Comment faire pour restreindre l'utilisation de certains algorithmes cryptographiques et les protocoles de Schannel.dll

Numéro d'article: 245030 - Voir les produits auxquels s'applique cet article
Traduction automatiqueATTENTION : Cet article est issu du système de traduction automatique
Agrandir tout | Réduire tout

Sommaire

Résumé

Cet article décrit comment limiter l'utilisation de certains algorithmes cryptographiques et les protocoles dans le fichier Schannel.dll.

Cette information s'applique également aux applications de fournisseurs de logiciels indépendants (ISV) écrites pour Microsoft Cryptographic API.
Retour au début | Envoyer des commentaires

Plus d'informations

Le suivant Crypto prestataires (CSP) fourni avec Windows NT 4.0 Service Pack 6 ont obtenu les certificats pourValidation des clés de cryptage FIPS-140-1
(http://csrc.nist.gov/cryptval/140-1/1401val.htm)
:
  • Microsoft Base Cryptographic Provider (Rsabase.dll)
  • Fournisseur Microsoft Enhanced Cryptographic Provider (Rsaenh.dll) [exportation non version]
Fournisseur de sécurité TLS/SSL Microsoft, le fichier Schannel.dll, utilise les fournisseurs de services cryptographiques répertoriés ci-dessus pour effectuer des communications sécurisées sur SSL ou TLS dans sa prise en charge de Microsoft Internet Explorer et Internet Information Server (IIS).

Vous pouvez modifier le fichier Schannel.dll pour prendre en charge de la Suite de chiffrement 1 et 2, mais le programme doit également prendre en charge la Suite de chiffrement 1 et 2. Suite de chiffrement 1 et 2 ne sont pas pris en charge dans IIS 4.0 et 5.0.

Cet article fournit les informations nécessaires pour configurer le Windows NT 4.0 Service Pack 6 et le fournisseur de sécurité TLS/SSL ultérieure. Vous pouvez utiliser le Registre Windows pour contrôler l'utilisation de spécifiques SSL 3.0 ou respectent les suites de chiffrement TLS 1.0 pour les algorithmes de chiffrement pris en charge par Microsoft Base ou Enhanced Cryptographic Provider.

REMARQUE: Dans Windows NT 4.0 Service Pack 6, le fichier Schannel.dll n'utilise pas Microsoft Base DSS Cryptographic Provider (Dssbase.dll) ou Microsoft DS/Diffie-Hellman Enhanced Cryptographic Provider (Dssenh.dll).

Suites de chiffrement

Les deux SSL 3.0 ()http://www.Mozilla.org/projects/security/PKI/NSS/SSL/draft302.txt
(http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt)
), et TLS 1.0 (RFC2246) avec le document préliminaire INTERNET « Suites de chiffrement d'exportation 56 bits pour TLS draft-ietf-tls-56-bit-ciphersuites-00.txt » proposent des options pour utiliser des suites de chiffrement différente. Chaque suite de chiffrement détermine l'échange de clés, l'authentification, algorithmes de chiffrement et MAC utilisés au sein d'une session SSL/TLS. Notez que lorsque vous utilisez RSA comme à la fois l'échange de clés et algorithmes d'authentification, le termeRSAapparaît une seule fois dans les définitions de suite de chiffrement correspondantes.

Le fournisseur de sécurité Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL prend en charge le suivant « CipherSuite » définie dans SSL 3.0, lorsque vous utilisez la Base de Microsoft ou le fournisseur cryptographique amélioré :
Réduire ce tableauAgrandir ce tableau
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0 x 00, 0 x 03}
SSL_RSA_WITH_RC4_128_MD5{0 x 00, 0 x 04}
SSL_RSA_WITH_RC4_128_SHA{0 x 00, 0 x 05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0 x 00, 0 x 06}
SSL_RSA_WITH_DES_CBC_SHA{0 x 00, 0 x 09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0 x 00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0 x 00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0 x 00, 0 x 64}
REMARQUE: SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA ni SSL_RSA_EXPORT1024_WITH_RC4_56_SHA est défini dans le texte de SSL 3.0. Toutefois, un certain nombre de fournisseurs de SSL 3.0, y compris Microsoft, les prennent en charge.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider prend également en charge le suivant « CipherSuite » défini dans TLS 1.0 lors de l'utilisation de Base de Microsoft ou le fournisseur cryptographique amélioré :

