Am 14. August veröffentlicht Microsoft ein kritisches Update für Windows XP, Server 2003, Server 2003 R2, Vista, Server 2008, Windows 7 und Server 2008 R2. Dieses behebt zwar keine direkte Schwachstelle, erhöht aber die allgemeine Sicherheit für Windows - denn ab diesem Zeitpunkt werden kryptografische Schlüssel mit weniger als 1024 Bit blockiert.

Uns ist allerdings klar, dass nicht alle Kunden diese Maßnahme sofort umsetzen können (oder wollen). Daher gibt es mehrere Möglichkeiten, das Update zu umgehen oder dessen Funktion zu blocken. Das funktioniert über die Registry oder das Certutil-Tool. Die Eingabe von „Certutil -setreg chain\minRSAPubKeyBitLength 512“ etwa blockt nur Schlüssel, die weniger als 512 Bit besitzen. Außerdem lässt sich für das Root-Zertifikat eine Ausnahme definieren. Über den Befehl „Certutil -setreg chain\EnableWeakSignatureFlags 2“ wird ein Root-Zertifikat erlaubt, das 512 Bit besitzen darf, alle nachfolgenden Keys müssen aber mindestens 1024 Bit besitzen.

Zudem werden nicht alle Keys automatisch ungültig. Wer Authenticode-Signaturen im Einsatz hat, die vor dem 01. Januar 2010, 12 Uhr (MEZ) mit einem Key, der weniger als 1024 Bits nutzt, gezeichnet wurden, dessen Einträge werden nicht geblockt. Dieser Zeitraum lässt sich anpassen, der entsprechende Schalter in Certutil lautet WeakRsaPubKeyTime. Wer beispielsweise das Datum auf den 29. August 2010 ändern will, erreicht das mit dem Befehl: certutil -setreg chain\WeakRsaPubKeyTime @08/29/2010.

Weitere Befehle und die entsprechenden Einstellung in der Registry erläutert dieser Blogeintrag der US-Kollegen. Die Änderungen in der Verwaltung der Schlüssel sind aus einem einfachen Grund notwendig: Die Schlüssel müssen stark genug sein, dass Angreifer sie nicht innerhalb einer vernünftigen Zeitspanne knacken können. Die Kriterien für RSA-Schlüssel liegen hier, zumindest unserer Meinung nach, bei einer Mindestschlüssellänge von 1024 Bit.

Das Update wird aber wahrscheinlich nicht ohne Ruckeln ablaufen. Der erwähnte Blogeintrag führt einige der Fehler auf, die durch das Update auftreten können. Grundsätzlich können alle Komponenten Fehler auswerfen, die mit Verschlüsselungen arbeiten. Das betrifft etwa SSL-basierte Webdienste, Zertifikate, verschlüsselte E-Mail oder Active-X-Komponenten. Um die Probleme zu minimieren, wird Microsoft kurz vor dem Update am 14. August einen weiteren Blog-Eintrag mit weiteren Informationen, möglichen Fehlern und entsprechenden Lösungen oder Workarounds veröffentlichen. 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.