网络安全

针对 Windows 7 和 Windows Server 2008 R2 提供 SHA-2 代码签名支持

发布时间:2015-11-06 14:41

Microsoft 安全公告 30339293
针对 Windows 7 和 Windows Server 2008 R2 提供 SHA-2 代码签名支持
发布日期: 2015-3-10
版本: 1.0
一般信息
执行摘要
Microsoft 宣布针对 Windows 7 和 Windows Server 2008 R2 的所有受支持版本补充一个更新,以便添加 SHA-2 签名和验证功能支持。 此更新替代 2014 年 10 月 17 日废止的 2949927 更新,以解决安装后某些客户遇到的问题。 如同原始版本,Windows 8、Windows 8.1、Windows Server 2012、Windows Server 2012 R2、Windows RT 和 Windows RT 8.1 不需要此更新,因为 SHA-2 签名和验证功能已包含在这些操作系统中。 此更新不适用于 Windows Server 2003、Windows Vista 或 Windows Server 2008。
建议。 启用了自动更新且配置为从 Microsoft 更新联机检查更新的客户通常不需要执行任何操作,因为将自动下载和安装此安全更新。 尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。 有关自动更新中特定配置选项的信息,请参阅 Microsoft 知识库文章 294871。
对于手动安装更新的客户(包括尚未启用自动更新的客户),Microsoft 建议使用更新管理软件或通过使用 Microsoft 更新服务检查更新来尽早应用该更新。 更新也可以通过本公告“受影响的软件”表中的下载链接获取。
公告详细信息
问题参考有关此问题的详细信息,请参阅以下参考:参考资料标识Microsoft 知识库文章3033929 (取代 2949927)
受影响的软件
此公告讨论以下软件。
操作系统替代的更新Windows 7(用于 32 位系统)Service Pack 1 (3033929)(1)MS15-025 中的 3035131Windows 7(用于基于 x64 的系统)Service Pack 1 (3033929)(1)MS15-025 中的 3035131Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 (3033929)(1)MS15-025 中的 3035131Windows Server 2008 R2(用于基于 Itanium 的系统)Service Pack 1 (3033929)(1)MS15-025 中的 3035131服务器核心安装选项MS15-025 中的 3035131Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)(3033929)(1)MS15-025 中的 3035131[1]3033929 更新已影响二进制文件,与通过 MS15-025 同时发布的 3035131 更新相同。 手动下载和安装更新的客户,以及计划安装这两个更新的客户,应先安装 3035131 更新,然后安装 3033929 更新。
公告常见问题
此公告的适用范围有多大?
此公告的目的是通知客户提供了一个更新,它可向 Windows 7 和 Windows Server 2008 R2 的所有受支持版本添加 SHA-2 哈希算法功能。
这是否是一个需要 Microsoft 发布安全更新的安全漏洞?
否。SHA-1 的替代签名机制已推出一段时间,不鼓励使用 SHA-1 作为一种哈希算法进行签名,这不再是最佳做法。 Microsoft 建议使用 SHA-2 哈希算法,将发布此更新来使客户能够将数字证书密钥迁移到更安全的 SHA-2 哈希算法。
SHA-1 哈希算法的原因是什么?
问题的根本原因是 SHA-1 哈希算法的一个已知弱点,存在冲突攻击的风险。 此类攻击使攻击者能够生成与原始证书具有相同数字签名的其他证书。 这些问题经过充分了解,不鼓励将 SHA-1 证书用于需要阻止这些攻击的特定目的。 在 Microsoft,安全开发生命周期要求 Microsoft 不再使用 SHA-1 哈希算法作为 Microsoft 软件中的默认功能。 有关详细信息,请参阅 Microsoft 安全公告 2880823 和 Windows PKI 博客条目 SHA1 否决策略。