Réduire ce tableauAgrandir ce tableau
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0 x 00, 0 x 03}
TLS_RSA_WITH_RC4_128_MD5{0 x 00, 0 x 04}
TLS_RSA_WITH_RC4_128_SHA{0 x 00, 0 x 05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0 x 00, 0 x 06}
TLS_RSA_WITH_DES_CBC_SHA{0 x 00, 0 x 09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0 x 00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0 x 00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0 x 00, 0 x 64}
REMARQUE: Une suite de chiffrement définie avec le premier octet « 0 x 00 » est non privée et est utilisée pour les communications interopérables ouvertes. Par conséquent, le fournisseur de sécurité Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL suit les procédures d'utilisation de ces suites de chiffrement tel que spécifié dans les spécifications SSL 3.0 et TLS 1.0 pour assurer l'interopérabilité.

Clés de Registre spécifiques à Schannel

ImportantCette section, une méthode ou une tâche contient des étapes qui vous indiquent comment modifier le Registre. Toutefois, les problèmes sérieux peuvent survenir si vous modifiez le Registre de manière incorrecte. Par conséquent, assurez-vous que vous procédez avec précaution. Pour une protection supplémentaire, sauvegarder le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème survient. Pour plus d'informations sur la façon de sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
322756
(http://support.microsoft.com/kb/322756/ )
Comment faire pour sauvegarder et restaurer le Registre dans Windows

SCHANNEL clé

Démarrez l'Éditeur du Registre (Regedt32.exe) et recherchez la clé suivante dans le Registre.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

Sous-clé de SCHANNEL\Protocols

Pour activer l'utilisation des protocoles qui n'est pas négociée par défaut (tels que TLS 1.1 ou 1.2 de TLS), modifiez les données de la valeur DWORD de laDisabledByDefaultvaleur à0 x 0dans chacune des clés de Registre suivantes sous la clé de protocoles :
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
AVERTISSEMENT: LaDisabledByDefaultvaleur dans les clés de Registre sous laProtocolesclé ne prévaut pas legrbitEnabledProtocolsvaleur qui est définie dans la structure SCHANNEL_CRED qui contient les données pour les informations d'identification de Schannel.

Sous-clé de SCHANNEL\Ciphers

LeChiffrementsclé de Registre sous laSCHANNELclé est utilisée pour contrôler l'utilisation des algorithmes symétriques tels que DES ou RC4. Voici des clés de Registre valide sous laChiffrementsclé.

SCHANNEL\Ciphers\RC4 128/128 sous-clé :

RC4 128/128

Cette sous-clé se réfère à 128 bits RC4.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de laActivévaleur à0xFFFFFFFF, sinon, modifiez les données de la valeur DWORD à0 x 0. Si vous ne configurez pas laActivévaleur, la valeur par défaut est activée. Cette clé de Registre ne s'applique pas à un serveur exportable qui ne possède pas d'un certificat SGC.

La désactivation de cet algorithme efficace interdit :
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168/168 sous-clé :

Triple DES 168

Cette clé de Registre fait référence à 168 bits Triple DES, comme spécifié dans ANSI X9.52 et brouillon FIPS 46-3. Cette clé de Registre ne s'applique pas à la version d'exportation.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de laActivévaleur à0xFFFFFFFF, modifier les données DWORD0 x 0. Si vous ne configurez pas laActivévaleur, la valeur par défaut est activée.

La désactivation de cet algorithme efficace interdit :
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SCHANNEL\Ciphers\RC2 128/128 sous-clé :

RC2 128/128

Cette clé de Registre fait référence à RC2 128 bits. Il ne s'applique pas à la version d'exportation.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de laActivévaleur à0xFFFFFFFF, sinon, modifiez les données de la valeur DWORD à0 x 0. Si vous ne configurez pas laActivévaleur, la valeur par défaut est activée.

SCHANNEL\Ciphers\RC4 64/128 sous-clé :

RC4 64/128

Cette clé de Registre fait référence à 64 bits RC4. Il ne s'applique pas à la version d'exportation (mais est utilisée dans Microsoft Money).

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de laActivévaleur à0xFFFFFFFF, sinon, modifiez les données de la valeur DWORD à0 x 0. Si vous ne configurez pas laActivévaleur, la valeur par défaut est activée.

