Site Meter Bloqueio de Chaves RSA abaixo de 1024 bits (Parte 1) - Negócio de Risco - Site Home - TechNet Blogs

Negócio de Risco

Blog do Time de Segurança da Microsoft Brasil

Bloqueio de Chaves RSA abaixo de 1024 bits (Parte 1)

Bloqueio de Chaves RSA abaixo de 1024 bits (Parte 1)

  • Comments 6
  • Likes

No próximo dia 14 de agosto, a Microsoft lançará uma atualização crítica para o sistema operacionais atualmente suportáveis: Windows XP, Windows Server 2003, Windows Server 2003 R2, Windows Vista, Windows Server 2008, Windows 7, e Windows Server 2008 R2. Esta atualização bloqueará o uso de chaves abaixo de 1024 bits. Por isso, alguns problemas podem surgir após a aplicação desta atualização, tais como:

  • Erros de mensagem na navegação através do browser para web sites com certificados SSL com chaves abaixo de 1024 bits
  • Problemas na obtenção de certificados caso a requisição tente fazer a utilização de uma chave abaixo de 1024 bits
  • Utilização e leitura de mensagens de correio segura (S/MIME) que façam uso de assinatura digital ou criptografada abaixo de 1024 bits
  • Instalação de controles ActiveX que foram assinado com chaves menores que 1024 bits
  • Instalação de aplicações que foram assinadas com chaves abaixo de 1024 bits, com exceção se as mesmas foram assinadas antes de 1º de Janeiro de 2010, estas não serão bloqueadas por padrão

Para se preparar para o recebimento desta atualização, você deve determinar se sua organização está utilizando chaves menores que 1024 bits. A Microsoft disponibilizou dois artigos com orientações técnicas de como isso pode ser realizado (1) bem como algumas alternativas para minimizar o impacto da atualização através de algumas mudanças para permitir o uso de chaves abaixo de 1024, mesmo após a instalação da atualização (2):

  1. RSA keys under 1024 bits are blocked
    http://blogs.technet.com/b/pki/archive/2012/06/12/rsa-keys-under-1024-bits-are-blocked.aspx
  2. Blocking RSA Keys less than 1024 bits (part 2)
    http://blogs.technet.com/b/pki/archive/2012/07/13/blocking-rsa-keys-less-than-1024-bits-part-2.aspx
Comments
  • Daniel, esta atualização afetará também aplicação que apenas faz uso de chaves RSA de 512 bits para proteger chaves simétricas, sem data de validade? Por exemplo chave RSA que não esta vinculada a nenhum certificado.

  • Olá Eduardo,

    Eu necessitaria de mais detalhes desta aplicação uma resposta mais concreta. Mas posso dizer que se a aplicação faz o uso de RSA com 512 bits mesmo sem prazo de validade ou mesmo sem estar associado a um certificado a resposta é sim, vai ser afetada pela atualização. Alguns workarounds para evitar problemas seria:

    1) Reconfigurar a aplicação para fazer uso de chaves 1024 ou superior; ou

    2) Não instalar a atualização que será publicada como KB 2661254; ou

    3) Prevenir que o atualização 2661254 não bloqueie chaves 512 bits através das configurações no registro conforme documentado em:

    blogs.technet.com/.../blocking-rsa-keys-less-than-1024-bits-part-2.aspx

  • Daniel, baseado na sua resposta eu posso entender que qualquer biblioteca de criptografia que faz uso do algoritmo RSA será afetado por esta atualização? Por exemplo Cripto API, OpenSSL, etc!

  • Dos sistemas listados, apenas Windows Server 2008, Windows 7, e Windows Server 2008 R2 são suportáveis, os outros são insuportáveis.

  • Eduardo,

    Neste caso não, apenas Microsoft Cryto API vai ser afetada.

  • O Windows XP e Windows Server 2003 ainda são sistemas operacionais suportáveis pela Microsoft. No caso, ambos estão na fase de Suporte Estendido e recebem atualizações de segurança.

    O Windows XP, por exemplo, estará com suporte estendido até 08/04/2014. Conforme:

    support.microsoft.com/lifecycle

    O Windows Server 2003 até 14/07/2015. Conforme:

    support.microsoft.com/lifecycle

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment