Microsoft, daha fazla güvenlik sağlamak için 2048 bitten kısa RSA anahtarlarının yakında Windows Aktarım Katmanı Güvenliği'nde (TLS) kullanımdan kaldırılacağını duyurdu.
Rivest-Shamir-Adleman (RSA), gücü doğrudan anahtarın uzunluğuyla ilişkili olan, verileri şifrelemek için genel ve özel anahtar çiftlerini kullanan asimetrik bir şifreleme sistemidir. Bu anahtarlar ne kadar uzun olursa kırılmaları da o kadar zor olur.
1024 bitlik RSA anahtarları yaklaşık 80 bit güce sahipken, 2048 bitlik anahtar yaklaşık 112 bit içerir, bu da sonuncusunun çarpanlarına ayrılmasının dört milyar kat daha uzun olmasını sağlar. Alanındaki uzmanlar 2048 bitlik anahtarların en az 2030 yılına kadar güvenli olduğunu düşünüyor.
RSA anahtarları Windows'ta sunucu kimlik doğrulaması, veri şifreleme ve iletişimin bütünlüğünü sağlama gibi çeşitli amaçlarla kullanılır.
Microsoft'un, TLS sunucu kimlik doğrulamasında kullanılan sertifikalar için RSA anahtarlarına yönelik minimum gereksinimi 2048 bit veya daha uzun bir değere taşıma kararı, kuruluşları zayıf şifrelemeden korumak açısından önemlidir.
Microsoft'un kullanımdan kaldırılanlar listesindeki yeni girdide “Anahtar uzunlukları 2048 bitten kısa olan RSA anahtarlarını kullanan sertifikalara yönelik destek kullanımdan kaldırılacaktır” ifadesi yer alıyor.
“İnternet standartları ve düzenleyici kurumlar, 2013 yılında 1024 bitlik anahtarların kullanımına izin vermedi ve özellikle RSA anahtarlarının 2048 bit veya daha uzun bir anahtar uzunluğuna sahip olması gerektiğini önerdi.”
“Bu kullanımdan kaldırma, TLS sunucu kimlik doğrulaması için kullanılan tüm RSA sertifikalarının Windows tarafından geçerli sayılması için 2048 bit'ten büyük veya buna eşit anahtar uzunluklarına sahip olmasını sağlamaya odaklanıyor.”
Ne yazık ki, bu hamle muhtemelen eski yazılımları ve 1024 bit RSA anahtarlarını kullanan yazıcılar gibi ağa bağlı cihazları kullanan kuruluşları etkileyerek bunların Windows sunucularında kimlik doğrulamasını engelleyecektir.
Microsoft, kullanımdan kaldırmanın ne zaman başlayacağını tam olarak belirtmemiş olsa da, 2012'de 1024 bitin altındaki anahtarların kullanımdan kaldırılmasında gördüğümüz gibi, muhtemelen resmi bir duyuruyu ve ardından bir ek süreyi içerecektir.
Bu yetkisiz kullanım süresi boyunca Windows yöneticileri, hangi cihazların eski anahtarları kullanarak bağlanmaya çalıştığını ve bu değişiklikten etkileneceğini belirlemek için günlüğe kaydetmeyi yapılandırabilir.
Microsoft, sorunları en aza indirmek amacıyla, kurumsal veya test sertifikası yetkilileri tarafından verilen TLS sertifikalarını etkilemeyecek şekilde etki kapsamını sınırlamaya karar vermiştir.
Ancak teknoloji devi, kuruluşların aşağıdaki en iyi güvenlik uygulamalarının bir parçası olarak 2048 bit veya daha uzun RSA anahtarlarını mümkün olan en kısa sürede geçirmelerini şiddetle tavsiye ediyor.