SCHANNEL\Ciphers\RC4 56/128 sous-clé :

RC4 56/128

Cette clé de Registre fait référence à 56 bits RC4.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de laActivévaleur à0xFFFFFFFF, sinon, modifiez les données de la valeur DWORD à0 x 0. Si vous ne configurez pas laActivévaleur, la valeur par défaut est activée.

La désactivation de cet algorithme efficace interdit :
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 sous-clé :

RC2 56/128

Cette clé de Registre fait référence à RC2 56 bits.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de laActivévaleur à0xFFFFFFFF, sinon, modifiez les données de la valeur DWORD à0 x 0. Si vous ne configurez pas laActivévaleur, la valeur par défaut est activée.

SCHANNEL\Ciphers\RC2 56 56 sous-clé :

DES 56

Cette clé de Registre fait référence à DES 56 bits comme spécifié dans FIPS 46-2. Sa mise en oeuvre dans les fichiers Rsabase.dll et Rsaenh.dll a été validé dans le programme de Validation de Module cryptographiques FIPS 140-1.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de laActivévaleur à0xFFFFFFFF, sinon, modifiez les données de la valeur DWORD à0 x 0. Si vous ne configurez pas laActivévaleur, la valeur par défaut est activée.

La désactivation de cet algorithme efficace interdit :
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 sous-clé :

RC4 40/128

Il s'agit de RC4 40 bits.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de laActivévaleur à0xFFFFFFFF, sinon, modifiez les données de la valeur DWORD à0 x 0. Si vous ne configurez pas laActivévaleur, la valeur par défaut est activée.

La désactivation de cet algorithme efficace interdit :
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 sous-clé :

RC2 40/128

Cette clé de Registre fait référence à RC2 40 bits.

Pour permettre cet algorithme de chiffrement, modifiez les données de la valeur DWORD de laActivévaleur à0xFFFFFFFF, sinon, modifiez les données de la valeur DWORD à0 x 0. Si vous ne configurez pas laActivévaleur, la valeur par défaut est activée.

La désactivation de cet algorithme efficace interdit :
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Sous-clé de SCHANNEL\Ciphers\NULL :

NULL

Cette clé de Registre ne signifie aucun cryptage. Elle est désactivée par défaut.

Pour désactiver le cryptage (interdire tous les algorithmes de chiffrement), modifiez les données de la valeur DWORD de laActivévaleur à0xFFFFFFFF, sinon, modifiez les données de la valeur DWORD à0 x 0.

SCHANNEL/hachages sous-clé

LeLes hachagesclé de Registre sous laSCHANNELclé est utilisée pour contrôler l'utilisation des algorithmes de hachage telles que SHA-1 ou MD5. Voici des clés de Registre valide sous laLes hachagesclé.

Sous-clé de SCHANNEL\Hashes\MD5 :

MD5

Pour permettre cet algorithme de hachage, modifiez les données de la valeur DWORD de laActivévaleur à la valeur par défaut0xFFFFFFFF, sinon, modifiez les données de la valeur DWORD à0 x 0.

La désactivation de cet algorithme efficace interdit :
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
Sous-clé de SCHANNEL\Hashes\SHA :

CHA

Cette clé de Registre fait référence à Secure Hash Algorithm (SHA-1), tel que spécifié dans la norme FIPS 180-1. Sa mise en oeuvre dans les fichiers Rsabase.dll et Rsaenh.dll a été validé dans le programme de Validation de Module cryptographiques FIPS 140-1.

Pour permettre cet algorithme de hachage, modifiez les données de la valeur DWORD de laActivévaleur à la valeur par défaut0xFFFFFFFF, sinon, modifiez les données de la valeur DWORD à0 x 0.

La désactivation de cet algorithme efficace interdit :
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Sous-clé SCHANNEL/KeyExchangeAlgorithms

LeKeyExchangeAlgorithmsclé de Registre sous laSCHANNELclé est utilisée pour contrôler l'utilisation d'algorithmes d'échange de clés tel que RSA. Voici des clés de Registre valide sous laKeyExchangeAlgorithmsclé.

Sous-clé de SCHANNEL\KeyExchangeAlgorithms\PKCS :

PKCS

Cette clé de Registre fait référence à la RSA en tant que les algorithmes de clé d'authentification et d'exchange.

