Microsoft увеличит минимальную длину ключа RSA до 1024 бит

Да, именно так — в августе выйдет обновление, которое будет убирать поддержку ключей RSA с длиной менее 1024 бит. По факту, это 512 и (очень редко) 384 бита.

Обновление затронет как серверные ОС Microsoft, так и клиентские. Что это будет обозначать?

  • При подключении с использованием SSL/TLS в случае, если у серверного сертификата будет ключ менее 1024 бит — будет ошибка CERT_TRUST_HAS_WEAK_SIGNATURE
  • Софт, библиотеки и ActiveX-компоненты, подписанные сертификатами с коротким ключом будут считаться как «с нарушенной целостностью»
  • Шаблоны сертификатов, у которых есть возможность запросить ключ с указанной клиентом длиной, могут не срабатывать, т.к. криптопровайдеры после патча откажутся генерить такие ключи.

Ну и прочие неприятности.

Готовиться надо сейчас — в частности, просмотреть все шаблоны сертификатов, используемых в Вашей организации, найти те, в которых явно не указаны криптовайдеры и длины ключей, и указать явно.

Если Вы используете токены для авторизации — убедитесь, что они тоже с ключами не менее 1024 бит и при запросе на создание ключевой пары тоже делают как минимум 1024. Возможно, для этого надо будет обновить софт для токенов, но это уже зависит от конкретного вендора.

Обновление будет доступно и для Windows XP, что приведёт к гарантированным приключениям у тех, у кого «всё по дефолту» в плане внутрикорпоративного PKI, т.к. Microsoft Base Cryptographic Provider v1.0 (RSA) в XP легко выдаст 512 битовый ключ для Smartcard logon’а. Выход — делать новый шаблон, «перекрывать» им старый, явно указывать ключ в 1024 бита.

Подробнее про это есть в PKI-блоге технета:

http://blogs.technet.com/b/pki/archive/2012/06/12/rsa-keys-under-1024-bits-are-blocked.aspx

Плюс, конечно, некоторые детали расскажу на тренинге по PKI.

Реклама
Microsoft увеличит минимальную длину ключа RSA до 1024 бит