Компания Microsoft выпустила обновление для операционных систем Windows Vista/Server 2008/7/Server 2012/8/RT, которое позволяет блокировать использование цифровых сертификатов, подписанных ключами, сгенерированными слабыми криптографическими алгоритмами.
Апдейт 2862966 предоставляет администраторам возможность регистрировать и контролировать использование алгоритмов хэширования и асимметричной криптографии в контролируемой среде. Администратор может устанавливать ограничения на минимальный размер ключа для ассиметричных алгоритмов, таких как RSA, DSA и ECDSA. После этого, можно установить апдейт 2862973 для блокировки использования таких слабых алгоритмов хэширования, как MD5 в программе корневых сертификатов Microsoft. Блокировке подлежат сертификаты для серверной аутентификации, подписи кода и установки меток времени.
Обновления от Microsoft предусматривают исключения для четырех сертификатов установки меток времени от Verisign:
01A8F438E1A14A904BA530942BEDBD94708CA654B8DF3C4585F17B60DA6690D1 VeriSign Time Stamping Service
8421A0182C854C1F4266C95FC8302E217A14C7797FE41F2A87CA6B2734C43F1D VeriSign Time Stamping Service CA SW1
1AD335187A1DC540738FB2EA82B7366678C2EEDCDAE75FEADD6ECD89779CB983 VeriSign Time Stamping Service
4B480E8EE1B8DFF231005E9DC5D8267227684D07A38BA6FECDB288DE53FB0A3E NO LIABILITY ACCEPTED, (c)97 VeriSign, Inc.
Помимо этого, исключение также сделано для двух сертификатов подписи кода:
E059080EF4409BC0D96FBCBDDEEE6C0AFBE871AD3D68BBA6A743C64631F599C9 Microsoft Mobile Device Privileged Component PCA
26ED148B33F377BA01B68A9A97FEB2391FBED7D51E3F6EB83BEBC2FBA90920B1 GeoTrust True Credentials CA 2.
Источник: SecurityLab
|
