Cara untuk membatasi penggunaan tertentu algoritma kriptografi dan protokol di Schannel.dll

ID Artikel: 245030 - Melihat produk di mana artikel ini berlaku.
Penerjemahan MesinPeringatan: artikel ini adalah terjemahan oleh mesin
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Artikel ini menjelaskan cara untuk membatasi penggunaan tertentu algoritma kriptografi dan protokol pada berkas Schannel.dll.

Informasi ini juga berlaku untuk aplikasi Vendor perangkat lunak independen (ISV) ditulis untuk API kriptografi Microsoft.
Kembali ke atas | Berikan Masukan

INFORMASI LEBIH LANJUT

Berikut kripto penyedia layanan (CSP) disertakan dengan Windows NT 4.0 Service Pack 6 telah diberikan sertifikat untuk FIPS 140-1 kripto validasi
(http://csrc.nist.gov/cryptval/140-1/1401val.htm)
:
  • Basis kriptografi penyedia (Rsabase.dll)
  • Microsoft Enhanced kriptografi penyedia (Rsaenh.dll) [non-ekspor versi]
Penyedia keamanan Microsoft TLS/SSL, Schannel.dll file, menggunakan CSP yang tercantum di atas untuk melakukan komunikasi melalui SSL atau TLS dalam dukungan untuk Microsoft Internet Explorer dan Internet Information Server (IIS).

Anda dapat mengubah berkas Schannel.dll untuk mendukung Cipher Suite 1 dan 2, tapi program juga harus mendukung Cipher Suite 1 dan 2. Cipher Suite 1 dan 2 tidak didukung di IIS 4.0 dan 5.0.

Artikel ini menyediakan informasi yang diperlukan untuk mengkonfigurasi Windows NT 4.0 Service Pack 6 dan kemudian penyedia keamanan TLS/SSL. Anda dapat menggunakan registri Windows untuk mengontrol penggunaan tertentu SSL 3.0 atau TLS 1.0 cipher suite sehubungan dengan algoritma kriptografi yang didukung oleh Microsoft dasar atau ditingkatkan kriptografi penyedia.

CATATAN: Dalam Windows NT 4.0 Service Pack 6, berkas Schannel.dll tidak menggunakan Microsoft basis DSS kriptografi penyedia (Dssbase.dll) atau Microsoft DS/Diffie-Hellman Enhanced kriptografi penyedia (Dssenh.dll).

Cipher suite

Kedua SSL 3.0 ()http://www.Mozilla.org/projects/Security/PKI/NSS/SSL/draft302.txt
(http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt)
), dan TLS 1.0 (RFC2246) dengan INTERNET-DRAFT "56-bit ekspor Cipher Suite untuk TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" memberikan pilihan untuk menggunakan berbeda cipher suite. Setiap cipher suite menentukan pertukaran kunci, otentikasi, enkripsi, dan MAC algoritma yang digunakan dalam sesi SSL/TLS. Perhatikan bahwa ketika Anda menggunakan RSA sebagai pertukaran kunci dan algoritma otentikasi, istilah RSA muncul hanya sekali dalam definisi suite sandi yang sesuai.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL penyedia keamanan mendukung ciphersuite tersebut telah berikut "terdaftar" didefinisikan dalam SSL 3.0 ketika Anda menggunakan Microsoft dasar atau ditingkatkan penyedia kriptografi:
Perkecil tabel iniPerbesar tabel ini
SSL_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
SSL_RSA_WITH_RC4_128_MD5{0x00, 0x04}
SSL_RSA_WITH_RC4_128_SHA{0x00, 0x05}
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
SSL_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
SSL_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
CATATAN: SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA maupun SSL_RSA_EXPORT1024_WITH_RC4_56_SHA didefinisikan dalam teks SSL 3.0. Namun, sejumlah SSL 3.0 vendor, termasuk Microsoft, mendukung mereka.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL penyedia keamanan juga mendukung ciphersuite tersebut telah berikut "terdaftar" didefinisikan dalam TLS 1.0 ketika menggunakan Microsoft dasar atau ditingkatkan penyedia kriptografi:

