Αναγν. άρθρου: 245030 - Τελευταία αναθεώρηση: Κυριακή, 19 Δεκεμβρίου 2010 - Αναθεώρηση: 2.0

Τρόπος περιορισμού της χρήσης συγκεκριμένων κρυπτογραφικών αλγόριθμων και πρωτοκόλλων στο Schannel.dll

Παράλληλη προβολήΠροβολή του πρωτότυπου αγγλικού άρθρου και της ελληνικής μετάφρασης αντικριστά
Μηχανικά μεταφρασμένοΠΡΟΕΙΔΟΠΟΙΗΣΗ: ΑΥΤΟ ΤΟ ΑΡΘΡΟ ΜΕΤΑΦΡΑΣΤΗΚΕ ΜΕ ΜΗΧΑΝΙΚΗ ΜΕΤΑΦΡΑΣΗ
Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Συμβουλή συστήματοςΑυτό το άρθρο ισχύει για διαφορετικό λειτουργικό σύστημα από αυτό που χρησιμοποιείτε. Το περιεχόμενο του άρθρου που ενδέχεται να μην σας αφορά έχει απενεργοποιηθεί.

Σε αυτήν τη σελίδα

Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Αυτό το άρθρο περιγράφει πώς μπορείτε να περιορίσετε τη χρήση ορισμένων αλγόριθμους κρυπτογράφησης και τα πρωτόκολλα του αρχείου Schannel.dll.

Αυτή η πληροφορία ισχύει επίσης για εφαρμογές ανεξάρτητοι προμηθευτές λογισμικού (ISV) που έχουν γραφτεί για τα API κρυπτογράφησης της Microsoft.
Επιστροφή στην αρχή

Περισσότερες πληροφορίες

Το παρακάτω Crypto υπηρεσίες παροχής (CSP περιλαμβάνεται στα Windows NT 4.0 Service Pack 6) έχουν γίνει κερδίζονται τα πιστοποιητικάΕπικύρωση κρυπτογράφησης FIPS 140-1 (http://csrc.nist.gov/cryptval/140-1/1401val.htm) :
  • Βασική υπηρεσία παροχής κρυπτογράφησης (Rsabase.dll) του Microsoft
  • Microsoft βελτιωμένης παροχής κρυπτογράφησης (στοιχείο Rsaenh.dll) [μη εξαγωγής έκδοση]
Παροχής ασφάλειας TLS/SSL Microsoft, του αρχείου Schannel.dll, χρησιμοποιεί το CSP που αναφέρονται παραπάνω, για τη διεξαγωγή ασφαλών επικοινωνιών SSL ή TLS με την υποστήριξή της για τον Microsoft Internet Explorer και του Internet Information Server (IIS).

Μπορείτε να τροποποιήσετε το αρχείο Schannel.dll ώστε να υποστηρίζει κρυπτογράφηση Suite 1 και 2, αλλά το πρόγραμμα πρέπει να υποστηρίζει επίσης κρυπτογράφηση Suite 1 και 2. Οικογένειας προγραμμάτων κρυπτογράφησης 1 και 2 δεν υποστηρίζονται στις υπηρεσίες IIS 4.0 και 5.0.

Αυτό το άρθρο παρέχει τις απαραίτητες πληροφορίες ρύθμισης παραμέτρων του Windows NT 4.0 Service Pack 6 και νεότερες παροχής ασφάλειας TLS/SSL. Μπορείτε να χρησιμοποιήσετε το μητρώο των Windows για να ελέγξετε τη χρήση της συγκεκριμένης SSL 3.0 ή ακολουθούν τις οικογένειες προγραμμάτων κρυπτογράφηση TLS 1.0 για το αλγόριθμους κρυπτογράφησης που υποστηρίζεται από τη Microsoft Base ή την υπηρεσία παροχής κρυπτογράφησης Enhanced.

