Советы по безопасности

Советы майкрософт по безопасности 2661254

Обновление для минимальной длины ключа сертификата

Опубликовано: 14 августа 2012 г. | Обновлено: 9 октября 2012 г.

Версия: 2.0

Общие сведения

Аннотация

Корпорация Майкрософт объявляет о доступности обновления для Windows, которое ограничивает использование сертификатов с ключами RSA длиной менее 1024 бит. Закрытые ключи, используемые в этих сертификатах, могут быть получены и могут позволить злоумышленнику дублировать сертификаты и использовать их мошенническим путем для подделки содержимого, фишинговых атак или атак типа "злоумышленник в середине".

Примечание Это обновление влияет на приложения и службы, которые используют ключи RSA для шифрования и вызывают функцию CertGetCertificateChain . Эти приложения и службы больше не будут доверять сертификатам с ключами RSA длиной менее 1024 бит. Примеры затронутых приложений и служб включают, помимо прочего, зашифрованную электронную почту, каналы шифрования SSL/TLS, подписанные приложения и частные среды PKI. Это обновление не влияет на сертификаты, использующие алгоритмы шифрования, отличные от RSA. Дополнительные сведения о приложениях и службах, затронутых этим обновлением, см. в статье базы знаний Майкрософт 2661254.

Обновление доступно в Центре загрузки , а также в каталоге Центра обновления Майкрософт для всех поддерживаемых выпусков Microsoft Windows. Кроме того, с 9 октября 2012 г. это обновление предлагается через автоматическое обновление и через службу Центра обновления Майкрософт .

Рекомендации. Корпорация Майкрософт рекомендует клиентам применять обновление при первой возможности. Дополнительные сведения см. в разделе Предлагаемые действия этой рекомендации.

Известные проблемы.В статье базы знаний Майкрософт 2661254 описаны известные в настоящее время проблемы, с которыми могут столкнуться пользователи при установке этого обновления. В этой статье также описаны рекомендуемые решения для этих проблем.

Сведения о рекомендациях

Ссылки на проблемы

Дополнительные сведения об этой проблеме см. в следующих справочниках:

Ссылки Идентификация
Статья базы знаний Майкрософт 2661254 

Затронутые программное обеспечение и устройства

В этом совете рассматривается следующее программное обеспечение.

Операционная система
Windows XP с пакетом обновления 3 (SP3)
Windows XP Professional x64 Edition с пакетом обновления 2 (SP2)
Windows Server 2003 с пакетом обновления 2
Windows Server 2003 x64 Edition с пакетом обновления 2 (SP2)
Windows Server 2003 с пакетом обновления 2 (SP2) для систем на основе Itanium
Windows Vista с пакетом обновления 2 (SP2)
Windows Vista x64 Edition с пакетом обновления 2 (SP2)
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2)
Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2)
Windows Server 2008 для систем на основе Itanium с пакетом обновления 2 (SP2)
Windows 7 для 32-разрядных систем и Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1)
Windows 7 для 64-разрядных систем и Windows 7 для 64-разрядных систем с пакетом обновления 1 (SP1)
Windows Server 2008 R2 для 64-разрядных систем и Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1)
Windows Server 2008 R2 для систем на основе Itanium и Windows Server 2008 R2 для систем на основе Itanium с пакетом обновления 1 (SP1)
Установка основных серверных компонентов
Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2) (установка основных серверных компонентов)
Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2) (установка основных серверных компонентов)
Windows Server 2008 R2 для 64-разрядных систем и Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1) (установка основных серверных компонентов)

 

Вопросы и ответы

Почему эта рекомендация была пересмотрена 9 октября 2012 г.?
Корпорация Майкрософт пересмотрела эти рекомендации по следующим причинам:

  • Повторное выпуск обновления KB2661254 для Windows XP для устранения проблемы, связанной с определенными цифровыми сертификатами, созданными корпорацией Майкрософт без соответствующих атрибутов метки времени. Дополнительные сведения об этой проблеме см. в статье Советы по безопасности (Microsoft) (2749655). Клиентам, которые уже успешно установили это обновление в своих системах Windows XP, не нужно предпринимать никаких действий. Кроме того, клиенты не будут повторно выпущены это обновление, если оно уже установлено в их системах. Повторное обновление применяется только к системам Windows XP, которые ранее не устанавливали это обновление.
  • Объявление о том, что обновление KB2661254 для всех поддерживаемых выпусков Microsoft Windows теперь предлагается с помощью автоматического обновления.

