微软正在采取额外措施来解决其数字证书的缺陷,同时撤销了另外二十多个用于验证其软件真实性的加密密钥。
据微软七月发布的安全公告表示,撤销那些证书是因为保护它们的加密算法不够安全,很容易被破解。这一举措是在网络犯罪分子伪造其机制针对伊朗进行针对性攻击后(作为一个民族国家的情报搜集行动),微软为提高其Windows更新机制的安全性而进行的项目的一部分。
“常规审查后,我们将这些证书都放在不可信证书存储区,并更换新的证书颁发机构,以满足我们高标准的公钥基础设施(PKI)管理,”微软说道。“我们不知道任何滥用的证书颁发机构,但正在采取先发制人的行动来保护客户。”
撤销包括一个支持所有Microsoft Windows版本的更新。微软还为Windows系统提供了一个自动化程序,用来检查撤销列表,该功能于上月公布,但需要通过微软的自动软件更新机制才能被推出。有关数字证书撤销的其他信息可通过微软的TechNet知识库文章查看。
8月即将推出的一个更新会使使用密钥长度小于1024位的RSA算法的数字证书失效。“即使它们在其他方面是有效的,或是由可信的证书颁发机构签署的,”微软的安全团队的成员Gerardo Di Giacomo和Jonathan Ness在一篇博客文章概述了该变化。
火焰恶意软件工具包(Flame malware toolkit)提示关注数字证书
该更新是在老练的网络犯罪分子利用数字证书缺陷进行针对性攻击后推出的,微软试图强化其内部PKI实践和其Windows更新渠道PKI处理。
6月份,在进行了一系列火焰恶意软件(网络间谍恶意软件工具包)分析后,微软撤销了该数字证书。攻击者使用数字证书在受害者的机器上冒充Windows更新机制。针对性攻击在伊朗影响不到200人,被认为是由美国和以色列情报机构联合执行的。
功击者似乎是使用加密碰撞攻击来应对弱加密算法。安全专家表示,微软担心受经济利益驱动的犯罪分子可以复制火焰恶意软件编写者使用的技术,从而进行更广泛的攻击。
