Die Verwendung bestimmter kryptografische Algorithmen und Protokolle in Dateien "Schannel.dll" einschränken

Dieser Artikel beschreibt die Verwendung bestimmter kryptografische Algorithmen und Protokolle in der Datei "Schannel.dll" einschränken.

Diese Informationen gelten auch für unabhängige Softwareanbieter (Independent Software Vendor, ISV) Anwendungen für die Microsoft Cryptographic API geschrieben wurden.

Die folgenden Crypto-Dienstanbieter (CSPs) in Windows NT 4.0 Service Pack 6 enthalten sind die Zertifikate für ausgezeichnet FIPS-140-1-Crypto-Validierung:

• Microsoft Base Cryptographic Provider ("Rsabase.dll")
• Microsoft Enhanced Cryptographic Provider (Rsaenh.dll) [kein Export Version]

Microsoft TLS/SSL Security Provider, die Datei "Schannel.dll" verwendet die sichere Kommunikation über SSL oder TLS durchführen, die Unterstützung von Microsoft Internet Explorer und Internet Information Server (IIS) aufgeführten CSPs.

Sie können die Datei "Schannel.dll" zur Unterstützung von Cipher Suite 1 und 2 ändern, aber das Programm muss auch Chiffre-Suite 1 und 2 unterstützen. Chiffre-Suite 1 und 2 werden in IIS 4.0 und 5.0 nicht unterstützt.

Dieser Artikel enthält die erforderlichen Informationen zum Konfigurieren der Windows NT 4.0 Service Pack 6 und höher TLS/SSL Security Provider. Können Sie die Windows-Registrierung, die Verwendung von bestimmten SSL 3.0 oder TLS 1.0 Cipher Suites in Bezug auf den der kryptografischen Algorithms, die von Microsoft Base oder Enhanced Cryptographic Provider unterstützt wird.

Hinweis: In Windows NT 4.0 Service Pack 6 Microsoft Base DSS Cryptographic Provider ("Dssbase.dll") oder die Microsoft-DS/Diffie-Hellman Enhanced Cryptographic Provider (Dssenh.dll), wird die Datei "Schannel.dll" nicht verwendet.

Cipher Suites

Beide SSL 3.0 ()http://www.Mozilla.org/Projects/Security/PKI/NSS/SSL/draft302.txt), und TLS 1.0 (RFC2246) mit INTERNET-DRAFT "56-Bit-Export Cipher Suites für TLS-Draft-ietf-tls-56-bit-ciphersuites-00.txt" bieten Optionen, um die verschiedenen Verschlüsselungsverfahren zu verwenden. Jeder Chiffre-Suite bestimmt den Schlüsselaustausch, Authentifizierung, Verschlüsselung und MAC-Algorithmen innerhalb einer SSL/TLS-Sitzung verwendet. Beachten Sie, dass bei Verwendung von RSA-Schlüsselaustausch und Authentifizierungsalgorithmen, der Begriff RSA wird nur einmal in die entsprechenden Definitionen der Cipher Suite.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider unterstützt die folgenden "Verschlüsselung" in SSL 3.0 definiert werden, wenn Sie den Microsoft Base oder Enhanced Cryptographic Provider verwenden:Hinweis: weder SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA noch SSL_RSA_EXPORT1024_WITH_RC4_56_SHA ist in SSL 3.0 Text definiert. Allerdings unterstützen eine Reihe von SSL 3.0-Anbietern, einschließlich Microsoft, diese.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider unterstützt auch die folgenden "Verschlüsselung" bei Verwendung von Microsoft Base oder Enhanced Cryptographic Provider im TLS 1.0 definiert:

Hinweis: eine Verschlüsselungssuite definiert, mit dem ersten Byte "0 x 00" ist nicht privat und für offene interoperable Kommunikation verwendet wird. Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider folgt als solche, die Verfahren für die Verwendung dieser Cipher Suites gemäß SSL 3.0 und TLS 1.0-Spezifikationen zur Gewährleistung der Interoperabilität.

SChannel-spezifischen Registrierungsschlüssel

Wichtig Dieser Abschnitt, die Methode oder die Aufgabe enthält Schritte, die erklären, wie Sie die Windows-Registry ändern. Es können schwerwiegende Probleme auftreten, wenn Sie die Windows-Registry falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie Änderungen vornehmen. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Für Weitere Informationen zum Sichern und Wiederherstellen der Registrierung, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

SCHANNEL-Schlüssel

Starten Sie Registrierungs-Editor (Regedt32.exe), und suchen Sie den folgenden Schlüssel in der Registrierung.

