• 아티클

보안 권고

Microsoft 보안 권고 2854544

Windows에서 암호화 및 디지털 인증서 처리를 개선하는 업데이트

게시 날짜: 2013년 6월 11일 | 업데이트: 2013년 11월 12일

버전: 1.3

일반 정보

요약

Microsoft는 Windows에서 암호화 및 디지털 인증서 처리를 개선하기 위한 지속적인 노력의 일환으로 업데이트 가용성을 발표하고 있습니다. Microsoft는 진화하는 위협 환경에 대응하여 Windows 암호화 및 인증서 처리 인프라를 강화하기 위한 이 권고를 통해 추가 업데이트를 계속 발표할 예정입니다.

사용 가능한 업데이트 및 릴리스 정보

2013년 11월 12일에 릴리스된 업데이트:

  • Microsoft는 RC4의 알려진 약점을 해결하기 위해 Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 및 Windows RT의 지원되는 모든 버전에 대한 업데이트(2868725)를 릴리스했습니다. 업데이트는 자동 업데이트 및 영향을 받는 모든 소프트웨어에 대한 Microsoft 업데이트 서비스를 통해 제공됩니다. 업데이트는 Windows RT를 제외한 영향을 받는 모든 소프트웨어에 대한 다운로드 센터Microsoft 업데이트 카탈로그 에서도 사용할 수 있습니다. 이 업데이트는 레지스트리 설정을 통해 영향을 받는 시스템에서 사용 가능한 암호로 RC4를 제거할 수 있도록 지원합니다. 또한 개발자는 SCHANNEL_CRED 구조에서 SCH_USE_STRONG_CRYPTO 플래그를 사용하여 개별 애플리케이션에서 RC4를 제거할 수 있습니다. 이러한 옵션은 기본적으로 사용하도록 설정되지 않습니다. 업데이트를 적용한 후에는 고객이 환경에서 RC4를 구현하기 전에 RC4를 사용하지 않도록 설정하는 새 설정을 테스트하는 것이 좋습니다. 자세한 내용은 Microsoft 보안 권고 2868725 참조하세요.
  • Microsoft는 X.509 디지털 인증서에서 SHA-1 해시 알고리즘의 사용 중단을 위해 Microsoft 루트 인증서 프로그램에 대한 정책 변경을 발표했습니다. 새 정책은 더 이상 루트 인증 기관이 2016년 1월 1일 이후에 SSL 및 코드 서명을 위해 SHA-1 해시 알고리즘을 사용하여 X.509 인증서를 발급하는 것을 허용하지 않습니다. 고객은 SHA-1 인증서를 최대한 빠른 시일 내 SHA-2 인증서로 교체하는 것이 좋습니다. 자세한 내용은 Microsoft 보안 권고 2880823 참조하세요.

2013년 8월 13일에 릴리스된 업데이트:

2013년 6월 11일에 릴리스된 업데이트:

질문과 대답

CTL(인증서 신뢰 목록)이란?
서명된 메시지의 받는 사람과 메시지 서명자 사이에 트러스트가 있어야 합니다. 이 신뢰를 설정하는 한 가지 방법은 인증서를 통해 엔터티 또는 사람이 자신이 주장하는 사람인지 확인하는 전자 문서입니다. 인증서는 다른 당사자가 신뢰하는 타사에 의해 엔터티에 발급됩니다. 따라서 서명된 메시지의 각 수신자는 서명자의 인증서 발급자를 신뢰할 수 있는지 여부를 결정합니다. CryptoAPI는 애플리케이션 개발자가 미리 정의된 신뢰할 수 있는 인증서 또는 루트 목록에 대해 인증서를 자동으로 확인하는 애플리케이션을 만들 수 있도록 하는 방법론을 구현했습니다. 신뢰할 수 있는 엔터티 목록(주체라고 함)을 CTL(인증서 신뢰 목록)이라고 합니다. 자세한 내용은 MSDN 문서인 인증서 신뢰 확인을 참조하세요.

디지털 인증서란?
공개 키 암호화에서는 프라이빗 키라고 하는 키 중 하나를 비밀로 유지해야 합니다. 공개 키라고 하는 다른 키는 전 세계와 공유될 예정입니다. 그러나 키 소유자가 키가 속한 사람을 전 세계에 알릴 수 있는 방법이 있어야 합니다. 디지털 인증서는 이 작업을 수행하는 방법을 제공합니다. 디지털 인증서는 개인, 조직 및 컴퓨터의 온라인 ID를 인증하는 데 사용되는 전자 자격 증명입니다. 디지털 인증서에는 해당 인증서를 소유한 사람, 사용할 수 있는 항목, 만료되는 경우 등에 대한 정보와 함께 패키지된 공개 키가 포함되어 있습니다.

디지털 인증서의 용도는 무엇인가요?
디지털 인증서는 주로 개인 또는 디바이스의 ID를 확인하거나 서비스를 인증하거나 파일을 암호화하는 데 사용됩니다. 일반적으로 인증서에 대해 전혀 생각할 필요가 없습니다. 그러나 인증서가 만료되었거나 잘못되었다는 메시지가 표시될 수 있습니다. 이러한 경우 메시지의 지침을 따라야 합니다.

CA(인증 기관)란?
인증 기관은 인증서를 발급하는 조직입니다. 사용자 또는 다른 인증 기관에 속하는 공개 키의 신뢰성을 설정하고 확인하며 인증서를 요청하는 개인 또는 조직의 ID를 확인합니다.

기타 정보

Feedback

지원

  • 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 사용 가능한 지원 옵션에 대한 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
  • 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. Microsoft에 국제 지원 문제를 문의하는 방법에 대한 자세한 내용은 국제 지원을 방문하세요.
  • Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.

부인

이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.

수정 내용

  • V1.0(2013년 6월 11일): 권고가 게시되었습니다.
  • V1.1(2013년 8월 13일): 사용 가능한 업데이트 및 릴리스 정보 섹션에 2862966 및 2862973 업데이트가 추가되었습니다.
  • V1.2(2013년 8월 27일): Microsoft 업데이트 카탈로그에서 2862973 업데이트를 사용할 수 있음을 알리는 권고가 수정되었습니다.
  • V1.3(2013년 11월 12일): 사용 가능한 업데이트 및 릴리스 정보 섹션에 2868725 업데이트 및 루트 인증서 정책 공지 사항을 추가했습니다.

2014-04-18T13:49:36Z-07:00에 빌드