Sicherheitsempfehlung
Microsoft Security Advisory 2661254
Update für minimale Länge des Zertifikatschlüssels
Veröffentlicht: 14. August 2012 | Aktualisiert: 09. Oktober 2012
Version: 2.0
Allgemeine Informationen
Kurzfassung
Microsoft kündigt die Verfügbarkeit eines Updates für Windows an, das die Verwendung von Zertifikaten mit RSA-Schlüsseln unter 1024 Bit länge einschränkt. Die in diesen Zertifikaten verwendeten privaten Schlüssel können abgeleitet werden und es einem Angreifer ermöglichen, die Zertifikate zu duplizieren und sie betrügerisch zu spoofen, Phishingangriffen durchzuführen oder Man-in-the-Middle-Angriffe auszuführen.
Beachten Sie , dass sich dieses Update auf Anwendungen und Dienste auswirkt, die RSA-Schlüssel für Kryptografie verwenden und die CertGetCertificateChain-Funktion aufrufen. Diese Anwendungen und Dienste vertrauen nicht mehr Zertifikaten mit RSA-Schlüsseln, die weniger als 1024 Bit lang sind. Beispiele für betroffene Anwendungen und Dienste sind unter anderem verschlüsselte E-Mails, SSL/TLS-Verschlüsselungskanäle, signierte Anwendungen und private PKI-Umgebungen. Zertifikate, die andere Kryptografiealgorithmen als RSA verwenden, sind von diesem Update nicht betroffen. Weitere Informationen zu Anwendungen und Diensten, die von diesem Update betroffen sind, finden Sie im Microsoft Knowledge Base-Artikel 2661254.
Das Update ist im Download Center sowie im Microsoft Update-Katalog für alle unterstützten Versionen von Microsoft Windows verfügbar. Darüber hinaus wird dieses Update ab dem 9. Oktober 2012 über die automatische Aktualisierung und über den Microsoft Update-Dienst angeboten.
Empfehlung Microsoft empfiehlt Kunden, das Update frühestens anzuwenden. Weitere Informationen finden Sie im Abschnitt "Vorgeschlagene Aktionen " dieser Empfehlung.
Bekannte Probleme.Microsoft Knowledge Base-Artikel 2661254 dokumentiert die derzeit bekannten Probleme, die Kunden bei der Installation dieses Updates auftreten können. Der Artikel dokumentiert auch empfohlene Lösungen für diese Probleme.
Beratungsdetails
Problemverweise
Weitere Informationen zu diesem Problem finden Sie in den folgenden Verweisen:
| References | Identifikation |
|---|---|
| Microsoft Knowledge Base-Artikel | 2661254 |
Betroffene Software und Geräte
In dieser Empfehlung wird die folgende Software erläutert.
| Betriebssystem |
|---|
| Windows XP Service Pack 3 |
| Windows XP Professional x64 Edition Service Pack 2 |
| Windows Server 2003 Service Pack 2 |
| Windows Server 2003 x64 Edition Service Pack 2 |
| Windows Server 2003 mit SP2 für Itanium-basierte Systeme |
| Windows Vista Service Pack 2 |
| Windows Vista x64 Edition Service Pack 2 |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 |
| Windows Server 2008 für Itanium-basierte Systeme Service Pack 2 |
| Windows 7 für 32-Bit-Systeme und Windows 7 für 32-Bit-Systeme Service Pack 1 |
| Windows 7 für x64-basierte Systeme und Windows 7 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für x64-basierte Systeme und Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 |
| Windows Server 2008 R2 für Itanium-basierte Systeme und Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1 |
| Server Core-Installationsoption |
| Windows Server 2008 für 32-Bit-Systeme Service Pack 2 (Server Core-Installation) |
| Windows Server 2008 für x64-basierte Systeme Service Pack 2 (Server Core-Installation) |
| Windows Server 2008 R2 für x64-basierte Systeme und Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1 (Server Core-Installation) |
Häufig gestellte Fragen
Warum wurde diese Empfehlung am 9. Oktober 2012 überarbeitet?
