共用方式為


Microsoft Security Advisory 2949927

Windows 7 和 Windows Server 2008 R2 的 SHA-2 哈希演算法可用性

發佈時間: 2014 年 10 月 14 日 |更新日期:2014 年 10 月 17 日

版本: 2.0

一般資訊

執行摘要

Microsoft 宣佈推出所有支援的 Windows 7 和 Windows Server 2008 R2 版本更新,以新增對 SHA-2 簽署和驗證功能的支援。 Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 和 Windows RT 8.1 不需要此更新,因為 SHA-2 簽署和驗證功能已包含在這些操作系統中。 此更新不適用於 Windows Server 2003、Windows Vista 或 Windows Server 2008。

建議。 已啟用自動更新並設定為在線檢查 Microsoft Update 更新的客戶通常不需要採取任何動作,因為會自動下載並安裝此安全性更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871

對於系統管理員和企業安裝,或想要手動安裝此安全性更新的使用者(包括未啟用自動更新的客戶),Microsoft 建議客戶儘早使用更新管理軟體套用更新,或使用 Microsoft Update 服務檢查更新。 更新也可透過此諮詢中 受影響軟體 數據表中的下載連結取得。

諮詢詳細數據

問題參考

如需此問題的詳細資訊,請參閱下列參考:

參考 識別
Microsoft 知識庫文章 2949927 

受影響的軟體

此諮詢會討論下列軟體。

受影響的軟體

作業系統
Windows 7 for 32 位系統 Service Pack 1\ (2949927)
Windows 7 for x64 型系統 Service Pack 1\ (2949927)
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1\ (2949927)
Windows Server 2008 R2 for Itanium 型系統 Service Pack 1\ (2949927)
Server Core 安裝選項
適用於 x64 型系統的 Windows Server 2008 R2 Service Pack 1 (Server Core 安裝)\ (2949927)

  諮詢常見問題

諮詢的範圍為何?
此諮詢的目的是通知客戶更新,將 SHA-2 哈希演算法的功能新增至所有支援的 Windows 7 和 Windows Server 2008 R2 版本。

這是需要 Microsoft 發出安全性更新的安全性弱點嗎?
否。 SHA-1 的簽署機制已有一段時間可供使用,而且不建議使用SHA-1作為簽署用途的哈希演算法,而且不再是最佳做法。 Microsoft 建議改用 SHA-2 哈希演算法,並發行此更新,讓客戶能夠將數位證書密鑰移轉至更安全的 SHA-2 哈希演算法。

SHA-1 哈希演算法發生問題的原因為何?
問題的根本原因是SHA-1 哈希演算法的已知弱點,會將其公開給衝突攻擊。 這類攻擊可讓攻擊者產生與原始相同數字簽名的其他憑證。 已充分了解這些問題,並不建議針對需要抵抗這些攻擊的特定用途使用SHA-1 憑證。 在 Microsoft 中,安全性開發生命週期已要求 Microsoft 不再使用 SHA-1 哈希演算法作為 Microsoft 軟體中的預設功能。 如需詳細資訊,請參閱 Microsoft Security Advisory 2880823 和 Windows PKI 部落格文章 SHA1 取代原則

更新有何用途?
此更新會將SHA-2 哈希演算法簽署和驗證支援新增至受影響的作業系統,其中包括:

什麼是安全哈希演算法 (SHA-1)?
安全哈希演算法 (SHA) 已開發為與數位簽名演算法 (DSA) 或數位簽名標準 (DSS) 搭配使用,併產生 160 位哈希值。 SHA-1 有已知的弱點,使它暴露在碰撞攻擊。 這類攻擊可讓攻擊者產生與原始相同數字簽名的其他憑證。 如需 SHA-1 的詳細資訊,請參閱 哈希和簽章演算法

什麼是RFC3161?
RFC3161定義因特網 X.509 公鑰基礎結構時間戳通訊協定(TSP),描述要求格式和時間戳授權單位 (TSA) 的回應格式。 TSA 可用來證明數位簽名是在公鑰憑證的有效期間產生,請參閱 X.509 公鑰基礎結構

什麼是數字證書?
在公鑰密碼編譯中,其中一個金鑰,稱為私鑰,必須保密。 另一個金鑰,稱為公鑰,旨在與世界共用。 不過,金鑰擁有者必須有辦法告訴世界密鑰所屬。 數位證書提供執行此動作的方法。 數位證書是用來認證個人、組織和計算機在線身分識別的電子認證。 數位證書包含與相關信息一起封裝的公鑰(誰擁有、其用途、到期時間等等)。 如需詳細資訊,請參閱 瞭解公鑰密碼編譯數字證書

數位證書的用途為何?
數位證書主要用於驗證人員或裝置的身分識別、驗證服務或加密檔案。 一般而言,除了偶爾指出憑證已過期或無效的訊息之外,您完全不需要考慮憑證。 在這種情況下,應該遵循訊息中提供的指示。

建議的動作

  • 針對支援的 Microsoft Windows 版本套用更新

    大部分的客戶都已啟用自動更新,而且不需要採取任何動作,因為會自動下載並安裝更新。 未啟用自動更新的客戶需要檢查更新,並手動安裝此更新。 如需自動更新中特定組態選項的相關信息,請參閱 Microsoft 知識庫文章294871

    對於系統管理員和企業安裝,或想要手動安裝此安全性更新的使用者(包括未啟用自動更新的客戶),Microsoft 建議客戶儘早使用更新管理軟體套用更新,或使用 Microsoft Update 服務檢查更新。 更新也可透過此諮詢中 受影響軟體 數據表中的下載連結取得。

其他建議的動作

  • 保護您的電腦

    我們繼續鼓勵客戶遵循我們的「保護您的計算機」指引,以啟用防火牆、取得軟體更新及安裝防病毒軟體。 如需詳細資訊,請參閱 Microsoft 保管庫 ty & 資訊安全中心

  • 讓 Microsoft 軟體更新保持更新

    執行 Microsoft 軟體的使用者應套用最新的 Microsoft 安全性更新,以協助確保電腦盡可能受到保護。 如果您不確定您的軟體是否為最新狀態,請造訪 Microsoft Update、掃描您的電腦是否有可用的更新,並安裝您提供的任何高優先順序更新。 如果您已啟用自動更新並設定為提供 Microsoft 產品的更新,則更新會在發行時傳遞給您,但您應該確認它們已安裝。

其他資訊

Microsoft Active Protections 計劃 (MAPP)

為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 然後,安全性軟體提供者可以使用此弱點資訊,透過其安全性軟體或裝置,例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統,為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護,請流覽由計劃合作夥伴所提供的使用中保護網站,列在 Microsoft Active Protections 方案 (MAPP) 合作夥伴

Feedback

  • 您可以完成 Microsoft 說明及支援表單、客戶服務與我們連絡以提供意見反應。

支援

免責聲明

本諮詢中提供的資訊是「如目前」提供,不含任何種類的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。

修訂記錄

  • V1.0 (2014 年 10 月 14 日):已發佈諮詢。
  • V2.0 (2014 年 10 月 17 日):已移除 Microsoft 安全性更新2949927的下載中心連結。 Microsoft 建議客戶遇到卸載此更新的問題。 Microsoft 正在調查與此更新相關聯的行為,並在更多資訊可供使用時更新諮詢。

頁面產生的 2014-10-17 10:44Z-07:00。