Microsoft alza il limite minimo delle chiavi RSA

Cancello sul mare / Gate to the seaIl patch tuesday di ottobre conterrà l’aggiornamento di cui all’articolo KB2661254.

L’avviso è stato diramato con così largo anticipo per l’impatto che potrebbe avere in molte organizzazioni: una volta installata KB2661254 non verranno più considerate valide le chiavi RSA con lunghezza minore di 1024 bit.

È possibile scaricare fin d’ora l’aggiornamento dalla pagina dell’articolo per poter condurre i test opportuni in un ambiente controllato. Considerato l’impatto dell’aggiornamento è consigliabile eseguire comunque un’analisi per verificare se si stanno ancora usano chiavi RSA non più considerate sicure.

Kurt Hudson ha scritto un articolo tecnico nel blog Technet PKI in merito a questo aggiornamento (qui la seconda parte).

Le principali conseguenze di questo aggiornamento sono:

  • Una CA di Windows non potrà emettere certificati di lunghezza inferiore a 1024 bit.
  • La CA non parte se utilizza un certificato di lunghezza inferiore ai 1024 bit.
  • Internet Explorer non accede a siti firmati con chiavi RSA di lunghezza inferiore ai 1024 bit.
  • Outlook 2010 non firma o cripta messaggi con chiavi di lunghezza inferiore a 1024 bit né si collega in SSL a server di Exchange che non rispettano quella regola. In questo ultimo caso il messaggio di errore che appare è Information you exchange with this site cannot be viewed or changed by others. However, there is a problem with the site’s security certificate. The security certificate is not valid. The site should not be trusted.
  • L’installazione di software o driver firmati con chiavi RSA di lunghezza inferiore ai 1024 bit provocherà il medesimo messaggio di avviso che compare quando il software non è firmato correttamente.

I sistemi operativi interessati da questa patch sono:

  • Windows XP
  • Windows Server 2003
  • Windows Vista
  • Windows 2008
  • Windows 7
  • Windows 2008 R2

La patch verrà rilasciata a tutti i computer interessati il 9 di ottobre; le organizzazioni che non vogliono che venga installata automaticamente hanno tempo sufficiente per bloccare l’installazione automatica di ottobre.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

4 pensieri riguardo “Microsoft alza il limite minimo delle chiavi RSA”

    1. Molto difficile perché non credo che siano chiavi <1024.
      Inoltre se usano software come Dyke, il tutto avviene al di fuori delle API di Microsoft. Alcuni sistemi tipo Infocamere fanno importare una CA in Windows, ma credo prorprio sia >=1024. Per sicurezza basta seguire la procedura indicata nella nota tecnica per vedere se si hanno nel “portachiavi” delle chiavi <1024

Spazio per un commento