Microsoft hat diese Empfehlung aus den folgenden Gründen überarbeitet:
- Um das KB2661254 Update für Windows XP erneut zu aktualisieren, um ein Problem mit bestimmten digitalen Zertifikaten zu beheben, die von Microsoft ohne ordnungsgemäße Zeitstempelattribute generiert wurden. Weitere Informationen zu diesem Problem finden Sie in der Microsoft-Sicherheitsempfehlung (2749655). Kunden, die dieses Update bereits erfolgreich auf ihren Windows XP-Systemen installiert haben, müssen keine Maßnahmen ergreifen. Darüber hinaus werden Kunden dieses Update nicht erneut aufwenden, wenn es bereits auf ihren Systemen installiert ist. Das releasierte Update gilt nur für Windows XP-Systeme, die dieses Update noch nicht installiert haben.
- Um anzukündigen, dass das KB2661254 Update für alle unterstützten Versionen von Microsoft Windows jetzt über die automatische Aktualisierung angeboten wird.
Warum wurde diese Empfehlung am 11. September 2012 überarbeitet?
Microsoft hat diese Empfehlung überarbeitet, um zu verdeutlichen, dass Anwendungen und Dienste, die RSA-Schlüssel für Kryptografie verwenden und die CertGetCertificateChain-Funktion aufrufen, von diesem Update betroffen sein könnten. Beispiele für diese Anwendungen und Dienste sind unter anderem verschlüsselte E-Mails, SSL/TLS-Verschlüsselungskanäle, signierte Anwendungen und private PKI-Umgebungen.
Weitere Informationen zu den möglichen Auswirkungen auf Kunden und bekannte Probleme, die kunden beim Installieren dieses Updates auftreten können, finden Sie im Microsoft Knowledge Base-Artikel 2661254.
Was ist der Umfang der Beratung?
Dieser Hinweis besteht darin, Kunden darüber zu informieren, dass ein Update für alle unterstützten Versionen von Microsoft Windows verfügbar ist, für die Zertifikate rsa-Schlüssel enthalten müssen, die größer oder gleich 1024 Bit sind. Zertifikate mit RSA-Schlüsseln, die weniger als 1024 Bit umfassen, können in kurzer Zeit abgeleitet werden und es einem Angreifer ermöglichen, die Zertifikate zu duplizieren und sie betrügerisch zu spoofen, Phishingangriffen durchzuführen oder Man-in-the-Middle-Angriffe auszuführen. Dieses Update wird vollständig getestet und ist von ausreichender Qualität für die Veröffentlichung. Das Update wurde im Download Center veröffentlicht, um Kunden die Bewertung ihrer Umgebung zu ermöglichen und die Möglichkeit zu bieten, die erforderlichen Zertifikate vor der umfassenderen Verteilung über Microsoft Update erneut auszustellen.
Wie kann ein Angreifer Zertifikate betrügerisch verwenden?
Ein Angreifer könnte das Zertifikat duplizieren und es verwenden, um betrügerische Inhalte zu spoofen, Phishingangriffe durchzuführen oder Man-in-the-Middle-Angriffe auszuführen.
Wie kann ein Angreifer ein Zertifikat duplizieren?
Ein digitales Zertifikat kann nur von der Person erstellt werden, die über den privaten Schlüssel des Zertifikats verfügt. Ein Angreifer kann versuchen, den privaten Schlüssel zu erraten und mathematische Techniken zu verwenden, um festzustellen, ob eine Vermutung korrekt ist. Die Schwierigkeit, den privaten Schlüssel erfolgreich zu erraten, ist proportional zur Anzahl der im Schlüssel verwendeten Bits. Je größer der Schlüssel ist, desto länger dauert es also, bis ein Angreifer den privaten Schlüssel erraten kann. Bei Verwendung moderner Hardware können Schlüssel mit weniger als 1024 Bit in kurzer Zeit erfolgreich erraten werden. Sobald der Angreifer den privaten Schlüssel erfolgreich erraten hat, kann der Angreifer das Zertifikat duplizieren und es betrügerisch verwenden, um Inhalte zu spoofen, Phishingangriffen durchzuführen oder Man-in-the-Middle-Angriffe auszuführen.
Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern über den Computer des Angreifers umleiten kann, ohne dass die beiden kommunizierenden Benutzer wissen. Jeder Benutzer in der Kommunikation sendet unwissentlich Datenverkehr an und empfängt Datenverkehr vom Angreifer, während er denkt, dass er nur mit dem beabsichtigten Benutzer kommuniziert.
Was ist ein digitales Zertifikat?
In der Kryptografie für öffentliche Schlüssel muss einer der Schlüssel, der als privater Schlüssel bezeichnet wird, geheim gehalten werden. Der andere Schlüssel, der als öffentlicher Schlüssel bezeichnet wird, soll mit der Welt geteilt werden. Es muss jedoch eine Möglichkeit für den Besitzer des Schlüssels geben, um der Welt mitzuteilen, zu wem der Schlüssel gehört. Digitale Zertifikate bieten hierfür eine Möglichkeit. Ein digitales Zertifikat ist eine elektronische Anmeldeinformation, die verwendet wird, um die Onlineidentitäten von Einzelpersonen, Organisationen und Computern zu zertifizieren. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit Informationen darüber verpackt ist – wer besitzt ihn, wofür es verwendet werden kann, wann er abläuft usw.
Gewusst wie auf diese Version vorbereiten?
Im Abschnitt "Vorgeschlagene Aktionen" finden Sie eine Liste der Aktionen, die zur Vorbereitung auf die Bereitstellung dieses Updates ausgeführt werden sollen.
Wann veröffentlicht Microsoft dieses Update auf Microsoft Update?
Microsoft plant, dieses Update über Microsoft Update im Oktober 2012 zu veröffentlichen.
Was geschieht mit dem KB2661254 Update?
Für alle unterstützten Versionen von Microsoft Windows erfordert das KB2661254 Update, dass Zertifikate mit RSA-Schlüsseln die Länge der 1024-Bit-Taste oder höher verwenden. Zertifikate, die andere Kryptografiealgorithmen als RSA verwenden, sind von diesem Update nicht betroffen. Microsoft-Produkte oder Drittanbieterprodukte, die die CertGetCertificateChain-Funktion aufrufen, vertrauen nicht mehr Zertifikaten mit RSA-Schlüsseln, die kleiner als 1024-Bit-Schlüssellängen sind. Diese Funktion erstellt einen Zertifikatkettenkontext, beginnend mit dem Endzertifikat, wenn möglich, zu einem vertrauenswürdigen Stammzertifikat zurück. Wenn die Kette überprüft wird, wird jedes Zertifikat in der Kette überprüft, um sicherzustellen, dass es eine RSA-Schlüssellänge von mindestens 1024 Bit länge hat. Wenn ein Zertifikat in der Kette einen RSA-Schlüssel aufweist, der kleiner als 1024 Bit ist, wird das Endzertifikat nicht als vertrauenswürdig eingestuft.
Darüber hinaus kann das Update so konfiguriert werden, dass es protokolliert wird, wenn Zertifikate durch das Update blockiert werden. Weitere Informationen zum Aktivieren dieses Protokollierungsfeatures finden Sie im Abschnitt "Vorgeschlagene Aktionen " dieser Empfehlung. Eine vollständige Liste der Szenarien, in denen dieses Update die Verwendung von RSA-Schlüsseln unter 1024 Bit blockiert, finden Sie im Microsoft Knowledge Base-Artikel 2661254.
Gilt dieses Update für Windows 8 Release Preview oder Windows Server 2012 Release Candidate?
Nein Dieses Update gilt nicht für Windows 8 Release Preview oder Windows Server 2012 Release Candidate, da diese Betriebssysteme bereits die Funktionalität enthalten, die erfordert, dass Zertifikate mit RSA-Schlüsseln die Länge der 1024-Bit-Taste oder höher verwenden.
Was geschieht, wenn ich ein Zertifikat mit einem RSA-Schlüssel unter 1024 Bit länge finde?
Kunden, die Zertifikate identifizieren, die RSA-Schlüssellängen unter 1024 Bits in ihren Umgebungen verwenden, müssen längere Zertifikate von ihrer Zertifizierungsstelle anfordern. Kunden, die ihre eigenen PKI-Umgebungen verwalten, müssen neue längere Schlüsselpaare erstellen und neue Zertifikate aus diesen neuen Schlüsseln ausstellen. Kunden sollten die Verwendung einer ausreichenden Schlüssellänge bewerten, um ihren Anforderungen für die Datenverschlüsselung zu entsprechen, die das von diesem Update erforderliche Minimum überschreiten können.
Was ist eine Zertifizierungsstelle (CA)?
Eine Zertifizierungsstelle (ZS) beglaubigt die Identität von Benutzern, Computern und Unternehmen. Die ZS authentifiziert eine Entität und bürgt durch die Ausstellung eines digital signierten Zertifikats für diese Entität. ZS können Zertifikate außerdem verwalten, widerrufen und erneuern.
Eine Zertifizierungsstelle kann sich auf Folgendes beziehen:
- Ein Unternehmen, das für die Identität eines Endbenutzers bürgt
- Ein Server, der vom Unternehmen für die Ausstellung und Verwaltung von Zertifikaten verwendet wird
Vorgeschlagene Aktionen
Für unterstützte Versionen von Microsoft Windows
Die meisten Kunden haben die automatische Aktualisierung aktiviert und müssen keine Maßnahmen ergreifen, da dieses Sicherheitsupdate automatisch heruntergeladen und installiert wird. Kunden, die keine automatische Aktualisierung aktiviert haben, müssen nach Updates suchen und dieses Update manuell installieren. Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.
Für Administratoren und Unternehmensinstallationen oder Endbenutzer, die das KB2661254 Update manuell installieren möchten, empfiehlt Microsoft, dass Kunden das Update herunterladen und die Auswirkungen der Notwendigkeit bewerten, dass Zertifikate mit RSA-Schlüsseln die Länge der 1024-Bit-Taste oder höher verwenden. Im Microsoft Knowledge Base-Artikel 2661254 Finden Sie Downloadlinks zu den Updatepaketen oder durchsuchen Sie den Microsoft Update-Katalog nach den Updatepaketen.
Administratoren und Unternehmensinstallationen sollten ihre Umgebung für das Vorhandensein von Zertifikaten mit RSA-Schlüsseln bewerten, die weniger als 1024 Bit lang sind und diese Zertifikate erneut ausstellen. Weitere Informationen zu Anwendungen und Diensten, die von diesem Update betroffen sind, finden Sie im Microsoft Knowledge Base-Artikel 2661254.
Weitere vorgeschlagene Aktionen
Identifizieren von Zertifikaten mit RSA-Schlüssellängen kleiner als 1024 Bits in der Verwendung im Unternehmen
Ausführliche Anweisungen zum Auffinden von RSA-Zertifikaten, die derzeit im Unternehmen verwendet werden, finden Sie im Microsoft Knowledge Base-Artikel 2661254 .
Untersuchen des Microsoft Knowledge Base-Artikels 2661254 für Szenarien, in denen dieses Update Zertifikate blockiert
Überprüfen Sie den Microsoft Knowledge Base-Artikel 2661254 auf eine Liste von Szenarien, in denen dieses Update Zertifikate mit RSA-Schlüsseln blockiert, die kleiner als 1024 Bit sind.
