Sicherheitsempfehlung

Microsoft Security Advisory 2854544

Updates zur Verbesserung der Kryptografie- und digitalen Zertifikatbehandlung in Windows

Veröffentlicht: 11. Juni 2013 | Aktualisiert: 12. November 2013

Version: 1.3

Allgemeine Informationen

Kurzfassung

Microsoft kündigt die Verfügbarkeit von Updates im Rahmen laufender Anstrengungen zur Verbesserung der Kryptografie- und digitalen Zertifikatbehandlung in Windows an. Microsoft wird weiterhin zusätzliche Updates über diese Empfehlung ankündigen, die darauf abzielen, die Windows-Kryptografie- und Zertifikatbehandlungsinfrastruktur als Reaktion auf eine sich entwickelnde Bedrohungsumgebung zu stärken.

Verfügbare Updates und Versionshinweise

Das update veröffentlicht am 12. November 2013:

• Microsoft hat ein Update (2868725) für alle unterstützten Editionen von Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT veröffentlicht, um bekannte Schwachstellen in RC4 zu beheben. Das Update wird über die automatische Aktualisierung und über den Microsoft Update-Dienst für alle betroffenen Software angeboten. Das Update ist auch im Download Center sowie im Microsoft Update-Katalog für alle betroffenen Software mit Ausnahme von Windows RT verfügbar. Das Update unterstützt das Entfernen von RC4 als verfügbare Verschlüsselung für betroffene Systeme über Registrierungseinstellungen. Außerdem können Entwickler RC4 in einzelnen Anwendungen über die Verwendung des SCH_USE_STRONG_CRYPTO Flags in der SCHANNEL_CRED-Struktur entfernen. Diese Optionen sind standardmäßig nicht aktiviert. Nach dem Anwenden des Updates empfiehlt Microsoft Kunden, vor der Implementierung in ihren Umgebungen alle neuen Einstellungen zum Deaktivieren von RC4 zu testen. Weitere Informationen finden Sie unter Microsoft Security Advisory 2868725.
• Microsoft kündigte eine Richtlinienänderung an das Microsoft-Stammzertifikatprogramm für die Deaktivierung des SHA-1-Hashing-Algorithmus in digitalen X.509-Zertifikaten an. Die neue Richtlinie ermöglicht es Stammzertifizierungsstellen nicht mehr, X.509-Zertifikate mithilfe des SHA-1-Hashing-Algorithmus für die Zwecke der SSL- und Codesignatur nach dem 1. Januar 2016 auszustellen. Microsoft empfiehlt Kunden, ihre SHA-1-Zertifikate frühestens durch SHA-2-Zertifikate zu ersetzen. Weitere Informationen finden Sie unter Microsoft Security Advisory 2880823.

Die am 13. August 2013 veröffentlichten Updates:

• Microsoft hat ein Update (2862966) für alle unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT veröffentlicht. Das Update wird über die automatische Aktualisierung und über den Microsoft Update-Dienst für alle betroffenen Software angeboten. Das Update ist auch im Download Center sowie im Microsoft Update-Katalog für alle betroffenen Software mit Ausnahme von Windows RT verfügbar. Das Update bietet ein Framework zur Verbesserung der Verwaltung von Zertifikaten, die bestimmte Kryptografie- und Hashingalgorithmen in Microsoft Windows verwenden. Dieses Update schränkt die Verwendung von Zertifikaten nicht allein ein, kann jedoch eine Voraussetzung für spätere Updates sein, die die Verwendung von Zertifikaten einschränken. Weitere Informationen und für derzeit bekannte Probleme, die Kunden bei der Installation dieses Updates auftreten können, finden Sie im Microsoft Knowledge Base-Artikel 2862966.
• Microsoft hat ein Update (2862973) für alle unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT veröffentlicht. Zu diesem Zeitpunkt ist das Update nur über das Download Center und den Microsoft Update-Katalog für alle betroffenen Software mit Ausnahme von Windows RT verfügbar. Das Update schränkt die Verwendung von Zertifikaten mit MD5-Hashes ein. Weitere Informationen finden Sie unter Microsoft Security Advisory 2862973. Das 2862966 Update ist eine Voraussetzung für dieses Update.

Das update veröffentlicht am 11. Juni 2013:

• Microsoft hat ein Update (2813430) für alle unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 und Windows RT veröffentlicht. Das Update ist im Download Center sowie im Microsoft Update-Katalog für alle betroffenen Software mit Ausnahme von Windows RT verfügbar. Sie wird auch über die automatische Aktualisierung und über den Microsoft Update-Dienst angeboten. Das Update für Windows RT ist über Windows Update verfügbar. Mit dem Update können Administratoren vertrauenswürdige und unzulässige CTLs aktualisieren, ohne Zugriff auf die Windows Update-Website zu haben. Weitere Informationen finden Sie im Microsoft Knowledge Base-Artikel 2813430.