ΣΗΜΕΙΩΣΗ: Στα Windows NT 4.0 Service Pack 6 του αρχείου Schannel.dll δεν χρησιμοποιεί το Microsoft Base DSS παροχής κρυπτογράφησης (Dssbase.dll) ή το Microsoft DS/Diffie-Hellman βελτιωμένης παροχής κρυπτογράφησης (Dssenh.dll).
Επιστροφή στην αρχή

Οικογένειες προγραμμάτων κρυπτογράφησης

Και οι δύο SSL 3.0 ()http://www.Mozilla.org/projects/Security/PKI/NSS/SSL/draft302.txt (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt) ), και TLS 1.0 (RFC2246) με "56-bit εξαγωγής κρυπτογράφηση ομάδων για TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" ΠΡΌΧΕΙΡΗ INTERNET παρέχουν επιλογές για να χρησιμοποιήσετε διαφορετικό cipher οικογένειες προγραμμάτων. Κάθε οικογένειας προγραμμάτων κρυπτογράφησης Καθορίζει την ανταλλαγή κλειδιών, έλεγχο ταυτότητας, κρυπτογράφησης και MAC αλγόριθμους που χρησιμοποιούνται σε μια περίοδο λειτουργίας SSL/TLS. Σημειώστε ότι όταν χρησιμοποιείτε το RSA ως και ανταλλαγή κλειδιών και αλγόριθμων ελέγχου ταυτότητας, ο όροςRSAεμφανίζεται μόνο μία φορά στους ορισμούς αντίστοιχη οικογένεια προγραμμάτων κρυπτογράφησης.

Το των Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL παροχής ασφάλειας υποστηρίζει τα παρακάτω "CipherSuite" που ορίζεται στο SSL 3.0, όταν χρησιμοποιείτε το Microsoft Base ή βελτιωμένη υπηρεσία παροχής κρυπτογράφησης:
Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
ΣΗΜΕΙΩΣΗ: SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA και SSL_RSA_EXPORT1024_WITH_RC4_56_SHA δεν έχει οριστεί στο κείμενο του SSL 3.0. Ωστόσο, ένας αριθμός των προμηθευτών του SSL 3.0, συμπεριλαμβανομένης της Microsoft, υποστηρίζουν τους.

Τα Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL παροχής ασφάλειας υποστηρίζει επίσης τις παρακάτω "CipherSuite" που ορίζεται στο TLS 1.0, όταν χρησιμοποιείτε το Microsoft Base ή βελτιωμένη υπηρεσία παροχής κρυπτογράφησης:

Σύμπτυξη αυτού του πίνακαΑνάπτυξη αυτού του πίνακα
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
ΣΗΜΕΙΩΣΗ: Μιας οικογένειας προγραμμάτων κρυπτογράφησης που ορίζεται με το πρώτο byte "0x00" είναι μη ιδιωτικά και χρησιμοποιείται για άνοιγμα διαλειτουργικών επικοινωνίες. Έτσι, το των Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL παροχής ασφάλειας ακολουθεί τις διαδικασίες για τη χρήση αυτών των οικογενειών προγραμμάτων κρυπτογράφησης όπως καθορίζεται στις προδιαγραφές του SSL 3.0 και TLS 1.0 για την εξασφάλιση της διαλειτουργικότητας.
Επιστροφή στην αρχή

Το Schannel συγκεκριμένα κλειδιά μητρώου

ΣημαντικόΑυτή ενότητα, μέθοδο ή εργασία περιέχει βήματα που θα σας πληροφορήσει πώς να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα εάν δεν τροποποιήσετε σωστά το μητρώο. Κατά συνέπεια, βεβαιωθείτε ότι ακολουθείτε προσεκτικά τα εξής βήματα. Για επιπλέον προστασία, δημιουργήστε αντίγραφα ασφαλείας του μητρώου προτού το τροποποιήσετε. Με αυτόν τον τρόπο, μπορείτε να επαναφέρετε το μητρώο εάν προκύψει πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής βάσης της Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows

SCHANNEL κλειδιού

Ξεκινήστε τον Επεξεργαστή μητρώου (Regedt32.exe) και εντοπίστε το ακόλουθο κλειδί στο μητρώο.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Δευτερεύον κλειδί SCHANNEL\Protocols