Perkecil tabel iniPerbesar tabel ini
TLS_RSA_EXPORT_WITH_RC4_40_MD5{0x00, 0x03}
TLS_RSA_WITH_RC4_128_MD5{0x00, 0x04}
TLS_RSA_WITH_RC4_128_SHA{0x00, 0x05}
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{0x00, 0x06}
TLS_RSA_WITH_DES_CBC_SHA{0x00, 0x09}
TLS_RSA_WITH_3DES_EDE_CBC_SHA{0x00, 0x0A}
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{0x00, 0x62}
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{0x00, 0x64}
CATATAN: Cipher suite didefinisikan dengan byte pertama "0x00" non-swasta dan digunakan untuk komunikasi terbuka. Dengan demikian, Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL penyedia keamanan mengikuti prosedur untuk menggunakan ini cipher suite yang ditentukan dalam 3,0 SSL dan TLS 1.0 spesifikasi untuk.

Kunci registri khusus Schannel

Penting Bagian ini, metode, atau tugas yang memuat langkah-langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda memodifikasi. Kemudian, Anda dapat memulihkan registri apabila terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
322756
(http://support.microsoft.com/kb/322756/ )
Cara membuat cadangan dan memulihkan registri di Windows

SCHANNEL kunci

Mulai Peninjau Suntingan Registri (Regedt32.exe), dan Cari kunci berikut ini di registri.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols subkunci

Untuk mengaktifkan menggunakan protokol yang tidak dapat dinegosiasikan secara default (seperti TLS 1.1 atau TLS 1.2), mengubah data nilai DWORD DisabledByDefault nilai untuk 0x0 dalam masing-masing kunci registri berikut di bawah kunci protokol:
  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
PERINGATAN: DisabledByDefault nilai dalam kunci registri di bawah Protokol kunci tidak diutamakan grbitEnabledProtocols nilai yang ditentukan dalam struktur SCHANNEL_CRED yang berisi data untuk Schannel credential.

SCHANNEL\Ciphers subkunci

The Cipher kunci registri di bawah SCHANNEL kunci yang digunakan untuk mengontrol penggunaan algoritma simetrik seperti DES atau RC4. Berikut ini adalah kunci registri yang berlaku di bawah Cipher kunci.

SCHANNEL\Ciphers\RC4 128/128 subkunci:

RC4 128/128

Subkunci ini mengacu pada 128-bit RC4.

Untuk memungkinkan algoritma sandi ini, mengubah data nilai DWORD Aktif nilai untuk 0xffffffff, mengubah data nilai DWORD untuk 0x0. Jika Anda tidak mengkonfigurasi Aktif nilai default diaktifkan. Kunci registri ini tidak berlaku untuk ekspor server yang tidak memiliki sertifikat SGC.

Menonaktifkan algoritma ini secara efektif dilarang:
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168/168 subkunci:

Triple DES 168

Kunci registri ini mengacu pada 168-bit Triple DES yang ditentukan dalam ANSI X9.52 dan rancangan FIPS 46-3. Kunci registri ini tidak berlaku untuk versi ekspor.

Untuk memungkinkan algoritma sandi ini, mengubah data nilai DWORD Aktif nilai untuk 0xffffffff, mengubah DWORD data 0x0. Jika Anda tidak mengkonfigurasi Aktif nilai default diaktifkan.

Menonaktifkan algoritma ini secara efektif dilarang:
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
SCHANNEL\Ciphers\RC2 128/128 subkunci:

RC2 128/128

Kunci registri ini mengacu pada 128-bit RC2. Tidak berlaku untuk versi ekspor.

Untuk memungkinkan algoritma sandi ini, mengubah data nilai DWORD Aktif nilai untuk 0xffffffff, mengubah data nilai DWORD untuk 0x0. Jika Anda tidak mengkonfigurasi Aktif nilai default diaktifkan.

SCHANNEL\Ciphers\RC4 64/128 subkunci:

RC4 64/128

Kunci registri ini mengacu pada 64-bit RC4. Itu tidak berlaku untuk versi ekspor (tapi digunakan di Microsoft uang).

Untuk memungkinkan algoritma sandi ini, mengubah data nilai DWORD Aktif nilai untuk 0xffffffff, mengubah data nilai DWORD untuk 0x0. Jika Anda tidak mengkonfigurasi Aktif nilai default diaktifkan.