Pour permettre à RSA, modifiez les données de la valeur DWORD de laActivévaleur à la valeur par défaut0xFFFFFFFF, modifier les données DWORD0 x 0.

La désactivation de RSA efficacement interdit toutes basées sur RSA SSL et TLS suites de chiffrement pris en charge par le fournisseur de sécurité de Windows NT4 SP6 Microsoft TLS/SSL.

Suites de chiffrement FIPS 140-1

Vous souhaiterez utiliser uniquement ces SSL 3.0 ou TLS 1.0 suites de chiffrement qui correspondent à FIPS 46-3 ou FIPS 46-2 et fournies par la Base de Microsoft ou d'un fournisseur cryptographique amélioré des algorithmes FIPS 180-1.

Dans cet article, nous appelons les suites de FIPS 140-1 cipher. En particulier, ils sont :
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Pour utiliser uniquement les suites FIPS 140-1 cipher tel que défini ci-dessus, la prise en charge par Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider avec Base de Microsoft ou Enhanced Cryptographic Provider, configurer les données de la valeur DWORD de laActivévaleur dans les clés de Registre suivantes pour0 x 0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
et configurer les données de la valeur DWORD de laActivévaleur dans les clés de Registre suivantes pour0xFFFFFFFF:
  • 56 56 SCHANNEL\Ciphers\DES
  • SCHANNEL\Ciphers\Triple DES 168/168 » (non applicable dans la version d'exportation)
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Calcul de Secret principal à l'aide de Suites de chiffrement FIPS 140-1

Les procédures d'utilisation ci-dessus FIPS 140-1 cipher suites de SSL 3.0 sont différentes de celles d'utilisation (ci-dessus) FIPS 140-1 cipher suites TLS 1.0.

SSL 3.0, le texte suivant est le calcul master_secret définition :

TLS 1.0, voici le calcul master_secret définition :

où :

Sélectionnez l'Option à utiliser uniquement Suites de chiffrement FIPS 140-1 de TLS 1.0 :

En raison de la différence ci-dessus, souhaiteront probablement interdire l'utilisation de SSL 3.0, bien que le jeu autorisé des suites de chiffrement a été limité uniquement le sous-ensemble des FIPS 140-1 suites de chiffrement. Dans ce cas, modifiez les données de la valeur DWORD de laActivévaleur à0 x 0dans chacune des clés de Registre suivantes sous leProtocolesclé :
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
AVERTISSEMENT: LaActivéla valeur de données dans ces clés de Registre sous laProtocolesla clé sont prioritaires sur lesgrbitEnabledProtocolsvaleur définie dans la structure SCHANNEL_CRED contenant les données d'informations d'identification de Schannel. La valeur par défautActivédonnées de valeur0xFFFFFFFF.

Exemples de fichiers du Registre

Deux exemples de contenu du fichier du Registre à des fins de configuration, Export.reg et Non-export.reg, sont fournies dans cette section de l'article.

Sur un ordinateur exécutant Windows NT 4.0 Service Pack 6 avec les fichiers Rasbase.dll et Schannel.dll exportables, exécutez Export.reg pour vous assurer que seuls les suites de chiffrement TLS 1.0 FIPS sont utilisées par l'ordinateur.

Dans un ordinateur exécutant Windows NT 4.0 Service Pack 6 qui inclut le Rasenh.dll non exportable et les fichiers Schannel.dll, exécutez Non-export.reg pour vous assurer que seuls les FIPS TLS 1.0 suites de chiffrement sont utilisés par l'ordinateur.

Pour le fichier Schannel.dll reconnaître toute modification sous leSCHANNELclé de Registre, vous devez redémarrer l'ordinateur.

Pour rétablir les paramètres de Registre par défaut, supprimez leSCHANNELclé de Registre et tous les éléments qu'il contient. Si ces clés de Registre ne sont pas présents, le fichier Schannel.dll reconstruit les clés lorsque vous redémarrez l'ordinateur.

Retour au début | Envoyer des commentaires

Propriétés

Numéro d'article: 245030 - Dernière mise à jour: mercredi 6 avril 2011 - Version: 0.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professionnel
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Édition Entreprise
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
Mots-clés : 
kbenv kbinfo kbmt KB245030 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 245030
(http://support.microsoft.com/kb/245030/en-us/ )
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Retour au début | Envoyer des commentaires

Envoyer des commentaires

 
Retour au débutRetour au début