A Flame (SkyWiper) szuperkártevő idei támadása és az abban szereplő, újszerű tanúsítvány-hamisítási trükk nyomán a Microsoft cég a Windows rendszerekbe beépített titkosítási technológiák teljes átvizsgálására kényszerült. Ennek a tűzoltásnak az egyik első eredménye a júliusi foltozókedd keretében közzétett, KB 2728973 jelzésű tanúsítvány-visszavonási lista – amely megbízhatatlannak minősíti és újabb verziókkal váltja fel a szoftveróriás 28 régebbi, saját körben kiadott digitális aláírását.
A jövő hónap elején egy ennél nagyobb jelentőségű változtatás is várható. Az augusztusi foltozókedden a Microsoft kitiltja majd a Windows 7, Vista és XP munkaállomásokról, illetve a Windows 2003 (R2) és 2008 (R2) szerverekről az 1024 bitnél gyengébb RSA titkosítással védett aláíró kulcsokat – hogy így küszöbölje ki az 512 bit erősség feltörhetőségéből eredő, immár reális infobiztonsági veszélyeket. Kiskapuk azonban itt is lesznek, mivel a Microsoft üzleti ügyfeleinek egy-két, szabadságolásokkal terhelt hónap kevés az átálláshoz.
Az olyan, külső gyártóktól származó termékek, mint például az IBM WebSphere, amelyek technikai okokból egy egész kicsit levágnak a titkosító kódból, az 1022-1023 bites kulcsaik ellenére elkerülik a kitiltást. A régi és talán már karban sem tartott alkalmazásokat – amelyeket még 2010. január 1. előtt láttak el valamelyik, ma már elégtelen erősségűnek számító digitális aláírással – szintén nem érinti a tiltás.
Azok a felhasználók, akik egyelőre ragaszkodnának a gyengébb digitális aláírások elfogadásához, szintén segítséget kapnak a Microsoft-tól. Ők speciális registry beállítások révén engedélyezhetik majd a titkosítás minimális erősségének leszállítását 512 bitre – illetve a gyenge tanúsítványok blokkolása helyett, figyelmeztető üzenet naplózása mellett, az ilyen kapcsolatok elfogadására, illetve az így aláírt kód futtatására utasíthatják a rendszert.
A fent említett, remélhetőleg csak átmeneti könnyítésekre minden bizonnyal szükség lesz, mivel világszerte sok olyan szerver üzemel, amely esetlegesen vagy egyáltalán nem kap rendszergazdai odafigyelést. Különösen az SSL (HTTPS) titkosított hozzáférést nyújtó webhelyek között lehetnek olyanok, ahol a naprakész Windows géppel érkező látogatók a kapcsolódást elutasító üzenettel találkoznak majd – illetve az 1024 bitnél gyengébb kulcshosszal aláírt ActiveX vezérlők telepítése, futtatása is blokkolásra kerülhet.
Elvileg a tanúsítványok rendszeres cseréjére és az ilyenkor esetleg bekövetkező technológiai ugrásra, kulcshossz-fejlesztésre a céges informatikusok fel vannak készülve – mivel a digitális aláíró kulcsok beépített lejárattal rendelkeznek és akár néhány havonta megújításra szorulnak. Néha azonban a hitelesítés-szolgáltatók túl hosszú időtartamra adják ki a tanúsítványt, illetve az üzemeltetők az ingyenes önaláírt kulcsokhoz fordulnak, ami lassítja a PKI-infrastruktúrával kapcsolatos tapasztalatszerzést.
A percenként változó belépési biztonsági kódot mutató hardverkulcsok (Aladdin, SecurID, stb. tokenek) újabb kiadásai, mint pl. az RSA SID-800 eszköz szintén problémásak lehetnek. Ennek oka egy extra képesség, amellyel USB porton keresztül PC-re köthetők és ott tanúsítvány-tárolóként, kvázi SmartCard-ként is használhatók. Augusztustól a tokeneken tárolt, 1024 bitnél gyengébb RSA kriptóval nem lehet a Windows-ba bejelentkezni, mert a munkaasztal megjelenése helyett tanúsítvány-láncolási hibaüzenettel szembesülünk — írja a Vírushiradó.hu.
