Die ab 12. Juni über Windows Update verteilte Aktualisierung KB2677070 installiert einen automatischen Update-Mechanismus, der täglich ohne Benutzereingriff die Gültigkeit installierter Zertifikate überprüft. Dazu lädt Windows Update eine aktuelle Liste nicht mehr vertrauenswürdiger Zertifikate herunter, um den Zertifikatsspeicher zu aktualisieren. Dies soll den Missbrauch kompromittierter Zertifikate eindämmen und dient auch als Vorbereitung auf ein weiteres, für August angekündigtes Update.Mit dem August-Update für die Zertifikatsverwaltung werden Zertifikate, die RSA-Schlüssel mit einer Länge unter 1024 Bit verwenden, automatisch ungültig. Dies wird auch völlig legitime, nicht kompromittierte Zertifikate und Schlüssel betreffen, etwa in Web-Seiten verwendete SSL-Zertifikate. ActiveX-Steuerelemente und Anwendungen, die mit solchen schwachen Schlüsseln signiert sind, können dann nicht mehr installiert werden.Grund für diesem Schritt ist, dass die heute zur Verfügung stehende Rechenleistung ausreichen kann, um zu schwache Schlüssel in vertretbarer Zeit zu brechen. Ist dies gelungen, kann ein Angreifer seinen Code mit dem geknackten Schlüssel signieren und so Schutzmechanismen in Windows umgehen. Das August-Update wird alle noch unterstützten Windows-Versionen betreffen, von XP bis Windows 7, von Server 2003 bis Server 2008 R2. Zwei Beiträge im Microsoft Technet PKI-Blog erläutern detailliert, worum es geht und welche Maßnahmen Unternehmen ergreifen können und sollten, die möglicherweise noch mit zu schwachen kryptografischen Schlüsseln arbeiten. Private Windows-Anwender, die das automatische Windows Update nutzen, müssen im Regelfall nichts weiter unternehmen.Hintergrund der verschärften Anforderungen an die Schlüssellänge ist der Spionageschädling Flame, der Windows Update missbraucht hat, um sich zu verbreiten. Dazu hat Flame die Zertifikate manipuliert, deren Verwendung in Windows Update einen solchen Missbrauch an sich verhindern sollen.
Microsoft will schwache Zertifikate pauschal entwerten
Microsoft hat beim Patch Day auch eine Zusatzfunktion für Windows Vista und höher verteilt, die den Zertifikatsspeicher automatisch auf ungültige Zertifikate prüft. Im August soll ein Update für die Zertifikatsverwaltung erscheinen, um Zertifikat mit zu schwachen Schlüsseln als ungültig zu behandeln.

© Archiv
14.6.2012