Почему эта рекомендация была пересмотрена 11 сентября 2012 года?
Корпорация Майкрософт пересмотрела это руководство, чтобы уточнить, что это обновление может повлиять на приложения и службы, использующие ключи RSA для шифрования и вызывающие функцию CertGetCertificateChain. Примеры этих приложений и служб включают, помимо прочего, зашифрованную электронную почту, каналы шифрования SSL/TLS, подписанные приложения и частные среды PKI.

Дополнительные сведения о возможном влиянии на клиентов и известных проблемах, которые могут возникнуть при установке этого обновления, см. в статье базы знаний Майкрософт 2661254.

Каковы область рекомендаций?
Цель этой рекомендации — уведомить клиентов о том, что обновление доступно для всех поддерживаемых выпусков Microsoft Windows, для которых требуется, чтобы сертификаты содержали ключи RSA длиной более 1024 бит или равными 1024 битам. Сертификаты с ключами RSA длиной менее 1024 бит можно получить за короткое время и позволит злоумышленнику дублировать сертификаты и использовать их мошенническим путем для подделки содержимого, выполнения фишинговых атак или атак типа "злоумышленник в середине". Это обновление полностью протестировано и имеет достаточное качество для выпуска. Обновление было выпущено в центре загрузки, чтобы позволить клиентам оценить свою среду и предоставить возможность повторно выдать необходимые сертификаты до более широкого распространения через Центр обновления Майкрософт.

Как злоумышленник может использовать сертификаты мошенническим путем?
Злоумышленник может дублировать сертификат и использовать его для обмана содержимого, фишинговых атак или атак "злоумышленник в середине".

Как злоумышленник может дублировать сертификат?
Цифровой сертификат может создать только пользователь, владеющий закрытым ключом сертификата. Злоумышленник может попытаться угадать закрытый ключ и использовать математические методы для определения правильности предположения. Сложность успешного угадывания закрытого ключа пропорциональна количеству битов, используемых в ключе. Таким образом, чем больше ключ, тем дольше злоумышленнику требуется угадать закрытый ключ. Используя современное оборудование, ключи длиной менее 1024 бит можно успешно угадать за короткий промежуток времени. После того как злоумышленник успешно угадывает закрытый ключ, он может дублировать сертификат и использовать его мошенническим путем для подделки содержимого, фишинговых атак или атак "злоумышленник в середине".

Что такое атака "злоумышленник в середине"?
Атака "злоумышленник в середине" происходит, когда злоумышленник перенаправляет связь между двумя пользователями через компьютер злоумышленника без ведома двух взаимодействующих пользователей. Каждый пользователь в коммуникации неосознанно отправляет трафик и получает трафик от злоумышленника, при этом думая, что он общается только с предполагаемым пользователем.

Что такое цифровой сертификат?
В криптографии с открытым ключом один из ключей, известный как закрытый ключ, должен храниться в секрете. Другой ключ, известный как открытый ключ, предназначен для совместного использования с миром. Тем не менее, у владельца ключа должен быть способ сообщить миру, кому принадлежит ключ. Это можно сделать с помощью цифровых сертификатов. Цифровой сертификат — это электронные учетные данные, используемые для сертификации сетевых удостоверений отдельных лиц, организаций и компьютеров. Цифровые сертификаты содержат открытый ключ, упакованный вместе со сведениями о нем: кому он принадлежит, для чего он может использоваться, по истечении срока его действия и т. д.

Разделы справки подготовиться к этому выпуску?
Список действий, выполняемых при подготовке к развертыванию этого обновления, см. в разделе Рекомендуемые действия .

Когда корпорация Майкрософт выпустит это обновление для Центра обновления Майкрософт?
Корпорация Майкрософт планирует выпустить это обновление через Центр обновления Майкрософт в октябре 2012 г.