SCHANNEL\Protocols-Unterschlüssel

Um die Verwendung der Protokolle zu aktivieren, die nicht in der Standardeinstellung (z. B. TLS 1.1 oder TLS 1.2) ausgehandelt werden, ändern Sie die DWORD-Datenwert des Wertes DisabledByDefault auf 0 x 0 jeweils folgende Registry-Schlüssel unter dem Schlüssel Protokolle:

• SCHANNEL\Protocols\TLS 1.1\Client
• SCHANNEL\Protocols\TLS 1.1\Server
• SCHANNEL\Protocols\TLS 1.2\Client
• SCHANNEL\Protocols\TLS 1.2\Server

Warnung: der DisabledByDefault -Wert in die Registry-Schlüssel unter dem Schlüssel Protokolle haben Vorrang vor nicht über den GrbitEnabledProtocols -Wert, der in der SCHANNEL_CRED-Struktur definiert ist, die Daten für ein Schannel-Anmeldeinformationen enthält.

SCHANNEL\Ciphers-Unterschlüssel

Der Chiffren Registrierungsschlüssel unter dem Schlüssel SCHANNEL wird die Verwendung von symmetrischen Algorithmen wie DES oder RC4 verwendet. Im folgenden werden die gültigen Registrierungsschlüssel unter dem Schlüssel Chiffren .

SCHANNEL\Ciphers\RC4 128/128-Unterschlüssel:

RC4 128/128

Dieser Teilschlüssel bezieht sich auf 128-Bit RC4.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert des Werts, der aktiviert0xFFFFFFFF, die Daten DWORD-Wert anderweitig ändern 0 x 0. Wenn Sie den Wert aktiviert nicht konfigurieren, ist standardmäßig aktiviert. Dieser Registrierungsschlüssel gilt nicht für einen Server exportiert, die nicht mit einem SGC-Zertifikat besitzt.

Dieser Algorithmus effektiv deaktivieren lässt:

• SSL_RSA_WITH_RC4_128_MD5
• SSL_RSA_WITH_RC4_128_SHA
• TLS_RSA_WITH_RC4_128_MD5
• TLS_RSA_WITH_RC4_128_SHA

SCHANNEL\Ciphers\Triple DES 168/168 Unterschlüssel:

Dreifach-DES-168

Dieser Registrierungsschlüssel verweist auf 168-Bit-Triple-DES gemäß ANSI-X9.52 und Entwurf FIPS 46-3. Dieser Registrierungsschlüssel gilt nicht für die Export-Version.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert des Werts, der aktiviert0xFFFFFFFF, andernfalls die DWORD-Daten zu ändern 0 x 0. Wenn Sie den Wert aktiviert nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt:

• SSL_RSA_WITH_3DES_EDE_CBC_SHA
• SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
• VERSCHLÜSSELUNGSSAMMLUNG
• TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

SCHANNEL\Ciphers\RC2 128/128-Unterschlüssel:

RC2 128/128

Dieser Registrierungsschlüssel verweist auf 128-Bit RC2. Es gilt nicht für die Export-Version.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert des Werts, der aktiviert0xFFFFFFFF, die Daten DWORD-Wert anderweitig ändern 0 x 0. Wenn Sie den Wert aktiviert nicht konfigurieren, ist standardmäßig aktiviert.

SCHANNEL\Ciphers\RC4 64/128-Unterschlüssel:

RC4 64/128

Dieser Registrierungsschlüssel verweist auf 64-Bit-RC4. Es gilt nicht für die Export-Version (aber in Microsoft Money verwendet wird).

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert des Werts, der aktiviert0xFFFFFFFF, die Daten DWORD-Wert anderweitig ändern 0 x 0. Wenn Sie den Wert aktiviert nicht konfigurieren, ist standardmäßig aktiviert.

SCHANNEL\Ciphers\RC4 56/128-Unterschlüssel:

RC4 56/128

Dieser Registrierungsschlüssel verweist auf 56-Bit-RC4.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert des Werts, der aktiviert0xFFFFFFFF, die Daten DWORD-Wert anderweitig ändern 0 x 0. Wenn Sie den Wert aktiviert nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt:

• TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

SCHANNEL\Ciphers\RC2 56/128-Unterschlüssel:

RC2 56/128

Dieser Registrierungsschlüssel verweist auf 56-Bit RC2.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert des Werts, der aktiviert0xFFFFFFFF, die Daten DWORD-Wert anderweitig ändern 0 x 0. Wenn Sie den Wert aktiviert nicht konfigurieren, ist standardmäßig aktiviert.

