image

'Microsoft blokkade zwakke RSA-sleutels is ramp'

donderdag 23 augustus 2012, 12:44 door Redactie, 5 reacties

Duizenden werknemers die na de vakantie terugkomen zullen ontdekken dat hun desktops niet meer werken, doordat Microsoft zwakke RSA sleutels blokkeert. Dat laat Calum Macleod van Venafi tegenover Security.nl weten. "Als ze op 3 september terugkeren zullen ze ontdekken dat de laatste fase van Microsoft's actie om encryptiesleutels van minder dan 1024-bits te blokkeren tijdens hun afwezigheid werkelijkheid is geworden."

Ramp
De update was in juni al aangekondigd en verbiedt het gebruik van certificaten met RSA-sleutels die minder dan 1024-bits zijn. Volgens Microsoft is de privésleutel in deze certificaten te achterhalen waarmee een aanvaller certificaten kan dupliceren om ze vervolgens te gebruiken om content te spoofen of phishingaanvallen en man-in-the-middle-aanvallen uit te voeren.

Macleod stelt dat door de blokkade oudere legacysystemen die op zwakke of te korte encryptiesleutels vertrouwen niet meer werken. "Dit kan een ramp voor veel bedrijven betekenen als hun IT-afdelingen of klanten legacy Microsoft applicaties proberen te benaderen of systemen die op zwakkere sleutels vertrouwen. Je systemen stoppen er gewoon opeens mee."

Problemen
Beheerders krijgen het advies om zwakkere sleutels door sterkere sleutels te vervangen. Inmiddels heeft ook het Nationaal Cyber Security Center (NCSC) een factsheet gepubliceerd over het blokkeren van de zwakke RSA-sleutels. Het NCSC verwacht potentiële problemen met zwakke sleutels vooral bij machine-to-machine-communicatie.

"Dergelijke zwakke sleutels worden na deze beveiligingsupdate niet meer geaccepteerd. Dit geldt voor alle functies van het besturingssysteem en alle daarop geïnstalleerde toepassingen. Onder andere certificaten die van deze sleutels gebruik maken voor digitale ondertekening en versleuteling, zullen na de beveiligingsupdate niet meer werken."

Reacties (5)
23-08-2012, 13:11 door [Account Verwijderd]
[Verwijderd]
23-08-2012, 13:50 door dmstork
SRSLY? Sorry, maar doet de geloofwaardigheid van deze persoon niet bepaald goed. Ja, het is iets om rekening mee te houden Het knowledge base artikel geeft ook beschrijvingen in hoe je kunt controleren of je dergelijke certificaten hebt.

Daarnaast snap ik even niet waarom hij op 3 september komt, pas in oktober wordt deze update automatisch uitgerold via Windows Update. Daarvoor verreist het een bewuste handeling (tja, als je descriptions van updates niet leest moet je niet zeuren). Heb je WSUS dan kan de beheerder het ook nog eens verder uitstellen.

Maar: Helaas is er geen link naar de bron van deze uitspraken, ik kan mij voorstellen dat het door de redactie van security.nl wat smeuiger is gemaakt. Zijn eigen CEO komt beter over: http://www.securityweek.com/microsoft-releases-update-forces-minimum-certificate-key-length-1024-bits
23-08-2012, 17:37 door sjonniev
Ik hanteer al jaren een ondergrens van 2048 bits voor alle zelfgegenereerde rsa sleutels.
Het advies van onder andere de BSI om 1024 bits rsa sleutels niet meer toe te passen is al meer dan 10 jaar oud.
23-08-2012, 20:54 door Anoniem
Ik onderschrijf de reactie van Hugo @13.11 helemaal!
24-08-2012, 00:37 door Anoniem
En waarom RSA geburiken en geen ECC?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.