Häufig gestellte Fragen

Was ist eine Zertifikatvertrauensliste (Certificate Trust List, CTL)?
Eine Vertrauensstellung muss zwischen dem Empfänger einer signierten Nachricht und dem Signierer der Nachricht vorhanden sein. Eine Methode zur Einrichtung dieses Vertrauens ist ein Zertifikat, ein elektronisches Dokument, das überprüft, ob Entitäten oder Personen sind, die sie sein wollen. Ein Zertifikat wird von einem Drittanbieter an eine Entität ausgestellt, die von beiden anderen Parteien als vertrauenswürdig eingestuft wird. Daher entscheidet jeder Empfänger einer signierten Nachricht, ob der Aussteller des Zertifikats des Signierers vertrauenswürdig ist. CryptoAPI hat eine Methodik implementiert, mit der Anwendungsentwickler Anwendungen erstellen können, die Zertifikate automatisch anhand einer vordefinierten Liste von vertrauenswürdigen Zertifikaten oder Wurzeln überprüfen. Diese Liste der vertrauenswürdigen Entitäten (als Themen bezeichnet) wird als Zertifikatvertrauensliste (Certificate Trust List, CTL) bezeichnet. Weitere Informationen finden Sie im MSDN-Artikel " Zertifikatvertrauensüberprüfung.For more information, please see the MSDN article, Certificate Trust Verification.

Was ist ein digitales Zertifikat?
In der Kryptografie für öffentliche Schlüssel muss einer der Schlüssel, der als privater Schlüssel bezeichnet wird, geheim gehalten werden. Der andere Schlüssel, der als öffentlicher Schlüssel bezeichnet wird, soll mit der Welt geteilt werden. Es muss jedoch eine Möglichkeit für den Besitzer des Schlüssels geben, um der Welt mitzuteilen, zu wem der Schlüssel gehört. Digitale Zertifikate bieten hierfür eine Möglichkeit. Ein digitales Zertifikat ist eine elektronische Anmeldeinformation, die verwendet wird, um die Onlineidentitäten von Einzelpersonen, Organisationen und Computern zu zertifizieren. Digitale Zertifikate enthalten einen öffentlichen Schlüssel, der zusammen mit Informationen darüber verpackt ist – wer besitzt ihn, wofür es verwendet werden kann, wann er abläuft usw.

Was ist der Zweck eines digitalen Zertifikats?
Digitale Zertifikate werden hauptsächlich verwendet, um die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise müssen Sie nicht über Zertifikate nachdenken. Möglicherweise wird ihnen jedoch eine Meldung angezeigt, die besagt, dass ein Zertifikat abgelaufen oder ungültig ist. In solchen Fällen sollten Sie die Anweisungen in der Nachricht befolgen.

Was ist eine Zertifizierungsstelle (CA)?
Zertifizierungsstellen sind die Organisationen, die Zertifikate ausstellen. Sie richten die Echtheit öffentlicher Schlüssel ein, die personen oder anderen Zertifizierungsstellen angehören, und überprüfen die Identität einer Person oder Organisation, die ein Zertifikat anfragt.

Sonstige Informationen

Feedback

• Sie können Feedback senden, indem Sie das Microsoft-Hilfe- und Supportformular ausfüllen, den Kundendienst kontaktieren Sie uns.

Unterstützung

• Kunden im USA und Kanada können technischen Support vom Sicherheitssupport erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie unter Microsoft-Hilfe und -Support.
• Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie unter "Internationaler Support".
• Microsoft TechNet Security bietet zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.

Haftungsausschluss

Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

• V1.0 (11. Juni 2013): Empfehlung veröffentlicht.
• V1.1 (13. August 2013): Die 2862966 und 2862973 Updates wurden dem Abschnitt "Verfügbare Updates und Versionshinweise " hinzugefügt.
• V1.2 (27. August 2013): Überarbeitete Empfehlung, um ankündigen zu können, dass das 2862973 Update aus dem Microsoft Update-Katalog verfügbar ist.
• V1.3 (12. November 2013): Die Ankündigung der 2868725 Update- und Stammzertifikatsrichtlinien wurde dem Abschnitt "Verfügbare Updates und Versionshinweise " hinzugefügt.

Gebaut am 2014-04-18T13:49:36Z-07:00