass alle entsprechenden Systeme an diesen Speicherort schreiben können. Benutzer dürfen anonymen Benutzern nie erlauben, auf Freigaben innerhalb des Unternehmens zu schreiben.

  • Schützen Sie Ihren PC

    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Weitere Informationen finden Sie im Microsoft-Sicherheitscenter.

  • Halten Sie Microsoft-Software auf dem neuesten Stand

    Benutzer, die Microsoft-Software ausführen, sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie automatisches Aktualisieren aktiviert und darauf konfiguriert haben, Updates für Microsoft-Produkte bereitzustellen, werden Ihnen die Updates geliefert, sobald sie veröffentlicht werden. Sie sollten aber überprüfen, ob sie installiert sind.

Weitere Informationen:

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

  • Technischer Support ist über den Security Support erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
  • Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der Website Internationale Hilfe und Support.
  • Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (14. August 2012): Die Empfehlung wurde veröffentlicht.
  • V1.1 (14. August 2012): Die Kurzzusammenfassung wurde korrigiert, um zu erläutern, dass Benutzer nach dem Installieren dieses Updates Zertifikate mit RSA-Schlüssen von mindestens 1024 Bit Länge verwenden müssen.
  • V1.2 (11. September 2012): Erläutert, dass dieses Update möglicherweise Auswirkungen auf Anwendungen und Dienste hat, die RSA-Schlüssel für die Kryptografie verwenden und die Funktion CertGetCertificateChain aufrufen. Zu diesen Anwendungen und Diensten zählen beispielsweise verschlüsselte E-Mails, SSL/TLS-Verschlüsselungskanäle, signierte Anwendungen und private PKI-Umgebungen.
  • V2.0 (9. Oktober 2012): Die Empfehlung wurde überarbeitet, um das Update KB2661254 für Windows XP erneut zu veröffentlichen und um anzukündigen, dass das Update KB2661254 für alle unterstützten Versionen von Microsoft Windows jetzt durch die automatische Aktualisierung angeboten wird. Endbenutzer, die das Update KB2661254 bereits installiert haben, müssen keine Maßnahmen ergreifen. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zu dieser Empfehlung.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2015 Microsoft