Για να ενεργοποιήσετε τη χρήση των πρωτοκόλλων που δεν θα είναι αντικείμενο διαπραγμάτευσης από προεπιλογή (όπως TLS 1.1 ή TLS 1.2), αλλάξτε τα δεδομένα τιμής DWORD του τοDisabledByDefaultη τιμή για την0x0σε κάθε ένα από τα ακόλουθα κλειδιά μητρώου στο κλειδί πρωτόκολλα:
  • 1.1\Client SCHANNEL\Protocols\PCT
  • 1.1\Server SCHANNEL\Protocols\PCT
  • 1.2\Client SCHANNEL\Protocols\SSL
  • 1.2\Server SCHANNEL\Protocols\SSL
ΠΡΟΣΟΧΗ: ΤοDisabledByDefaultη τιμή στα κλειδιά μητρώου κάτω από τοΠρωτόκολλατο κλειδί δεν έχουν προτεραιότητα έναντι τηςgrbitEnabledProtocolsη τιμή που έχει οριστεί στη δομή SCHANNEL_CRED που περιέχει τα δεδομένα για μια πιστοποίηση Schannel.

SCHANNEL\Ciphers δευτερεύοντος κλειδιού

Για ναΚρυπτογραφήσεωντο κλειδί μητρώου κάτω από τοSchannelτο κλειδί χρησιμοποιείται για να ελέγξετε τη χρήση των συμμετρικών αλγόριθμων όπως DES ή RC4. Τα παρακάτω αποτελούν κλειδιά μητρώου έγκυρο τοΚρυπτογραφήσεωνΚλειδί.

SCHANNEL\Ciphers\RC4 δευτερεύοντος κλειδιού 128/128:

RC4 128/128

Αναφέρεται αυτό το δευτερεύον κλειδί 128 bit RC4.

Για να επιτρέψετε αυτόν τον αλγόριθμο κρυπτογράφησης, αλλάξτε τα δεδομένα τιμής DWORD του τοΕνεργοποιημένοη τιμή για την0xFFFFFFFF, διαφορετικά αλλάξτε τα δεδομένα τιμής DWORD σε0x0. Εάν δεν ρυθμίσετε τιςΕνεργοποιημένοη προεπιλεγμένη τιμή είναι ενεργοποιημένη. Αυτό το κλειδί μητρώου δεν ισχύει για μια δυνατότητα εξαγωγής διακομιστή ο οποίος δεν διαθέτει ένα πιστοποιητικό SGC.

Disabling this algorithm effectively disallows:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 128/128 Subkey:

Triple DES 168/168

This registry key refers to 168-bit Triple DES as specified in ANSI X9.52 and Draft FIPS 46-3. This registry key does not apply to the export version.

To allow this cipher algorithm, change the DWORD value data of theΕνεργοποιημένοη τιμή για την0xffffffff, otherwise change the DWORD data to0x0. If you do not configure theΕνεργοποιημένοvalue, the default is enabled.

Disabling this algorithm effectively disallows:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SCHANNEL\Ciphers\RC2 128/128 Subkey:

RC2 128/128

This registry key refers to 128-bit RC2. It does not apply to the export version.

To allow this cipher algorithm, change the DWORD value data of theΕνεργοποιημένοη τιμή για την0xffffffff, otherwise change the DWORD value data to0x0. If you do not configure theΕνεργοποιημένοvalue, the default is enabled.

SCHANNEL\Ciphers\RC4 64/128 Subkey:

RC4 64/128

This registry key refers to 64-bit RC4. It does not apply to the export version (but is used in Microsoft Money).

To allow this cipher algorithm, change the DWORD value data of theΕνεργοποιημένοη τιμή για την0xffffffff, otherwise change the DWORD value data to0x0. If you do not configure theΕνεργοποιημένοvalue, the default is enabled.

SCHANNEL\Ciphers\RC4 56/128 Subkey:

RC4 56/128

This registry key refers to 56-bit RC4.

To allow this cipher algorithm, change the DWORD value data of theΕνεργοποιημένοη τιμή για την0xffffffff, otherwise change the DWORD value data to0x0. If you do not configure theΕνεργοποιημένοvalue, the default is enabled.

Disabling this algorithm effectively disallows:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 Subkey:

RC2 56/128

Αυτό το κλειδί μητρώου αναφέρεται RC2 56-bit.

Για να επιτρέψετε αυτόν τον αλγόριθμο κρυπτογράφησης, αλλάξτε τα δεδομένα τιμής DWORD του τοΕνεργοποιημένοη τιμή για την0xFFFFFFFF, διαφορετικά αλλάξτε τα δεδομένα τιμής DWORD σε0x0. Εάν δεν ρυθμίσετε τιςΕνεργοποιημένοη προεπιλεγμένη τιμή είναι ενεργοποιημένη.

