מיקרוסופט: בקרוב ייחסמו תעודות דיגיטליות בעלות מפתח הצפנה קצר

בהודעה ששלחה מיקרוסופט (Microsoft) למנהלי מערכת מתריעה ענקית התוכנה, כי עליהם לוודא שכל האישורים הדיגיטליים כוללים מפתח הצפנה של 1024 ביט לפחות. זאת לקראת השחרור המתוכנן ב-9 בחודש הבא של עדכון אבטחה אוטומטי לחלונות (Windows), שיחייב שכל האישורים הדיגיטליים בהן יהיו באורך של לפחות 1024 ביט.

בעקבות העדכון לא ניתן יהיה לגשת באינטרנט אקספלורר (Internet Explorer), למשל, לאתרים שמאובטחים באישור דיגיטלי של RSA עם מפתח הצפנה קצר מ-1,024 ביט. כמו כן, לא ניתן יהיה להפעיל עם אישורים אלה את שירות סמכות האישורים של חלונות, פקדי ActiveX עשויים להיחסם, משתמשים עשויים להיתקל בקשיים בהתקנת יישומים ובתוכנת אאוטלוק 2010 (Outlook 2010) לא ניתן יהיה להצפין אי-מיילים או לחתום אותם בחתימה דיגיטלית.

עוד הזהירה מיקרוסופט, כי לאחר השחרור של עדכון האבטחה לא יוכל מנגנון Operations Manager לנטר מחשבי HP-UX PA-RISC שאינם מצוידים באישור דיגיטלי בעל מפתח הצפנה של לפחות 1024 ביט, או לגלות מופעים שלהם.

המהלך של מיקרוסופט מוסבר בקלות היחסית שבה ניתן לפצח כיום מפתחות הצפנה באורך של פחות מ-1024 ביט, במתקפות מהסוג המכונה Brute-force attacks. "מפתחות הצפנה פרטיים המשמשים כיום באישורים כאלה עלולים לאפשר לתוקפים לשכפל את האישורים ולאפשר להם לזייף תכנים, לבצע מתקפות דיוג או לבצע מתקפות מתווכות (Man-in-the-middle attacks)", על פי הענקית מרדמונד.

כדי להבטיח פעולה חלקה ותקינה של המערכות לאחר שישוחרר עדכון האבטחה יש לבצע צעד פשוט יחסית: "אלה שמשתמשים באישורי אבטחה בעלי מפתח הצפנה קצר מ-1024 ביט צריכים להנפיק מפתח הצפנה באורך של לפחות 1024 ביט", נכתב בהודעה בבלוג שהתפרסם ב-Microsoft Security Resource Center.

כמו כן, צוין בהודעה, כי "יש להתייחס לערך של 1024 ביט כאל מינימום הכרחי ועל פי שיטות העבודה המומלצות העדכניות ביותר, יש להשתמש במפתח הצפנה באורך של 2048 ביט ומעלה".

עדכון האבטחה של מיקרוסופט מוצע להורדה כבר כיום, ובחברה ממליצים למנהלי המערכת ללמוד אותו ולבחון איזה תהליכים עשויים להיות מושפעים ממנו, עוד לפני השחרור הרשמי בחודש אוקטובר הקרוב.