Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Kryptografie
Kryptografie verwendet Code zum Konvertieren von Daten, sodass nur ein bestimmter Empfänger sie mithilfe eines Schlüssels lesen kann. Kryptografie erzwingt Datenschutz, um zu verhindern, dass alle Personen außer dem beabsichtigten Empfänger Daten lesen, Integrität, um sicherzustellen, dass Daten frei von Manipulationen sind, und Authentifizierung, die die Identität überprüft, um sicherzustellen, dass die Kommunikation sicher ist. Der Kryptografiestapel in Windows erstreckt sich vom Chip bis zur Cloud, sodass Windows, Anwendungen und Dienste System- und Benutzergeheimnisse schützen.
Kryptografie in Windows ist fips 140 zertifiziert. Die FIPS 140-Zertifizierung stellt sicher, dass von der US-Regierung genehmigte Algorithmen verwendet werden (RSA zum Signieren, ECDH mit NIST-Kurven für die Schlüsselvereinbarung, AES für symmetrische Verschlüsselung und SHA2 für Hashing), testet die Modulintegrität, um nachzuweisen, dass keine Manipulation erfolgt ist, und beweist die Zufallsbereitschaft für Entropiequellen.
Kryptografiemodule von Windows bieten Grundtypen auf niedriger Ebene, z. B.:
- Zufallszahlengeneratoren (RNG)
- Symmetrische und asymmetrische Verschlüsselung (Unterstützung für AES 128/256 und RSA 512 bis 16384, in 64-Bit-Schritten und ECDSA über NIST-Standard-Primkurven P-256, P-384, P-521)
- Hashing (Unterstützung für SHA-256, SHA-384, SHA-512 und SHA-3*)
- Signieren und Überprüfen (Auffüllungsunterstützung für OAEP, PSS, PKCS1)
- Wichtige Vereinbarung und Schlüsselableitung (Unterstützung für ECDH über NIST-Standard-Primkurven P-256, P-384, P-521 und HKDF)
Diese Module werden unter Windows nativ über die Kryptografie-API (CAPI) und die Cryptography Next Generation API (CNG) verfügbar gemacht, die von der Open-Source-Kryptografiebibliothek SymCrypt von Microsoft unterstützt wird. Anwendungsentwickler können diese APIs verwenden, um kryptografische Vorgänge auf niedriger Ebene (BCrypt), Schlüsselspeichervorgänge (NCrypt), statische Daten (DPAPI) zu schützen und Geheimnisse sicher freizugeben (DPAPI-NG).
*Mit diesem Release wurde Unterstützung für die SHA-3-Familie von Hashfunktionen und von SHA-3 abgeleitete Funktionen (SHAKE, cSHAKE und KMAC) hinzugefügt. Dies sind die neuesten standardisierten Hashfunktionen des National Institute of Standards and Technology (NIST), die über die Windows CNG-Bibliothek genutzt werden können. Im Folgenden finden Sie eine Liste der unterstützten SHA-3-Funktionen:
Unterstützte SHA-3-Hashfunktionen: SHA3-256, SHA3-384, SHA3-512 (SHA3-224 wird nicht unterstützt) Unterstützte SHA-3 HMAC-Algorithmen: HMAC-SHA3-256, HMAC-SHA3-384, HMAC-SHA3-512 Unterstützte sha-3 abgeleitete Algorithmen: Erweiterbare Ausgabefunktionen (XOF) (SHAKE128, SHAKE256), anpassbare XOFs (cSHAKE128, cSHAKE256) und KMAC (KMAC128, KMAC256, KMACXOF128, KMACXOF256).
Zertifikatverwaltung
Windows bietet mehrere APIs zum Betreiben und Verwalten von Zertifikaten. Zertifikate sind für die Public Key-Infrastruktur (PKI) von entscheidender Bedeutung, da sie die Möglichkeit bieten, Informationen zu schützen und zu authentifizieren. Zertifikate sind elektronische Dokumente, mit denen der Besitz eines öffentlichen Schlüssels beansprucht wird. Öffentliche Schlüssel werden verwendet, um die Server- und Clientidentität nachzuweisen, die Codeintegrität zu überprüfen und in sicheren E-Mails zu verwenden. Windows bietet Benutzern die Möglichkeit, Zertifikate in Active Directory mit Gruppenrichtlinie automatisch zu registrieren und zu verlängern, um das Risiko potenzieller Ausfälle aufgrund von Zertifikatablauf oder Fehlkonfiguration zu reduzieren. Windows überprüft Zertifikate über einen automatischen Updatemechanismus, der täglich Zertifikatvertrauenslisten (Certificate Trust Lists, CTL) herunterlädt. Vertrauenswürdige Stammzertifikate werden von Anwendungen als Referenz für vertrauenswürdige PKI-Hierarchien und digitale Zertifikate verwendet. Die Liste der vertrauenswürdigen und nicht vertrauenswürdigen Zertifikate wird in der CTL gespeichert und kann von Administratoren aktualisiert werden. Im Falle einer Zertifikatsperrung wird ein Zertifikat als nicht vertrauenswürdiges Zertifikat in der CTL hinzugefügt, sodass es auf allen Benutzergeräten sofort global widerrufen wird.
Windows bietet auch das Anheften von Unternehmenszertifikaten an, um Man-in-the-Middle-Angriffe zu reduzieren, indem Benutzer ihre internen Domänennamen vor Verkettung mit unerwünschten Zertifikaten schützen können. Die Zertifikatkette für die Serverauthentifizierung einer Webanwendung wird überprüft, um sicherzustellen, dass sie mit einem eingeschränkten Satz von Zertifikaten übereinstimmt. Jede Webanwendung, die einen Namenskonflikt auslöst, startet die Ereignisprotokollierung und verhindert den Benutzerzugriff von Microsoft Edge aus.