PKI/Zertifikatinfrastruktur: RSA Keys unter 1024 Bit Laenge werden ab August 2012 auf Windows Systemen geblockt

Posted on by

Hallo Leutz,

das Microsoft Windows PKI Team hat angekuendigt, dass mit einem Windows Update im August 2012 ausgestellte Zertifikate mit einem RSA Key kleiner als 1024 Bit blockiert werden.
Das betrifft zur Zeit folgende CSP, welche unter Umstaenden noch von einigen Windows Certificate Templates verwendet werden:
– Microsoft Base Cryptographic Provider v1.0 (RSA)
– Microsoft Base DSS and Diffie-Hellman Cryptographic Provider (DH)
– Microsoft DH SChannel Cryptographic Provider (DH)

Auessern kann sich das neue Blockverhalten wie folgt:
– Error messages when browsing to web sites that have SSL certificates with keys that are less than 1024 bits
– Problems enrolling for certificates when a certificate request attempts to utilize a key that is less than 1024 bits
– Creating or consuming email (S/MIME) messages that utilize less than 1024 bit keys for signatures or encryption
– Installing Active X controls that were signed with less than 1024 bit signatures
– Installing applications that were signed with less than 1024 bit signatures (unless they were signed prior to January 1, 2010, which will not be blocked by default).

Quelle: http://blogs.technet.com/b/pki/archive/2012/06/12/rsa-keys-under-1024-bits-are-blocked.aspx

Der Artikel beschreibt auch wie man die eigene CA Infrastruktur pruefen kann, ob Zertifikatvorlagen mit RSA Key kleiner 1024 Bit verwendet werden und ob Zertifikate basierend auf dem Certificate Template ausgestellt sind. Desweiteren wird beschrieben wie man bereits ausgestellte Zertifikat mit einer hoeheren Schluesselstaerke ausstellen/erneuern kann.

Administratoren sollten sich also umgehend daran machen Ihre Infrastruktur zu pruefen denn aus meiner PKI Erfahrung bei Kunden der zahlreichen letzten Jahre kann ich sagen, dass viele Administratoren dazu neigen, Zertifikate mit sehr langer Lebensdauer auszustellen und wenn das damals noch auf Basis von RSA Keys kleiner als 1024 Bit erfolgte, kann es zu massiven Problemen kommen. Das gleiche gilt fuer die Verwendung von Self Signed Zertifikaten welche sehr gerne verwendet werden. Alle in den letzten Jahren ausgestellte Zertifikate sollte in der Regel RSA Keys groesser als 1024 Bit verwenden, aber einer Pruefung sollte man seiner Umgebung trotzdem goennen.

Der Blog beschreibt auch wie man das Logging der CryptoAPI erhoehen kann (steuerbar ueber Windows Gruppenrichtlinien) und wie man auf aktuellen Windows Systemen das CAPI2 Logging (ab Vista verfuegbar) aktivieren kann um festzustellen, welche Crypto Prozesse noch RSA Keys unter 1024 Bit verwenden. Das CAPI Logging kann man auch sehr gut dazu verwenden um den Windows Event Collector Sevice zu nutzen, alle relevanten EventIDs auf einem zentralen System zu sammeln und auszuwerten.

Gruss Marc