Что делает обновление KB2661254?
Во всех поддерживаемых выпусках Microsoft Windows обновление KB2661254 требует, чтобы сертификаты с ключами RSA использовали 1024-разрядный ключ или больше. Это обновление не влияет на сертификаты, использующие алгоритмы шифрования, отличные от RSA. Продукты Майкрософт или сторонние продукты, которые вызывают функцию CertGetCertificateChain , больше не будут доверять сертификатам с ключами RSA длиной менее 1024 бит. Эта функция создает контекст цепочки сертификатов, начиная с конечного сертификата, возвращаясь, если это возможно, к доверенному корневому сертификату. При проверке цепочки проверяется каждый сертификат в цепочке, чтобы убедиться, что длина ключа RSA не менее 1024 бит. Если какой-либо сертификат в цепочке имеет ключ RSA длиной менее 1024 бит, конечный сертификат не будет доверенным.

Кроме того, обновление можно настроить для ведения журнала при блокировке сертификатов обновлением. Дополнительные сведения о включении этой функции ведения журнала см. в разделе Предлагаемые действия этой рекомендации. Полный список сценариев о том, как это обновление будет блокировать использование ключей RSA длиной менее 1024 бит, см. в статье базы знаний Майкрософт 2661254.

Применяется ли это обновление к предварительной версии windows 8 или к выпуску-кандидату Windows Server 2012?
Нет. Это обновление не применяется к Windows 8 Release Preview или Windows Server 2012 Release Candidate, так как эти операционные системы уже включают функции, требующие, чтобы сертификаты с ключами RSA использовали 1024-разрядный ключ или больше.

Что делать, если я найду сертификат с ключом RSA длиной менее 1024 бит?
Клиенты, которые идентифицируют любые сертификаты, использующие ключ RSA длиной менее 1024 бит в своих средах, должны запрашивать более длинные сертификаты у своего центра сертификации. Клиентам, которые управляют собственными средами PKI, потребуется создать новые пары ключей с более длинными значениями и выдать новые сертификаты из этих новых ключей. Клиенты должны оценить, используя достаточную длину ключа в соответствии с их требованиями к шифрованию данных, которая может превысить минимальное значение, необходимое для этого обновления.

Что такое центр сертификации (ЦС)?
Центр сертификации (ЦС) отвечает за подтверждение личности пользователей, а также за подтверждение подлинности компьютеров и организаций. Центр сертификации выполняет аутентификацию объектов и подтверждает их подлинность выпуском сертификата с цифровой подписью. Центр сертификации также может управлять сертификатами, осуществлять их отзыв и продление.

Центр сертификации может ссылаться на следующее:

  • организация, подтверждающая личность пользователя;
  • сервер, используемый организацией для выпуска сертификатов и управления ими.

Рекомендуемые действия

Для поддерживаемых выпусков Microsoft Windows

У большинства клиентов включено автоматическое обновление, поэтому не нужно предпринимать никаких действий, так как это обновление для системы безопасности будет скачано и установлено автоматически. Клиентам, которые не включили автоматическое обновление, необходимо проверка обновления и установить это обновление вручную. Сведения о конкретных параметрах конфигурации при автоматическом обновлении см. в статье базы знаний Майкрософт 294871.

Для администраторов и корпоративных установок или конечных пользователей, которые хотят установить обновление KB2661254 вручную, корпорация Майкрософт рекомендует клиентам скачать обновление и оценить влияние того, что сертификаты с ключами RSA должны использовать 1024-разрядный ключ или больше. Ссылки для скачивания пакетов обновлений см. в статье базы знаний Майкрософт 2661254 или в каталоге Центра обновления Майкрософт .

Администраторы и корпоративные установки должны оценить среду на наличие сертификатов с ключами RSA длиной менее 1024 бит и повторно выдать эти сертификаты. Дополнительные сведения о приложениях и службах, затронутых этим обновлением, см. в статье базы знаний Майкрософт 2661254.

Дополнительные предлагаемые действия

  • Определение сертификатов с длиной ключа RSA менее 1024 бит, используемых на предприятии

    Подробные инструкции по поиску сертификатов RSA, которые в настоящее время используются на предприятии, см. в статье базы знаний Майкрософт 2661254 .

  • Изучите статью базы знаний Майкрософт 2661254 для сценариев, когда это обновление блокирует сертификаты

    Изучите статью базы знаний Майкрософт 2661254 , чтобы получить список сценариев, когда это обновление блокирует сертификаты с ключами RSA длиной менее 1024 бит.

  • Включение ведения журнала сертификатов для выявления использования ключей RSA длиной менее 1024 бит

    По умолчанию ведение журнала не включено. Можно включить ведение журнала, чтобы определить использование ключей RSA длиной менее 1024 бит, задав каталог ведения журнала в реестре.

    Предупреждение При неправильном использовании редактора реестра могут возникнуть серьезные проблемы, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует возможность устранения проблем, ставших следствием неправильного использования редактора реестра. Используйте редактор реестра на свой страх и риск.

    Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config] " WeakSignatureLogDir"

    Этот REG-файл можно применить к отдельным системам, дважды щелкнув его. Его также можно применять к доменам с помощью групповая политика. Дополнительные сведения о групповая политика см. в разделе Core групповая политика Tools and Settings.

    Влияние обходного решения: Включение ведения журнала в рабочей системе может привести к проблемам с производительностью, и его следует использовать с осторожностью. Особое внимание следует уделить каталогу, в который включено ведение журнала, чтобы избежать заполнения тома. Этот каталог также необходимо настроить, чтобы разрешить всем соответствующим системам выполнять запись в это расположение. Клиенты никогда не должны разрешать анонимным пользователям записывать данные в общие папки в организации.

  • Защита компьютера

    Мы по-прежнему рекомендуем клиентам следовать нашим рекомендациям по защите компьютера по включению брандмауэра, получению обновлений программного обеспечения и установке антивирусного программного обеспечения. Дополнительные сведения см. в разделе Центр безопасности & Майкрософт.

  • Обновление программного обеспечения Майкрософт

    Пользователи, использующие программное обеспечение Майкрософт, должны применять последние обновления для системы безопасности Майкрософт, чтобы обеспечить максимально возможную защиту своих компьютеров. Если вы не уверены, обновлено ли ваше программное обеспечение, посетите Центр обновления Майкрософт, проверьте компьютер на наличие доступных обновлений и установите все предлагаемые вам высокоприоритетные обновления. Если автоматическое обновление включено и настроено для предоставления обновлений для продуктов Майкрософт, обновления доставляются вам при их выпуске, но следует убедиться, что они установлены.

Другие сведения

Обратная связь

Поддержка

  • Клиенты в США и Канаде могут получить техническую поддержку в службе поддержки по безопасности. Дополнительные сведения о доступных вариантах поддержки см. в разделе Справка и поддержка Майкрософт.
  • Международные клиенты могут получить поддержку от своих местных филиалов Майкрософт. Дополнительные сведения о том, как связаться с корпорацией Майкрософт по вопросам международной поддержки, см. в статье Международная поддержка.
  • Microsoft TechNet Security предоставляет дополнительные сведения о безопасности в продуктах Майкрософт.

Отказ от ответственности

Информация, указанная в этом совете, предоставляется "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии товарной пригодности и пригодности для определенной цели. Корпорация Майкрософт или ее поставщики ни при каких обстоятельствах не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, потери бизнес-прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких убытков. Некоторые государства не допускают исключения или ограничения ответственности за косвенные или случайные убытки, поэтому это ограничение может не применяться.

Редакции

  • Версия 1.0 (14 августа 2012 г.): рекомендации опубликованы.
  • Версия 1.1 (14 августа 2012 г.): исправлена сводка для руководителей, которая поможет уточнить, что после применения этого обновления клиентам необходимо использовать сертификаты с ключами RSA длиной не более 1024 бит.
  • Версия 1.2 (11 сентября 2012 г.): уточнено, что это обновление может повлиять на приложения и службы, использующие ключи RSA для шифрования и вызывающие функцию CertGetCertificateChain. Примеры этих приложений и служб включают, помимо прочего, зашифрованную электронную почту, каналы шифрования SSL/TLS, подписанные приложения и частные среды PKI.
  • Версия 2.0 (9 октября 2012 г.): пересмотрены рекомендации по повторному выпуску обновления KB2661254 для Windows XP и объявлению о том, что обновление KB2661254 для всех поддерживаемых выпусков Microsoft Windows теперь предлагается через автоматическое обновление. Клиентам, которые ранее применили обновление KB2661254, не нужно предпринимать никаких действий. Дополнительные сведения см. в разделе Вопросы и ответы о рекомендациях.

Построено в 2014-04-18T13:49:36Z-07:00