Microsoft Security Advisory 2949927
Windows 7 和 Windows Server 2008 R2 的 SHA-2 哈希演算法可用性
發佈時間: 2014 年 10 月 14 日 |更新日期:2014 年 10 月 17 日
版本: 2.0
一般資訊
執行摘要
Microsoft 宣佈推出所有支援的 Windows 7 和 Windows Server 2008 R2 版本更新,以新增對 SHA-2 簽署和驗證功能的支援。 Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 和 Windows RT 8.1 不需要此更新,因為 SHA-2 簽署和驗證功能已包含在這些操作系統中。 此更新不適用於 Windows Server 2003、Windows Vista 或 Windows Server 2008。
建議。 已啟用自動更新並設定為在線檢查 Microsoft Update 更新的客戶通常不需要採取任何動作,因為會自動下載並安裝此安全性更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871。
對於系統管理員和企業安裝,或想要手動安裝此安全性更新的使用者(包括未啟用自動更新的客戶),Microsoft 建議客戶儘早使用更新管理軟體套用更新,或使用 Microsoft Update 服務檢查更新。 更新也可透過此諮詢中 受影響軟體 數據表中的下載連結取得。
諮詢詳細數據
問題參考
如需此問題的詳細資訊,請參閱下列參考:
| 參考 | 識別 |
|---|---|
| Microsoft 知識庫文章 | 2949927 |
受影響的軟體
此諮詢會討論下列軟體。
受影響的軟體
| 作業系統 |
|---|
| Windows 7 for 32 位系統 Service Pack 1\ (2949927) |
| Windows 7 for x64 型系統 Service Pack 1\ (2949927) |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1\ (2949927) |
| Windows Server 2008 R2 for Itanium 型系統 Service Pack 1\ (2949927) |
| Server Core 安裝選項 |
| 適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝)\ (2949927) |
諮詢常見問題
諮詢的範圍為何?
此諮詢的目的是通知客戶更新,將 SHA-2 哈希演算法的功能新增至所有支援的 Windows 7 和 Windows Server 2008 R2 版本。
這是需要 Microsoft 發出安全性更新的安全性弱點嗎?
否。 SHA-1 的簽署機制已有一段時間可供使用,而且不建議使用SHA-1作為簽署用途的哈希演算法,而且不再是最佳做法。 Microsoft 建議改用 SHA-2 哈希演算法,並發行此更新,讓客戶能夠將數位證書密鑰移轉至更安全的 SHA-2 哈希演算法。
SHA-1 哈希演算法發生問題的原因為何?
問題的根本原因是SHA-1 哈希演算法的已知弱點,會將其公開給衝突攻擊。 這類攻擊可讓攻擊者產生與原始相同數字簽名的其他憑證。 已充分了解這些問題,並不建議針對需要抵抗這些攻擊的特定用途使用SHA-1 憑證。 在 Microsoft 中,安全性開發生命週期已要求 Microsoft 不再使用 SHA-1 哈希演算法作為 Microsoft 軟體中的預設功能。 如需詳細資訊,請參閱 Microsoft Security Advisory 2880823 和 Windows PKI 部落格文章 SHA1 取代原則。
更新有何用途?
此更新會將SHA-2 哈希演算法簽署和驗證支援新增至受影響的作業系統,其中包括:
- 支援封包檔案上的 多個簽章
- 支援 Windows PE 檔案的 多個簽章
- 啟用檢視多個數字簽名的 UI 變更
- 能夠向驗證核心中籤章的程式代碼完整性元件驗證RFC3161時間戳
- 支援各種 API,包括 CertIsStrongHashToSign、CryptCAT 管理員 AcquireContext2 和 CryptCAT 管理員 CalcHashFromFileHandle2
什麼是安全哈希演算法 (SHA-1)?
安全哈希演算法 (SHA) 已開發為與數位簽名演算法 (DSA) 或數位簽名標準 (DSS) 搭配使用,併產生 160 位哈希值。 SHA-1 有已知的弱點,使它暴露在碰撞攻擊。 這類攻擊可讓攻擊者產生與原始相同數字簽名的其他憑證。 如需 SHA-1 的詳細資訊,請參閱 哈希和簽章演算法。
什麼是RFC3161?
RFC3161定義因特網 X.509 公鑰基礎結構時間戳通訊協定(TSP),描述要求格式和時間戳授權單位 (TSA) 的回應格式。 TSA 可用來證明數位簽名是在公鑰憑證的有效期間產生,請參閱 X.509 公鑰基礎結構。
什麼是數字證書?
在公鑰密碼編譯中,其中一個金鑰,稱為私鑰,必須保密。 另一個金鑰,稱為公鑰,旨在與世界共用。 不過,金鑰擁有者必須有辦法告訴世界密鑰所屬。 數位證書提供執行此動作的方法。 數位證書是用來認證個人、組織和計算機在線身分識別的電子認證。 數位證書包含與相關信息一起封裝的公鑰(誰擁有、其用途、到期時間等等)。 如需詳細資訊,請參閱 瞭解公鑰密碼編譯 和 數字證書。
數位證書的用途為何?
數位證書主要用於驗證人員或裝置的身分識別、驗證服務或加密檔案。 一般而言,除了偶爾指出憑證已過期或無效的訊息之外,您完全不需要考慮憑證。 在這種情況下,應該遵循訊息中提供的指示。
建議的動作
針對支援的 Microsoft Windows 版本套用更新
大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為會自動下載並安裝更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871。
對於系統管理員和企業安裝,或想要手動安裝此安全性更新的使用者(包括未啟用自動更新的客戶),Microsoft 建議客戶儘早使用更新管理軟體套用更新,或使用 Microsoft Update 服務檢查更新。 更新也可透過此諮詢中 受影響軟體 數據表中的下載連結取得。
其他建議的動作
保護您的電腦
我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新及安裝防病毒軟體。 如需詳細資訊,請參閱 Microsoft 保管庫 ty & 資訊安全中心。
讓 Microsoft 軟體更新保持更新
執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動更新並設定為提供 Microsoft 產品的更新,則更新會在發行時傳遞給您,但您應該確認它們已安裝。
其他資訊
Microsoft Active Protections 計劃 (MAPP)
為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 然後,安全性軟體提供者可以使用此弱點資訊,透過其安全性軟體或裝置,例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統,為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護,請流覽由計劃合作夥伴所提供的使用中保護網站,列在 Microsoft Active Protections 方案 (MAPP) 合作夥伴中。
Feedback
- 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡,以提供意見反應。
支援
- 美國和加拿大的客戶可以從安全性支援收到技術支援。 如需詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 如需詳細資訊,請參閱國際支援。
- Microsoft TechNet 安全性 提供 Microsoft 產品中安全性的其他資訊。
免責聲明
本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2014 年 10 月 14 日):已發佈諮詢。
- V2.0 (2014 年 10 月 17 日):已移除 Microsoft 安全性更新2949927的下載中心連結。 Microsoft 建議客戶遇到卸載此更新的問題。 Microsoft 正在調查與此更新相關聯的行為,並在更多資訊可供使用時更新諮詢。
頁面產生的 2014-10-17 10:44Z-07:00。