SCHANNEL\Ciphers\RC2 56/56 Unterschlüssel:

DES-56

Dieser Registrierungsschlüssel verweist auf 56-Bit DES wie in FIPS 46-2 angegeben. Seine Implementierung in den Dateien "Rsabase.dll" und "Rsaenh.dll" wurde unter FIPS 140-1 kryptografische Modul Validierungsprogramm überprüft.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert des Werts, der aktiviert0xFFFFFFFF, die Daten DWORD-Wert anderweitig ändern 0 x 0. Wenn Sie den Wert aktiviert nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt:

• SSL_RSA_WITH_DES_CBC_SHA
• TLS_RSA_WITH_DES_CBC_SHA

SCHANNEL\Ciphers\RC4 40/128-Unterschlüssel:

RC4 40/128

Dies bezieht sich auf 40-Bit RC4.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert des Werts, der aktiviert0xFFFFFFFF, die Daten DWORD-Wert anderweitig ändern 0 x 0. Wenn Sie den Wert aktiviert nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt:

• SSL_RSA_EXPORT_WITH_RC4_40_MD5
• TLS_RSA_EXPORT_WITH_RC4_40_MD5

SCHANNEL\Ciphers\RC2 40/128-Unterschlüssel:

RC2 40/128

Dieser Registrierungsschlüssel bezieht sich auf 40-Bit RC2.

Um diese Chiffre-Algorithmus zu ermöglichen, ändern Sie den DWORD-Wert des Werts, der aktiviert0xFFFFFFFF, die Daten DWORD-Wert anderweitig ändern 0 x 0. Wenn Sie den Wert aktiviert nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt:

• SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
• TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5

SCHANNEL\Ciphers\NULL-Unterschlüssel:

NULL

Dieser Registrierungsschlüssel bedeutet keine Verschlüsselung. Es ist standardmäßig deaktiviert.

So deaktivieren Sie die Verschlüsselung (Sperren alle Blockverschlüsselungsverfahrens-Algorithmen), ändern den DWORD-Wert des Werts, der aktiviert0xFFFFFFFF, die Daten DWORD-Wert anderweitig ändern 0 x 0.

SCHANNEL-Hashes Unterschlüssel

Der Hashes Registrierungsschlüssel unter dem Schlüssel SCHANNEL wird die Verwendung von hashing-Algorithmen wie SHA-1 oder MD5 verwendet. Im folgenden werden die gültigen Registrierungsschlüssel unter dem Schlüssel Hashes .

SCHANNEL\Hashes\MD5-Unterschlüssel:

MD5

Um diesen Hashingalgorithmus zu ermöglichen, ändern Sie den DWORD-Datenwert den Wert aktiviert , auf den Standardwert 0xFFFFFFFF, die Daten DWORD-Wert anderweitig ändern 0 x 0.

Dieser Algorithmus effektiv deaktivieren lässt:

• SSL_RSA_EXPORT_WITH_RC4_40_MD5
• SSL_RSA_WITH_RC4_128_MD5
• SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
• TLS_RSA_EXPORT_WITH_RC4_40_MD5
• TLS_RSA_WITH_RC4_128_MD5
• TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5

SCHANNEL\Hashes\SHA-Unterschlüssel:

SHA

Dieser Registrierungsschlüssel verweist auf Secure Hash Algorithm (SHA-1), wie in FIPS 180-1 angegeben. Seine Implementierung in den Dateien "Rsabase.dll" und "Rsaenh.dll" wurde unter FIPS 140-1 kryptografische Modul Validierungsprogramm überprüft.

Um diesen Hashingalgorithmus zu ermöglichen, ändern Sie den DWORD-Datenwert den Wert aktiviert , auf den Standardwert 0xFFFFFFFF, die Daten DWORD-Wert anderweitig ändern 0 x 0.

Dieser Algorithmus effektiv deaktivieren lässt:

• SSL_RSA_WITH_RC4_128_SHA
• SSL_RSA_WITH_DES_CBC_SHA
• SSL_RSA_WITH_3DES_EDE_CBC_SHA
• SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
• SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
• TLS_RSA_WITH_RC4_128_SHA
• TLS_RSA_WITH_DES_CBC_SHA
• VERSCHLÜSSELUNGSSAMMLUNG
• TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
• TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Unterschlüssel SCHANNEL/KeyExchangeAlgorithms

Der KeyExchangeAlgorithms -Registrierungsschlüssel unter dem Schlüssel SCHANNEL wird die Verwendung von Schlüsselaustauschalgorithmen wie RSA verwendet. Im folgenden werden die gültigen Registrierungsschlüssel unter dem Schlüssel KeyExchangeAlgorithms .

SCHANNEL\KeyExchangeAlgorithms\PKCS-Unterschlüssel:

PKCS #

Dieser Registrierungsschlüssel verweist auf die RSA als die Schlüsselalgorithmen Austausch und die Authentifizierung.

Ändern Sie den DWORD-Datenwert den Wert aktiviert um RSA zu ermöglichen, auf den Standardwert 0xFFFFFFFF, andernfalls die DWORD-Daten zu ändern 0 x 0.

Deaktivieren von RSA effektiv verbietet alle RSA-basierten SSL und TLS Cipher Suites von Windows NT4 SP6 Microsoft TLS/SSL Security Provider unterstützt werden.