SCHANNEL\Ciphers\RC2 56/56 δευτερεύοντος κλειδιού:

DES 56/56

Αυτό το κλειδί μητρώου αναφέρεται DES 56-bit, όπως καθορίζεται στο FIPS 46-2. Η υλοποίηση στα αρχεία Rsabase.dll και στοιχείο Rsaenh.dll έχει επικυρωθεί στην περιοχή του προγράμματος επικύρωσης κρυπτογράφησης μονάδας των FIPS 140-1.

Για να επιτρέψετε αυτόν τον αλγόριθμο κρυπτογράφησης, αλλάξτε τα δεδομένα τιμής DWORD του τοΕνεργοποιημένοη τιμή για την0xFFFFFFFF, διαφορετικά αλλάξτε τα δεδομένα τιμής DWORD σε0x0. Εάν δεν ρυθμίσετε τιςΕνεργοποιημένοη προεπιλεγμένη τιμή είναι ενεργοποιημένη.

Απενεργοποίηση αποτελεσματικά αυτός ο αλγόριθμος δεν επιτρέπει:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 δευτερεύοντος κλειδιού:

RC4 40/128

Αυτό αναφέρεται σε 40 bit RC4.

Για να επιτρέψετε αυτόν τον αλγόριθμο κρυπτογράφησης, αλλάξτε τα δεδομένα τιμής DWORD του τοΕνεργοποιημένοη τιμή για την0xFFFFFFFF, διαφορετικά αλλάξτε τα δεδομένα τιμής DWORD σε0x0. Εάν δεν ρυθμίσετε τιςΕνεργοποιημένοη προεπιλεγμένη τιμή είναι ενεργοποιημένη.

Απενεργοποίηση αποτελεσματικά αυτός ο αλγόριθμος δεν επιτρέπει:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 δευτερεύοντος κλειδιού:

RC2 40/128

Αυτό το κλειδί μητρώου αναφέρεται RC2 40-bit.

Για να επιτρέψετε αυτόν τον αλγόριθμο κρυπτογράφησης, αλλάξτε τα δεδομένα τιμής DWORD του τοΕνεργοποιημένοη τιμή για την0xFFFFFFFF, διαφορετικά αλλάξτε τα δεδομένα τιμής DWORD σε0x0. Εάν δεν ρυθμίσετε τιςΕνεργοποιημένοη προεπιλεγμένη τιμή είναι ενεργοποιημένη.

Απενεργοποίηση αποτελεσματικά αυτός ο αλγόριθμος δεν επιτρέπει:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL δευτερεύοντος κλειδιού:

NULL

Αυτό το κλειδί μητρώου σημαίνει χωρίς κρυπτογράφηση. Απενεργοποιείται από προεπιλογή.

Για να απενεργοποιήσετε την κρυπτογράφηση (Απαγόρευση όλων των αλγορίθμων κρυπτογράφησης), αλλάξτε τα δεδομένα τιμής DWORD του τοΕνεργοποιημένοη τιμή για την0xFFFFFFFF, διαφορετικά αλλάξτε τα δεδομένα τιμής DWORD σε0x0.

SCHANNEL/κατακερματισμοί δευτερεύοντος κλειδιού

Για ναΚλειδιά κατακερματισμούτο κλειδί μητρώου κάτω από τοSchannelτο κλειδί χρησιμοποιείται για να ελέγξετε τη χρήση αλγορίθμων κατακερματισμού SHA-1 ή MD5. Τα παρακάτω αποτελούν κλειδιά μητρώου έγκυρο τοΚλειδιά κατακερματισμούΚλειδί.

SCHANNEL\Hashes\MD5 δευτερεύοντος κλειδιού:

MD5

Για να επιτρέψετε αυτόν τον αλγόριθμο κατακερματισμού, αλλάξτε τα δεδομένα τιμής DWORD του τοΕνεργοποιημένοη τιμή για την προεπιλεγμένη τιμή0xFFFFFFFF, διαφορετικά αλλάξτε τα δεδομένα τιμής DWORD σε0x0.

Απενεργοποίηση αποτελεσματικά αυτός ο αλγόριθμος δεν επιτρέπει:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA δευτερεύοντος κλειδιού:

SHA

Αυτό το κλειδί μητρώου αναφέρεται Ασφαλής αλγόριθμος Hash (SHA-1), όπως καθορίζεται στο FIPS 180-1. Η υλοποίηση στα αρχεία Rsabase.dll και στοιχείο Rsaenh.dll έχει επικυρωθεί στην περιοχή του προγράμματος επικύρωσης κρυπτογράφησης μονάδας των FIPS 140-1.

Για να επιτρέψετε αυτόν τον αλγόριθμο κατακερματισμού, αλλάξτε τα δεδομένα τιμής DWORD του τοΕνεργοποιημένοη τιμή για την προεπιλεγμένη τιμή0xFFFFFFFF, διαφορετικά αλλάξτε τα δεδομένα τιμής DWORD σε0x0.

Απενεργοποίηση αποτελεσματικά αυτός ο αλγόριθμος δεν επιτρέπει:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Δευτερεύοντος κλειδιού SCHANNEL/KeyExchangeAlgorithms

Για ναKeyExchangeAlgorithmsτο κλειδί μητρώου κάτω από τοSchannelκλειδί χρησιμοποιείται για να ελέγξετε τη χρήση της ανταλλαγής κλειδιών αλγόριθμων όπως RSA. Τα παρακάτω αποτελούν κλειδιά μητρώου έγκυρο τοKeyExchangeAlgorithmsΚλειδί.

SCHANNEL\KeyExchangeAlgorithms\PKCS δευτερεύοντος κλειδιού:

PKCS

Αυτό το κλειδί μητρώου αναφέρεται το RSA με τους αλγόριθμους κλειδιού ανταλλαγής και τον έλεγχο ταυτότητας.

Για να επιτρέψετε RSA, αλλάξτε τα δεδομένα τιμής DWORD του τοΕνεργοποιημένοη τιμή για την προεπιλεγμένη τιμή0xFFFFFFFF, διαφορετικά να αλλάξετε τα δεδομένα DWORD0x0.

Αποτελεσματική απενεργοποίηση RSA δεν επιτρέπει τις οικογένειες όλων των RSA με SSL και TLS cipher προγραμμάτων υποστηρίζεται από την υπηρεσία παροχής ασφαλείας TLS/SSL της Microsoft Windows NT4 SP6.
Επιστροφή στην αρχή

Οικογένειες προγραμμάτων του FIPS 140-1 κρυπτογράφηση

Μπορεί να θέλετε να χρησιμοποιήσετε μόνο τα SSL 3.0 ή TLS 1.0 cipher ομάδων που αντιστοιχούν με το FIPS 46-3 ή FIPS 46-2 και FIPS 180-1 αλγόριθμους που παρέχεται από τη Microsoft Base ή υπηρεσία παροχής κρυπτογράφησης Enhanced.

Σε αυτό το άρθρο, αναφερόμαστε σε αυτούς ως τις οικογένειες προγραμμάτων του FIPS 140-1 cipher. Ειδικότερα, είναι:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Να χρησιμοποιείτε μόνο κρυπτογράφησης FIPS 140-1 οικογένειες προγραμμάτων όπως ορίζεται παραπάνω, υποστηρίζονται από τα Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL παροχής ασφάλειας με βάση Microsoft ή βελτιωμένων παροχής κρυπτογράφησης, ρυθμίστε τα δεδομένα της τιμής DWORD του τοΕνεργοποιημένοη τιμή στα ακόλουθα κλειδιά μητρώου για να0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
και να ρυθμίσετε το δεδομένο τιμής DWORD τουΕνεργοποιημένοη τιμή στα ακόλουθα κλειδιά μητρώου για να0xFFFFFFFF:
  • SCHANNEL\Ciphers\DES 56/56
  • Ο αλγόριθμος DES SCHANNEL\Ciphers\Triple 168/168 "[δεν υπάρχει στην έκδοση εξαγωγής]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Κύρια μυστικό υπολογισμό με FIPS 140-1 κρυπτογράφηση τις οικογένειες προγραμμάτων

Οι διαδικασίες για χρησιμοποιώντας τα παραπάνω οικογένειες προγραμμάτων FIPS 140-1 κρυπτογράφησης SSL 3.0 είναι διαφορετικά από εκείνα για χρήση (παραπάνω) FIPS 140-1 cipher τις οικογένειες προγραμμάτων TLS 1.0.

