微软已撤销超过两打的数字证书,以证明其产品真正的后发现,其中一些可能会受到相同的由火焰间谍恶意软件的设计者精心策划的攻击类型。
周二28证书撤销是一个更大的微软的密钥管理方案的设计,使其更耐滥用大修的一部分。大扫除如下上个月发现,一些公司值得信赖的数字签名被滥用,证明火焰恶意软件的有效性,在伊朗和其他中东国家已感染电脑。通过伪造加密的出版许可使用证明Windows更新的合法性,火焰能够从一台计算机传播到另一个内部的感染网络。
中级证书,火焰滥用劫持Windows更新机制,至少一些微软周二提出不受信任的证书存储证书所载当局代码签名权限一样。一个咨询的特点为“先发制人清理”的吹扫说有没有任何证书已被滥用或损害的证据。
火焰,而据报道,美国和以色列政府的部署,以破坏伊朗的核计划,利用微软的证书,使用世界级的加密漏洞。大修是在微软以前的密钥管理系统所造成的漏洞修复的关键步骤。通过链接几个公司的敏感root权限低权限证书,工程师无意中设计了一个系统,有可能为攻击者劫持微软使用数以百万计的电脑提供更新的机制。该公司还依赖于MD5的加密算法,一直被称为是容易受到攻击,可以颠覆一个证书的安全。微软的管理方式键锁定的持续关注,是值得赞扬的,但工作还远没结束。
“这个问题是可以实现比他们更难,”内特 - 劳森,一个密码专家和安全顾问根实验室的主要告诉Ars。“他们已经有很多的证书自1996年左右或使链回到他们的根。”
事实上,周二撤销证书的名称微软IPTVe CA的之一,它涉及到Microsoft TV IPTV版本,这是正在积极地在2007年销售。
每个证书,而不是最终导致根,劳森说,一个更好的办法可能是分裂的Windows,手机,XBOX,和其他主要产品为新的根。然后,在违约事件,旧的私钥只能影响老产品,每个产品线是孤立的,这样的一个关键的妥协并不渗入其他。
“我的设计理念是,不应该有一个根统治他们所有,但其他人可能不同意,他解释说:”在一封电子邮件。“即使公司微软的大小,可以得到由20个单独的”根“证书按产品类别划分的分裂,内部/外部等”
周二的证书管理改革还包括一个变化,提供了一个自动化的过程,更迅速地撤销妥协的人使用的计算机上运行Windows Vista和微软的操作系统最近发布的证书。上个月发布的功能,但它现在虽然Windows“重要的非安全更新”。
微软的官员也通知用户的变化,从下个月开始,在这短短的RSA密钥将被封锁。“一旦我们在八月发布此更新,我们将会把所有这些证书小于1024位视为无效,即使他们是目前有效且受信任的证书颁发机构签署的,”微软的顾问说。“我们提醒你,让每个人的时间进行必要的调整。” 在一般的位数越多包含在一个关键,就越难用蛮力攻击是裂纹。
关键管理人员的变动中,每月发布的各种微软产品的安全性更新补丁星期二。该公司所有,解决至少16漏洞发布9个安全公告。三个更新在Internet Explorer,Microsoft XML核心服务,Microsoft数据访问组件有一个关键的严重性等级。其余六个被评为重要。
有用
53
