加密技术改进背景
2013年6月,微软发布安全公告2854544,为企业用户提供更多数字证书管理选项。该功能最初内置于Windows 8/Server 2012/RT系统,后向旧系统反向移植。此次更新并非针对特定事件,而是持续优化证书处理机制以提升安全性。
关键更新内容
-
MD5哈希算法限制
- 安全公告2862973宣布限制微软根证书计划中MD5算法的使用。该更新于2014年2月通过Windows Update推送,企业可提前通过下载中心获取以评估影响。
- 适用范围:服务器认证、代码签名和时间戳(部分证书例外,详见KB 2862973)。
-
非对称加密增强
- 新增算法管理框架,支持管理员配置:
- 加密算法类型(RSA/DSA/ECDSA)
- 最小密钥长度
- 允许的哈希算法(如代码签名用途)
- 技术细节详见Microsoft TechNet文档。
- 新增算法管理框架,支持管理员配置:
-
加密改进时间线
- 安全公告2661254:强制要求RSA密钥长度≥1024位。
- KB 2813430:支持离线环境更新证书信任列表(CTL)。
- KB 2862966:建立非对称加密管理框架。
企业部署建议
- 立即测试MD5限制更新,尤其需清查加密依赖项。
- 通过安全公告2854544集中跟踪所有加密改进状态。
本次更新通过强化签名验证和底层算法,有效抵御内容伪造、中间人攻击和钓鱼行为。
——William Peteroy, MSRC团队