Στο SSL 3.0, ακολουθεί τον υπολογισμό master_secret ορισμού:

   master_secret =
   MD5(pre_master_secret + SHA('A' + pre_master_secret +
       ClientHello.random + ServerHello.random)) +
   MD5(pre_master_secret + SHA('BB' + pre_master_secret +
       ClientHello.random + ServerHello.random)) +
   MD5(pre_master_secret + SHA('CCC' + pre_master_secret +
       ClientHello.random + ServerHello.random));
Στο TLS 1.0, ακολουθεί τον υπολογισμό master_secret ορισμού:

   master_secret = PRF(pre_master_secret, "master secret",
      ClientHello.random + ServerHello.random)
Όπου:

   PRF(secret, label, seed) = P_MD5(S1, label + seed) XOR
      P_SHA-1(S2, label + seed)
Επιλέγοντας τη δυνατότητα χρήσης μόνο οικογένειες προγραμμάτων κρυπτογράφηση FIPS 140-1 στο TLS 1.0:

Λόγω της διαφοράς παραπάνω, πελάτες μπορεί να θέλουν να απαγορέψετε τη χρήση του SSL 3.0, παρόλο που το επιτρεπόμενο σύνολο των οικογενειών προγραμμάτων κρυπτογράφησης έχει περιοριστεί μόνο το υποσύνολο των οικογενειών προγραμμάτων του FIPS 140-1 κρυπτογράφησης. In that case, change the DWORD value data of theΕνεργοποιημένοη τιμή για την0x0in each of the following registry keys under theΠρωτόκολλαkey:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
ΠΡΟΣΟΧΗ: ΤοΕνεργοποιημένοvalue data in these registry keys under theΠρωτόκολλαkey take precedence over thegrbitEnabledProtocolsvalue defined in the SCHANNEL_CRED structure containing the data for an Schannel credential. The defaultΕνεργοποιημένοvalue data is0xFFFFFFFF.
Επιστροφή στην αρχή

Example Registry Files

Two examples of registry file content for purposes of configuration, Export.reg and Non-export.reg, are provided in this section of the article.

In a computer running Windows NT 4.0 Service Pack 6 with the exportable Rasbase.dll and Schannel.dll files, run Export.reg to ensure that only TLS 1.0 FIPS cipher suites are used by the computer.

In a computer running Windows NT 4.0 Service Pack 6 that includes the non-exportable Rasenh.dll and Schannel.dll files, run Non-export.reg to ensure that only TLS 1.0 FIPS cipher suites are used by the computer.

For the Schannel.dll file to recognize any changes under theSchannelregistry key, you must restart the computer.

To return the registry settings to default, delete theSchannelregistry key and everything under it. If these registry keys are not present, the Schannel.dll rebuilds the keys when you restart the computer.

------------------"export.reg"------------------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
"Enabled"=dword:ffffffff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA]
"Enabled"=dword:ffffffff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS]
"Enabled"=dword:ffffffff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Client]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"Enabled"=dword:ffffffff
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"Enabled"=dword:ffffffff

------------------"export.reg"------------------------------------------
------------------"non-export.reg"--------------------------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES 56/56]
"Enabled"=dword:ffffffff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168]
"Enabled"=dword:ffffffff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\SHA]
"Enabled"=dword:ffffffff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\PKCS]
"Enabled"=dword:ffffffff

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Client]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\Multi-Protocol Unified Hello\Server]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Client]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\PCT 1.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"Enabled"=dword:ffffffff
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"Enabled"=dword:ffffffff

------------------"non-export.reg"--------------------------------------
Επιστροφή στην αρχή
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Επιστροφή στην αρχή
Λέξεις-κλειδιά: 
kbenv kbinfo kbmt KB245030 KbMtel
Επιστροφή στην αρχή
Μηχανικά μεταφρασμένοΜηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:245030  (http://support.microsoft.com/kb/245030/en-us/ )
Επιστροφή στην αρχή