此更新有什么作用?
此更新将向受影响的系统添加 SHA-2 哈希算法签名和验证支持,它包括以下内容:在 Cabinet 文件上支持多个签名在 Windows PE 文件上支持多个签名支持查看多个数字签名的 UI 更改能够验证代码完整性组件的 RFC3161 时间戳,该组件可验证内核中的签名支持各种 API,括 CertIsStrongHashToSignCryptCATAdminAcquireContext2 和 CryptCATAdminCalcHashFromFileHandle2什么是安全哈希算法 (SHA-1)?
安全哈希算法 (SHA) 是为了与数字签名算法 (DSA) 或数字签名标准 (DSS) 一起使用而开发的,将生成 160 位哈希值。 SHA-1 具有已知弱点,存在冲突攻击的风险。 此类攻击使攻击者能够生成与原始证书具有相同数字签名的其他证书。 有关 SHA-1 的详细信息,请参阅哈希和签名算法。
什么是 RFC3161?
RFC3161 定义 Internet X.509 公钥基础结构时间戳协议 (TSP),该协议描述时间戳颁发机构 (TSA) 的请求和响应的格式。 可以使用 TSA 证明数字签名是在公钥证书的有效期内生成的,请参阅 X.509 公钥基础结构。
什么是数字证书?
对于公钥加密,其中一个密钥(称为“私钥”)必须保密。 其他密钥(称为“公钥”)可与公众共享。 然而,密钥的所有者必须得有一种方法来告诉公众该密钥归谁所有。 数字证书提供了执行此操作的方法。 数字证书是用于认证个人、组织或计算机的联机身份的电子凭据。 数字证书包含一个公钥,并与其相关信息(归谁所有、供谁使用、何时到期等等)打包在一起。 有关详细信息,请参阅了解公钥加密和数字证书。
数字证书的用途是什么?
数字证书主要用于检验人员或设备的身份、验证服务或加密文件。 通常,根本不需要考虑证书,但是偶尔会有消息指出证书过期或无效。 在这些情况下,您应按照消息中提供的说明操作。
此更新 (3033929) 与 MS15-025 中讨论的 3035131 更新有什么联系?
此更新 (3033929) 与通过 MS15-025 同时发布的 3035131 更新共享受影响的二进制文件。 此重叠迫使一个更新取代另一个更新,且在这种情况下,公告更新 3033929 取代更新 3035131。启用了自动更新的客户不会遇到异常安装行为;两个更新应自动安装且应显示在已安装更新的列表中。 但是,对于手动下载和安装更新的客户,更新安装的顺序将确定观察到的行为,如下所示:
情景 1(首选): 客户首先安装更新 3035131,然后安装公告更新 3033929。 结果: 两个更新应正常安装且应显示在已安装更新的列表中。 情景 2: 客户首先安装公告更新 3033929,然后安装更新 3035131。结果: 安装程序通知用户 3035131 更新已安装在系统上;且 3035131 更新未添加到已安装更新的列表中。
建议措施
为 Microsoft Windows 的受支持版本应用更新
大部分客户已启用“自动更新”,且不需要执行任何操作,因为系统将自动下载并安装此更新。 尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。 有关自动更新中特定配置选项的信息,请参阅 Microsoft 知识库文章 294871。
对于管理员和企业安装,或者想要手动安装此安全更新的最终用户(包括未启用自动更新的客户),Microsoft 建议客户使用更新管理软件或通过使用 Microsoft 更新服务检查更新来尽早应用该更新。 更新也可以通过本公告“受影响的软件”表中的下载链接获取。
其他建议
措施保护您的 PC
我们仍鼓励客户按照“保护您的计算机”指导启用防火墙、获取软件更新并安装防病毒软件。 有关详细信息,请参阅 Microsoft 安全中心。
及时更新 Microsoft 软件
运行 Windows 软件的用户应该应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到最好的保护。 如果不确定您的软件是否最新,请访问 Microsoft 更新,扫描您的计算机以获取可用更新,并安装向您提供的任何高优先级更新。 如果“自动更新”已启用并配置为向 Microsoft 产品提供更新,则此更新将在发布后自动传输给您,但您应验证它们是否已安装。

Baidu
map