Freigeben über


TLS Elliptic Curves in Windows 10, Version 1607 und höher

Für Windows 10, Versionen 1607 und höher, werden die folgenden elliptischen Kurven aktiviert und in dieser Prioritätsreihenfolge standardmäßig mit dem Microsoft Schannel-Anbieter verwendet:

Elliptische Kurvenzeichenfolge Verfügbar im FIPS-Modus
curve25519 Nein
NistP256 Ja
NistP384 Ja

Die folgenden elliptischen Kurven werden vom Microsoft Schannel-Anbieter unterstützt, jedoch nicht standardmäßig aktiviert:

Elliptische Kurvenzeichenfolge Verfügbar im FIPS-Modus
brainpoolP256r1 Nein
brainpoolP384r1 Nein
brainpoolP512r1 Nein
nistP192 Nein
nistP224 Nein
nistP521 Ja
secP160k1 Nein
secP160r1 Nein
secP160r2 Nein
secP192k1 Nein
secP192r1 Nein
secP224k1 Nein
secP224r1 Nein
secP256k1 Nein
secP256r1 Nein
secP384r1 Nein
secP521r1 Nein

Aktivieren von elliptischen Kurven

Um elliptische Kurven hinzuzufügen, stellen Sie entweder eine Gruppenrichtlinie bereit oder verwenden Sie die TLS-Cmdlets:

  • Um Gruppenrichtlinien zu verwenden, konfigurieren Sie ECC Curve Order unter Computerkonfiguration > Administrative Vorlagen > Netzwerk-> SSL-Konfigurationseinstellungen mit der Prioritätsliste für alle elliptischen Kurven, die Sie aktivieren möchten.

  • Informationen zur Verwendung von PowerShell finden Sie unter TLS-Cmdlets eine vollständige Liste der TLS-Cmdletsyntax und Beschreibungen.

Anmerkung

Vor Windows 10 wurden Chiffre-Suite-Zeichenfolgen mit der elliptischen Kurve angefügt, um die Kurvenpriorität zu bestimmen. Windows 10 unterstützt eine Prioritätseinstellung für elliptische Kurvenpriorität, sodass das elliptische Kurvensuffix nicht erforderlich ist und von der neuen Prioritätsreihenfolge der elliptischen Kurve außer Kraft gesetzt wird, damit Organisationen gruppenrichtlinien verwenden können, um verschiedene Versionen von Windows mit den gleichen Verschlüsselungssammlungen zu konfigurieren.

Siehe auch

Konfigurieren der TLS ECC-Kurvenreihenfolge

Verwalten der TLS ECC-Reihenfolge

Verwalten von Windows ECC-Kurven mithilfe von Gruppenrichtlinien

TLS-Cmdlets