Die offizielle Unterstützung für Windows XP mag zwar im April 2014 auslaufen (mehr dazu hier). Wir ignorieren das Betriebssystem deshalb aber natürlich nicht. So ist es uns ein wichtiges Anliegen, auf den Umstieg vom Hash-Algorithmus SHA-1 auf einen der unter SHA2 zusammengefassten Nachfolger hinzuweisen. Zu diesem Wechsel rät unter anderem die US-Behörde NIST.

Wer SHA2 auf Windows XP verwenden möchte, muss dazu das Service Pack 3 installieren. Danach kann Windows XP mit folgenden SHA2-Hashes umgehen: SHA-256, SHA-384 und SHA-512. Beim Windows Server 2003 ist es allerdings etwas komplizierter: Im SP2 ist keine Unterstützung integriert, allerdings lassen sich die Funktionen zumindest teilweise nachrüsten. Die passenden Knowledge-Base-Einträge dafür sind KB938397 und KB968730.

Seit Vista enthalten alle Desktop- und Server-Betriebssystem von Microsoft den sogenannten Cryptography Next Generation Suite B Algorithmus, zu dem auch SHA2 gehört. Wer also Windows Vista, Windows 7, Server 2008 oder Server 2008 R2 betreibt, der muss nichts mehr nachinstallieren.

Empfehlung für den Einsatz mit Windows XP und Server 2003

Im Alltag können vor allem dann Probleme auftreten, wenn ältere Versionen von Windows mit einem Produkt oder einem Dienst eines Drittanbieters interagieren, falls dieser auf SHA2 umsteigt. Die Kollegen des englischsprachigen Windows PKI Blogs haben daher folgende Empfehlungen beim Einsatz ausgesprochen

  • Wenn Windows XP aktuell in der betroffenen IT-Umgebung genutzt wird, sollte in jedem Fall das Service Pack 3 installiert sein. Das bringt nicht nur die SHA2-Funktionen, es ist zudem die einzige Version von Windows XP, die wir noch unterstützten
  • Wenn die Windows XP-Systeme Zertifikate von einer SHA2-CA (Certificate Authority) benötigen, sollte der Knowledge Base Eintrag KB968730 angewandt werden
  • Wenn Windows Server 2003 zum Einsatz kommt, sollten Service Pack 1 oder Service Pack 2 sowie die Patches aus KB938397 eingespielt werden.
  • Wenn sich der Windows Server 2003 Zertifikate von einer SHA2-CA holen soll, empfehlen wir die Installation von SP2 und KB968730. Letzterer macht zudem KB938397 unnötig.

Sonderfall: S/MIME und Outlook

Neben dem Einsatz zum Login werden Smart Cards auch gerne zum Signieren von E-Mails per S/MIME verwendet. Ist Outlook in Version 2003, 2007 oder 2010 auf einem Rechner mit Windows XP SP3 installiert, kann das Programm ein Zertifikat signieren und validieren, wenn dieses mit SHA2 signiert wurde. Allerdings können die Programme auf Windows XP SP3 keine E-Mail-Nachrichten validieren, wenn diese Nachricht mit SHA2 signiert wurde. Im Gegenzug können Nutzer auf Windows XP ihre Outlook-Nachrichten nur per SHA-1 oder MD5 signieren, SHA2 ist nicht möglich. Um Nachrichten mit SHA2 zu validieren, ist mindestens Windows Vista mit Outlook 2003 notwendig (neuere Systeme und Versionen von Outlook gehen natürlich auch); um SHA2-Nachrichten zu signieren und zu validieren benötigt der Nutzer mindestens Windows Vista und mindestens Outlook 2007.

Die Kollegen im PKI-Blog haben am Ende ihres Beitrags eine sehr gute Übersicht zu den verschiedenen Anwendungsfällen von SHA2 und Windows-Systemen zusammengestellt. Zudem sollten Unternehmen und Nutzer nicht vergessen, dass der Extended Support für Windows XP im April 2014 ausläuft. 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.