SCHANNEL\Ciphers\RC4 56/128 subkunci:

RC4 56/128

Kunci registri ini mengacu pada 56-bit RC4.

Untuk memungkinkan algoritma sandi ini, mengubah data nilai DWORD Aktif nilai untuk 0xffffffff, mengubah data nilai DWORD untuk 0x0. Jika Anda tidak mengkonfigurasi Aktif nilai default diaktifkan.

Menonaktifkan algoritma ini secara efektif dilarang:
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 subkunci:

RC2 56/128

Kunci registri ini mengacu pada 56-bit RC2.

Untuk memungkinkan algoritma sandi ini, mengubah data nilai DWORD Aktif nilai untuk 0xffffffff, mengubah data nilai DWORD untuk 0x0. Jika Anda tidak mengkonfigurasi Aktif nilai default diaktifkan.

SCHANNEL\Ciphers\RC2 56/56 subkunci:

DES 56

Kunci registri ini mengacu pada 56 bit DES yang ditentukan dalam FIPS 46-2. Pelaksanaannya dalam file Rsabase.dll dan Rsaenh.dll telah disahkan di bawah Program validasi modul kriptografi FIPS 140-1.

Untuk memungkinkan algoritma sandi ini, mengubah data nilai DWORD Aktif nilai untuk 0xffffffff, mengubah data nilai DWORD untuk 0x0. Jika Anda tidak mengkonfigurasi Aktif nilai default diaktifkan.

Menonaktifkan algoritma ini secara efektif dilarang:
  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 subkunci:

RC4 40/128

Hal ini mengacu pada 40-bit RC4.

Untuk memungkinkan algoritma sandi ini, mengubah data nilai DWORD Aktif nilai untuk 0xffffffff, mengubah data nilai DWORD untuk 0x0. Jika Anda tidak mengkonfigurasi Aktif nilai default diaktifkan.

Menonaktifkan algoritma ini secara efektif dilarang:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 subkunci:

RC2 40/128

Kunci registri ini mengacu pada 40-bit RC2.

Untuk memungkinkan algoritma sandi ini, mengubah data nilai DWORD Aktif nilai untuk 0xffffffff, mengubah data nilai DWORD untuk 0x0. Jika Anda tidak mengkonfigurasi Aktif nilai default diaktifkan.

Menonaktifkan algoritma ini secara efektif dilarang:
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL subkunci:

NULL

Kunci registri ini berarti tidak ada enkripsi. Ini dinonaktifkan secara default.

Untuk mematikan enkripsi (melarang semua sandi algoritma), mengubah data nilai DWORD Aktif nilai untuk 0xffffffff, mengubah data nilai DWORD untuk 0x0.

SCHANNEL/hash subkunci

The Hash kunci registri di bawah SCHANNEL kunci yang digunakan untuk mengontrol penggunaan hashing algoritma MD5 atau SHA-1. Berikut ini adalah kunci registri yang berlaku di bawah Hash kunci.

SCHANNEL\Hashes\MD5 subkunci:

MD5

Untuk memungkinkan ini hashing algoritma, mengubah data nilai DWORD Aktif nilai untuk nilai default 0xffffffff, mengubah data nilai DWORD untuk 0x0.

Menonaktifkan algoritma ini secara efektif dilarang:
  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA subkunci:

SHA

Kunci registri ini merujuk kepada Secure Hash Algorithm (SHA-1), sebagaimana ditentukan di FIPS 180-1. Pelaksanaannya dalam file Rsabase.dll dan Rsaenh.dll telah disahkan di bawah Program validasi modul kriptografi FIPS 140-1.

Untuk memungkinkan ini hashing algoritma, mengubah data nilai DWORD Aktif nilai untuk nilai default 0xffffffff, mengubah data nilai DWORD untuk 0x0.

Menonaktifkan algoritma ini secara efektif dilarang:
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Subkunci SCHANNEL/KeyExchangeAlgorithms

The KeyExchangeAlgorithms kunci registri di bawah SCHANNEL kunci yang digunakan untuk mengontrol penggunaan algoritma pertukaran kunci seperti RSA. Berikut ini adalah kunci registri yang berlaku di bawah KeyExchangeAlgorithms kunci.

SCHANNEL\KeyExchangeAlgorithms\PKCS subkunci:

PKCS

Kunci registri ini merujuk RSA sebagai pertukaran dan otentikasi kunci algoritma.

