因加密缺陷 微軟撤銷額外的數字證書

微軟正在采取額外措施來解決其數字證書的缺陷，同時撤銷了另外二十多個用于驗證其軟件真實性的加密密鑰。

據微軟七月發布的安全公告表示，撤銷那些證書是因為保護它們的加密算法不夠安全，很容易被破解。這一舉措是在網絡犯罪分子偽造其機制針對伊朗進行針對性攻擊后（作為一個民族國家的情報搜集行動），微軟為提高其Windows更新機制的安全性而進行的項目的一部分。

“常規審查后，我們將這些證書都放在不可信證書存儲區，并更換新的證書頒發機構，以滿足我們高標準的公鑰基礎設施（PKI）管理，”微軟說道。“我們不知道任何濫用的證書頒發機構，但正在采取先發制人的行動來保護客戶。”

撤銷包括一個支持所有Microsoft Windows版本的更新。微軟還為Windows系統提供了一個自動化程序，用來檢查撤銷列表，該功能于上月公布，但需要通過微軟的自動軟件更新機制才能被推出。有關數字證書撤銷的其他信息可通過微軟的TechNet知識庫文章查看。

8月即將推出的一個更新會使使用密鑰長度小于1024位的RSA算法的數字證書失效。“即使它們在其他方面是有效的，或是由可信的證書頒發機構簽署的，”微軟的安全團隊的成員Gerardo Di Giacomo和Jonathan Ness在一篇博客文章概述了該變化。

火焰惡意軟件工具包（Flame malware toolkit）提示關注數字證書

該更新是在老練的網絡犯罪分子利用數字證書缺陷進行針對性攻擊后推出的，微軟試圖強化其內部PKI實踐和其Windows更新渠道PKI處理。

6月份，在進行了一系列火焰惡意軟件（網絡間諜惡意軟件工具包）分析后，微軟撤銷了該數字證書。攻擊者使用數字證書在受害者的機器上冒充Windows更新機制。針對性攻擊在伊朗影響不到200人，被認為是由美國和以色列情報機構聯合執行的。

功擊者似乎是使用加密碰撞攻擊來應對弱加密算法。安全專家表示，微軟擔心受經濟利益驅動的犯罪分子可以復制火焰惡意軟件編寫者使用的技術，從而進行更廣泛的攻擊。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]