Digitaalse ekspluateerimise ulatus kasvab Microsoft tuli välja nõuandega, et ta ei saa enam digitaalseid sertifikaate alla 1024-bitine tugevus. 2012. aasta augustis andis Microsoft turvanõuet, et RSA digitaalserteid ei toeta alates 9. oktoobrist 2012. Sa pead uuenda oma RSA digitaalsertifikaate enne seda kuupäeva, nõrkade sertifikaatide blokeerimise kuupäev (vähem kui 1024 bitti).
Enamik digitaalseid sertifikaate kasutab veebisaitidega kasutatavate sertifikaatide RSA-algoritmi, et digitaalselt allkirjastada ja krüptida faile. RSA algoritmi tugevus põhineb kasutatud bittide arvul. RSA sertifikaadid identifitseerivad üksikisiku, organisatsiooni ja failid autentsed ja originaalsed. Kui kasutatakse e-kirju ja muud tüüpi andmefaile kasutades, siis võimaldavad RSA digitaalsertifikaadid vältida faili sisu omavolilist muutmist viisil, mis hoiatab kasutajaid esialgsete failide manipuleerimise korral. Enamik sertifitseerimisasutusi (CA) on siiani andnud vähem kui 1024-bitine digitaalseid sertifikaate. Arvestades veebipõhiste varade manipuleerimise ja kasutamisega seotud baasi, ütleb tarkvarafirma, et IT-administraatorid ajavad oma RSA digitaalseid sertifikaate, et kaitsta kasutajaid igasuguse haavatavuse eest.
Microsoft ütles, et see annab automaatse värskenduse 9. oktoober 2012 mis ajakohastab operatsioonisüsteeme ja muid tooteid, et tuvastada veebisaite ja esemeid, kasutades RSA digitaalseid sertifikaate, millel on vähem kui 1024 bitine tugevus. Mõned eksperdid ütlevad, et see otsus on jõudnud Windowsi operatsioonisüsteemi opsüsteemi kasutamisele pahavara poolt, mis meeldib Flame jne. Teised ütlevad, et Microsoft töötas seda juba kaua. Ükskõik, mis põhjuseks on, on aeg koguda digitaalseid sertifikaate ja koguda neid vähemalt 1024-bitine tugevus. RSA digitaalse sertifikaadi tugevust mõõdetakse sertifikaadi privaatvõtme dekodeerimiseks kuluvat aega. Parema kaitse tagamiseks peavad inimesed lisama sertifikaatidele rohkem jõudu.
Pidage meeles, et ettevõte peab minimaalselt 1024 bitti. Selleks, et paremini kaitsta ja vältida sarnaseid värskendusi lähitulevikus, soovitatakse teil minna tugevalt üle 2048 bitti.
Mis juhtub, kui te ei värskenda RSA digitaalseid sertifikaate?
Allpool toodud veateated kuvatakse allapoole ja veelgi halvem, teie rakendused ei pruugi korralikult töötada.
Selle veebisaidi turvasertifikaadiga on probleem
Microsoft Security Advisoryi järgi ei mõjuta värskendus Windows 8 ja Windows 2012 Serverit, sest neil on juba sisseehitatud funktsioon, et blokeerida nõrgad RSA-sertifikaadid, mis on vähem kui 1024 bitti pikad. Teised operatsioonisüsteemid ja tarkvara uuendatakse 2012. aasta 9. oktoobril vastavalt sellele tegutsemiseks - nõrkade RSA sertifikaatide blokeerimiseks. Järgnevalt on mõned probleemid, millega inimesed võivad seista silmitsi, kui RSA digitaalserteid ei värskendata (nagu on mainitud Microsoft KB artiklist 2661254):
- Sertifitseerimisasutused ei saa välja anda vähem kui 1024 bitti RSA sertifikaate;
- Sertifitseerimisluba (certsvc) ei käivitu, kui RSA digitaalne sertifikaat on nõrk;
- Internet Explorer blokeerib juurdepääsu nõrkate RSA digitaalsete sertifikaatide veebisaitidele;
- Outlook 2010 ei saa digitaalselt alla kirjutada ja kasutajad ei saa e-kirju krüptida. Kui e-kiri oli juba krüptitud nõrgema RSA-sertifikaadi abil, võib see pärast versiooni värskendamist ikkagi dekrüpteerida;
- Kui kasutajad saavad RSA digitaalserti allkirjaga vähem kui 1024 bitti, saavad nad märguande, mis ütleb, et sertifikaati ei saa usaldada - e-kirja originaalsuse ja ehtsuse saatmine;
- Outlook ei ühenda Exchange Serveriga RSA-sertifikaatidega vähem kui 1024 bitti. Kasutajad näevad ette hoiatust, milles öeldakse, et sertifikaati ei saa usaldada ja seega on see blokeeritud;
- Tugevate RSA sertifikaatidega varustatud toodete paigaldamisel saavad kasutajad hoiatuse sertifikaadi kohta, mis takistab kasutajatel "ebausaldusväärse" toote installimist;
- Vastavalt nõuandele, "System Center HP-UX PA-RISC arvutid, mis kasutavad 512-bitise võti pikkusega RSA-sertifikaati, genereerivad südamelöögisageduse märguandeid ja kõik Operations Manageri arvutite seire ei õnnestu.Samuti koostatakse "SSL-sertifikaadi tõrge" koos kirjeldusega "allkirjastatud sertifikaadi kontrollimine. "Klõpsake siin, et saada lisateavet 512-bitise võti pikkusega HP UX PA RISC-arvutite kohta.
Microsofti Techneti meeskonnal on arutelu üksikasjalike KKK-de ja soovitatud toimingute kohta tema blogis.
Kuidas tuvastada, kui RSA sertifikaat on nõrk
KB artikliga 2661254 on soovitatav kasutada järgmist meetodit, et kontrollida, kas teil on mõni nõrk RSA digitaalne sertifikaat.
Kõik RSA digitaalsertifikaate saab avada topeltklõpsuga selle ikoonil. Sertifikaadi üksikasju saab vaadata digitaalteksti sertifikaadi avamisel kaarti Üksikasjad. Seal peaks olema väli, millel on märge "Avalik võtme number", mis näitab sertifikaadi bittide arvu.
Soovitava KB artikli 2661254 on loetletud ka teisi meetodeid. Soovitan kontrollida ka CAPI2-meetodit. See aitab tuvastada kõik sertifikaadid, millel on nõrk šifre tugevus. Meetodit on kirjeldatud ülalpool ühendatud KB-i artiklis 2661254.
Veebilehtede ja programmide ligipääs tõrgeteta RSA digitaalsete sertifikaatide saamiseks
Kuigi IT-is on tungivalt soovitatud IT-administraatoritel oma RSA digitaalseid sertifikaate täiendada vähemalt 1024 bitti, pakub Microsoft võimalust veebisaitide ja programmide, millel on nõrgad digitaalsed sertifikaadid, avamiseks. See ütleb, et võib kuluda mõnda aega, enne kui kõik administraatorid saavad oma sertifikaate värskendada, mistõttu saavad kasutajad kasutada nõutavaid RSA digitaalseid sertifikaate, isegi kui veebisaidid ja programmid uuendavad ja uuendavad oma sertifikaate. See lahendus hõlmab Windowsi registri redigeerimist. Vaadake jaotist Seotud lingitud KB-artikliga RESOLUTIONS käskude lubamine võtmepikkusteks, mis on väiksemad kui 1024-bitti, kasutades Windowsi registri tühipalakaalu, kasutades certutil käsk
Pange tähele, et on kaks jaotist: üks ütleb RESOLUTIONS (mitmuses) ja teine ütleb RESOLUTION (ainsuses). Teil on vaja lahendada lahendused, mis võimaldavad nõrkade RSA digitaalsete sertifikaatide temporariliseks saamiseks lahendust (mitmuses).
Microsofti pakub värskendusi KB artikli 2661254 RESOLUTSIOONI OSAS. Need pahed uuendavad teie süsteemi Windowsi operatsioonisüsteemide minimaalsete krüptimise tasemete suurendamiseks, nii et te ei puutu kokku tugeva RSA digitaalsete sertifikaatidega. Enne nende allalaadimist kontrollige operatsioonisüsteemi, mis on nimetatud plaatide vastu (sh 32 või 64 bitti) vastu, et veenduda õige värskenduse allalaadimisel.
Kokkuvõttes on 512-bitine RSA digitaalsete sertifikaatide vanus möödas. Et paremini kaitsta oma andmete kasutamist, peate liikuma tugevamate tugeva külgede suunas.