Untuk memungkinkan RSA, mengubah data nilai DWORD Aktif nilai untuk nilai default 0xffffffff, mengubah DWORD data 0x0.

Menonaktifkan RSA secara efektif dilarang semua berbasis RSA SSL dan TLS cipher suite didukung oleh penyedia keamanan TLS/SSL Windows NT4 SP6 Microsoft.

FIPS 140-1 Cipher Suite

Anda mungkin ingin menggunakan hanya mereka SSL 3.0 atau TLS 1.0 cipher suite yang sesuai dengan FIPS 46-3 atau FIPS 46-2 dan FIPS 180-1 algoritma yang disediakan oleh Microsoft dasar atau ditingkatkan kriptografi penyedia.

Pada artikel ini, kita merujuk kepada mereka sebagai FIPS 140-1 cipher suite. Secara khusus, mereka adalah:
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Untuk menggunakan hanya FIPS 140-1 cipher suite sebagaimana didefinisikan di atas, didukung oleh Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL penyedia keamanan dengan Microsoft dasar atau ditingkatkan penyedia kriptografi, mengkonfigurasi data nilai DWORD Aktif nilai dalam kunci registri berikut untuk 0x0:
  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
dan mengkonfigurasi data nilai DWORD Aktif nilai dalam kunci registri berikut untuk 0xffffffff:
  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168/168 "[tidak berlaku dalam ekspor versi]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Master rahasia komputasi menggunakan FIPS 140-1 Cipher Suite

Prosedur untuk menggunakan di atas FIPS 140-1 cipher suite di SSL 3.0 berbeda dari orang-orang untuk menggunakan (di atas) FIPS 140-1 cipher suite di TLS 1.0.

Di SSL 3.0, berikut ini adalah definisi master_secret perhitungan:

Di TLS 1.0, berikut ini adalah definisi master_secret perhitungan:

di mana:

Memilih pilihan untuk menggunakan hanya FIPS 140-1 Cipher suite di TLS 1.0:

Karena perbedaan di atas, pelanggan mungkin ingin melarang penggunaan SSL 3.0, meskipun set diizinkan cipher suite telah terbatas hanya subset FIPS 140-1 cipher suite. Dalam hal ini, mengubah data nilai DWORD Aktif nilai untuk 0x0 dalam masing-masing kunci registri berikut di bawah Protokol kunci:
  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
PERINGATAN: Aktif nilai data dalam kunci registri di bawah Protokol kunci mengambil didahulukan atas grbitEnabledProtocols nilai didefinisikan dalam struktur SCHANNEL_CRED yang mengandung data untuk Schannel credential. Default Aktif nilai data 0xffffffff.

Contoh berkas registri

Dua contoh dari isi file registri untuk tujuan konfigurasi, Export.reg dan Non-export.reg, disediakan dalam bagian ini artikel.

Di komputer menjalankan Windows NT 4.0 Service Pack 6 dengan ekspor Rasbase.dll dan Schannel.dll file, jalankan Export.reg untuk memastikan bahwa hanya TLS 1.0 FIPS cipher suite yang digunakan oleh komputer.

Di komputer yang menjalankan Windows NT 4.0 Service Pack 6 yang mencakup Rasenh.dll non-ekspor dan Schannel.dll file, jalankan Non-export.reg untuk memastikan bahwa hanya TLS 1.0 FIPS cipher suite yang digunakan oleh komputer.

Untuk Schannel.dll file untuk mengenali perubahan di bawah SCHANNEL kunci registri, Anda harus me-restart komputer.

Untuk mengembalikan pengaturan registri ke default, Hapus SCHANNEL kunci registri dan segala sesuatu di bawah ini. Buat jika kunci registri tidak hadir, Schannel.dll kembali kunci ketika Anda me-restart komputer.

Kembali ke atas | Berikan Masukan

Properti

ID Artikel: 245030 - Kajian Terakhir: 20 September 2011 - Revisi: 2.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
Kata kunci: 
kbenv kbinfo kbmt KB245030 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:245030
(http://support.microsoft.com/kb/245030/en-us/ )
Kembali ke atas | Berikan Masukan

Berikan Masukan

 
Kembali ke atasKembali ke atas