Aktivieren der Zertifikatprotokollierung zur Identifizierung der Verwendung von RSA-Schlüsseln unter 1024 Bit länge
Standardmäßig ist die Protokollierung nicht aktiviert. Die Protokollierung kann aktiviert werden, um die Verwendung von RSA-Schlüsseln zu identifizieren, die weniger als 1024 Bit lang sind, indem sie das Protokollierungsverzeichnis in der Registrierung festlegen.
Warnung , wenn Sie den Registrierungs-Editor falsch verwenden, können schwerwiegende Probleme auftreten, die möglicherweise erfordern, dass Sie Ihr Betriebssystem neu installieren müssen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Sie verwenden den Registrierungs-Editor auf eigene Verantwortung.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config] " WeakSignatureLogDir"Sie können diese .reg Datei auf einzelne Systeme anwenden, indem Sie darauf doppelklicken. Sie können sie auch mithilfe von Gruppenrichtlinien anwenden Standard. Weitere Informationen zu Gruppenrichtlinien finden Sie unter "Kerngruppenrichtlinientools und Einstellungen".
Auswirkungen der Problemumgehung: Das Aktivieren der Protokollierung bei einem Produktionssystem kann Leistungsprobleme verursachen und sollte mit Vorsicht verwendet werden. Besondere Aufmerksamkeit sollte dem Verzeichnis gegeben werden, bei dem die Protokollierung aktiviert ist, um das Füllen des Volumes zu vermeiden. Dieses Verzeichnis muss auch so konfiguriert werden, dass alle geeigneten Systeme an diesen Speicherort schreiben können. Kunden sollten anonymen Benutzern niemals erlauben, in Freigaben innerhalb der Organisation zu schreiben.
Schützen Ihres PCs
Wir ermutigen Kunden weiterhin, unseren Richtlinien zum Schutz Ihres Computers zu folgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Weitere Informationen finden Sie unter Microsoft Tresor ty & Security Center.
Aktualisieren der Microsoft-Software
Benutzer, die Microsoft-Software ausführen, sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie Microsoft Update, scannen Sie Ihren Computer auf verfügbare Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie die automatische Aktualisierung aktiviert und für die Bereitstellung von Updates für Microsoft-Produkte konfiguriert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie sollten überprüfen, ob sie installiert sind.
Sonstige Informationen
Feedback
- Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.
Unterstützung
- Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie unter Microsoft-Hilfe und -Support.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie unter "Internationaler Support".
- Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (14. August 2012): Empfehlung veröffentlicht.
- V1.1 (14. August 2012): Die Zusammenfassung wurde korrigiert, um zu verdeutlichen, dass Kunden nach der Anwendung dieses Updates Zertifikate mit RSA-Schlüsseln verwenden müssen, die größer oder gleich 1024 Bit sind.
- V1.2 (11. September 2012): Es wurde klargestellt, dass Anwendungen und Dienste, die RSA-Schlüssel für Kryptografie verwenden und die CertGetCertificateChain-Funktion aufrufen, von diesem Update betroffen sein könnten. Beispiele für diese Anwendungen und Dienste sind unter anderem verschlüsselte E-Mails, SSL/TLS-Verschlüsselungskanäle, signierte Anwendungen und private PKI-Umgebungen.
- V2.0 (9. Oktober 2012): Überarbeitete Empfehlung zum erneuten Erneuten Aktualisieren des KB2661254 Updates für Windows XP und zur Ankündigung, dass das KB2661254 Update für alle unterstützten Versionen von Microsoft Windows jetzt über automatische Updates angeboten wird. Kunden, die zuvor das KB2661254 Update angewendet haben, müssen keine Maßnahmen ergreifen. Weitere Informationen finden Sie in den häufig gestellten Fragen zur Beratung.
Gebaut am 2014-04-18T13:49:36Z-07:00