FIPS 140-1-Cipher Suites

Sie möchten nur diesen Verschlüsselungsverfahren SSL 3.0 oder TLS 1.0 verwenden, die FIPS 46-3 oder FIPS 46-2 und FIPS 180-1-Algorithmus von der Microsoft Base oder Enhanced Cryptographic Provider bereitgestellten entsprechen.

In diesem Artikel verweisen wir sie als FIPS 140-1-Cipher Suites. Sie sind insbesondere:

• SSL_RSA_WITH_DES_CBC_SHA
• SSL_RSA_WITH_3DES_EDE_CBC_SHA
• SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
• TLS_RSA_WITH_DES_CBC_SHA
• VERSCHLÜSSELUNGSSAMMLUNG
• TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA

Um nur FIPS 140-1-Cipher Suites verwenden gemäß der vorstehenden Definition unterstützt von Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider mit Microsoft Base oder Enhanced Cryptographic Provider, konfigurieren den DWORD-Datenwert den Wert aktiviert in den folgenden Registrierungsschlüsseln zu 0 x 0:

• SCHANNEL\Ciphers\RC4 128/128
• SCHANNEL\Ciphers\RC2 128/128
• SCHANNEL\Ciphers\RC4-64/128
• SCHANNEL\Ciphers\RC4 56/128
• SCHANNEL\Ciphers\RC2 56/128
• SCHANNEL\Ciphers\RC4-40/128
• SCHANNEL\Ciphers\RC2-40/128
• SCHANNEL\Ciphers\NULL
• SCHANNEL\Hashes\MD5

und konfigurieren Sie den DWORD-Datenwert den Wert aktiviert , in den folgenden Registrierungsschlüsseln zu 0xFFFFFFFF:

• SCHANNEL\Ciphers\DES 56/56
• SCHANNEL\Ciphers\Triple DES 168/168 "[im Export-Version nicht zutreffend]
• SCHANNEL\Hashes\SHA
• SCHANNEL\KeyExchangeAlgorithms\PKCS

FIPS 140-1-Verschlüsselungssammlungen mit geheimen Hauptschlüssel-Berechnung

Die Verfahren für die Verwendung der oben genannten FIPS 140-1-Cipher Suites in SSL 3.0 unterscheiden sich von denen für die Verwendung von (die oben) FIPS 140-1-Cipher Suites in TLS 1.0.

In SSL 3.0 lautet wie folgt die Definition Master_secret Berechnung:

Im TLS 1.0 ist die folgende Definition Master_secret Berechnung:

Wo:

Die Option zum Verwenden nur FIPS 140-1-Verschlüsselungssammlungen im TLS 1.0:

Wegen der vorstehend genannte Differenz sollten Kunden die Verwendung von SSL 3.0, obwohl die zulässige Menge von Cipher Suites nur die Teilmenge der FIPS 140-1-Cipher Suites beschränkt wurde. In diesem Fall ändern Sie den DWORD-Wert des Werts, der aktiviert0 x 0 in jedem der folgenden Registrierungsschlüssel unter dem Schlüssel Protokolle :

• SCHANNEL\Protocols\SSL 3.0\Client
• SCHANNEL\Protocols\SSL 0\Server

Warnung: die Enabled -Wertdaten in diesen Registrierungsschlüssel unter dem Schlüssel Protokolle haben Vorrang vor den GrbitEnabledProtocols -Wert in der SCHANNEL_CRED-Struktur, die mit den Daten für ein Schannel-Ausweis definiert. Der Standardwert aktiviert ist 0xFFFFFFFF.

Beispiel-Registrierungsdateien

In diesem Artikel werden zwei Beispiele für die Registrierung der Dateiinhalt für Zwecke der Konfiguration, Export.reg und Non-export.reg bereitgestellt.

Ausführen von Windows NT 4.0 Service Pack 6 auf einem Computer mit exportierbaren Rasbase.dll und Dateien "Schannel.dll" Dateien führen Sie Export.reg, um sicherzustellen, dass nur TLS 1.0 FIPS Cipher Suites von dem Computer verwendet werden.

Auf einem Computer mit Windows NT 4.0 Service Pack 6, die nicht exportierbaren Rasenh.dll enthält, und Dateien "Schannel.dll" Dateien, führen Sie Non-export.reg, um sicherzustellen, dass nur TLS 1.0 FIPS Suites cipher vom Computer verwendet.

Die Datei Schannel.dll erkennen alle Änderungen unter dem Registrierungsschlüssel SCHANNEL müssen Sie den Computer neu starten.

Um die Registrierungseinstellungen auf Standard zurück, löschen Sie der SCHANNEL -Registrierungsschlüssel und alles unter es. Wenn diese Registrierungsschlüssel nicht vorhanden sind, wird in der Datei "Schannel.dll" Schlüssel beim Neustart des Computers neu erstellt.