Schannel.dll dosyasýnda belirli þifreleme algoritmalarý ve protokollerinin kullanýmýný kýsýtlama (Bu baðlantý, bir kýsmý veya tamamý Ýngilizce olan içeriðe iþaret edebilir.)

Bu makalede, belirli þifreleme algoritmalarý ve protokollerinin Schannel.dll dosyasýnda kullanýmýný sýnýrlamak için adým.

Bu bilgiler, baðýmsýz yazýlým satýcýsý (ISV) uygulamalarý için Microsoft þifreleme API yazýldýðý için de geçerlidir.

Aþaðýdaki þifreleme hizmeti Windows NT 4.0 Service Pack 6 dahil saðlayýcýlarý (CSP) sertifikalarý FIPS-140-1 crypto validation (http://csrc.nist.gov/cryptval/140-1/1401val.htm) verilen:

• Microsoft Base Cryptographic Provider (Rsabase.dll)
• Microsoft Enhanced Cryptographic Provider (Rsaenh.dll) [olmayan verme sürümü]

TLS/SSL güvenlik saðlayýcýsý Schannel.dll dosyasýnýn, güvenli iletiþim için Microsoft ýnternet Explorer ve ýnternet ýnformation Server (IIS), destek SSL veya TLS yürütmek için yukarýda listelenen CSP'lerden kullanýr.

Schannel.dll dosyasýnýn þifre paketi 1 ve 2 destekleyecek þekilde deðiþtirebilirsiniz, ancak program þifreleme paketi 1 ve 2 desteklemesi gerekir. Þifreleme paketi 1 ve 2'de, IIS 4.0 ve 5.0 desteklenmez.

Bu makalede, Windows NT 4.0 Service Pack 6 ve sonraki TLS/SSL güvenlik saðlayýcýsý'ný yapýlandýrmak için gerekli bilgileri saðlar. Windows kayýt defterindeki belirli SSL 3.0 kullanýmýný denetlemek için kullanabileceðiniz veya Bankasý veya Geliþmiþ Þifreleme Saðlayýcýsý tarafýndan desteklenen bir þifreleme algoritmalarý için TLS 1.0 þifre paketleri saygý gösterin.

Not: gelen Windows NT 4.0 Service Pack 6, Microsoft Base DSS Cryptographic Provider (Dssbase.dll) veya Microsoft DS/Diffie-Hellman Geliþmiþ þifreleme saðlayýcýsýnýn (Dssenh.dll) Schannel.dll dosyasýnýn kullanmaz.

Þifre Paketleri

SSL 3.0 (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt) ) hem INTERNET TASLAÐý "56-bit verme þifreleme paketleri TLS draft-ietf-tls-56-bit-ciphersuites-00.txt için" TLS 1.0 (RFC2246) farklý bir þifre paketleri kullanmak için seçenekler saðlar. Her bir þifre paketi, anahtar deðiþimi, kimlik doðrulama, þifreleme ve bir SSL/TLS oturumu içinde kullanýlan MAC algoritmalarý belirler. RSA anahtar deðiþimi ve kimlik doðrulama algoritmalarý kullandýðýnýzda, terimi RSA yalnýzca bir kez karþýlýk gelen þifreleme paketi tanýmlarýnda göründüðünü unutmayýn.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL güvenlik saðlayýcýsý "aþaðýdaki CipherSuite Bankasý veya Enhanced Cryptographic Provider'ý kullandýðýnýzda, SSL 3. 0'daki tanýmlanan" destekler: Not: Hiçbiri SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA veya SSL_RSA_EXPORT1024_WITH_RC4_56_SHA SSL 3.0 metin olarak tanýmlanýr. Ancak, SSL 3.0 satýcýlar, Microsoft, dahil olmak üzere çok sayýda bunlarý destekler.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL güvenlik saðlayýcýsý, "aþaðýdaki CipherSuite Bankasý veya Geliþmiþ Þifreleme Saðlayýcýsý kullanýlýrken TLS 1.0 tanýmlanan" de destekler:

Not: "0x00" ilk bayt ile tanýmlanan BIR þifre paketi özel olmayan, açýk bir birlikte çalýþabilen iletiþim için kullanýlýr. Örneðin, Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL güvenlik saðlayýcýsý birlikte çalýþabilirliðini saðlamak için SSL 3.0 ve TLS 1.0 belirtimlerini belirtilen bu þifreleme paketleri kullanmayla ilgili yordamlar izler.

Schannel özel kayýt defteri anahtarlarý

Önemli Bu bölüm, yöntem veya görev kayýt defterini nasýl söyleyin adýmlarý içerir. Ancak kayýt defterini hatalý olarak deðiþtirirseniz önemli sorunlar oluþabilir. Bu nedenle, bu adýmlarý dikkatlice uyguladýðýnýzdan emin olun. Ek koruma için, kayýt defterini deðiþtirmeden önce yedeklemeyi unutmayýn. Bir sorun oluþursa kayýt defterini daha sonra geri yükleyebilirsiniz. Kayýt defterini yedekleme ve geri yükleme hakkýnda daha fazla bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

SCHANNEL anahtarý

Kayýt Defteri Düzenleyicisi'ni (Regedt32.exe) baþlatýn ve kayýt defterinde aþaðýdaki anahtarý bulun.

SCHANNEL\Protocols AltAnahtar

Varsayýlan olarak (örneðin, TLS 1.1 veya TLS 1.2) anlaþamaya deðil, iletiþim kurallarýnýn kullanýmýný etkinleþtirmek için <a0></a0>, 0x0 Protocols</a0> anahtarýnýn altýnda aþaðýdaki kayýt defteri anahtarlarýnýn her DisabledByDefault deðerinin DWORD deðer verisini deðiþtirin:

• SCHANNEL\Protocols\PCT 1.1\Client
• SCHANNEL\Protocols\PCT 1.1\Server
• SCHANNEL\Protocols\SSL 1.2\Client
• SCHANNEL\Protocols\SSL 1.2\Server

UYARý: iletiþim kurallarý</a0> anahtarý altýndaki kayýt defteri anahtarlarýndaki DisabledByDefault deðeri bir Schannel kimlik bilgisi verileri içeren SCHANNEL_CRED yapýsýnda tanýmlanan grbitEnabledProtocols deðer üzerinde öncelik almaz.

SCHANNEL\Ciphers alt anahtarý

SCHANNEL anahtarýnýn Ciphers kayýt defteri anahtarýnda, simetrik algoritmalarý, DES ya da RC4 kullanýmýný denetlemek için kullanýlýr. Ciphers anahtarýnýn altýnda geçerli kayýt defteri anahtarlarý þunlardýr:

SCHANNEL\Ciphers\RC4 128/128 alt anahtar:

RC4 128/128

Bu alt anahtar için 128-bit RC4 baþvuruyor.

Bu þifreleme algoritmasý izin vermek için <a0></a0>, 0xffffffff için <a0>Enabled</a0> deðerinin DWORD deðerinin veri deðiþtirme, tersi durumda da 0x0 DWORD deðer verisini deðiþtirin. Etkin deðeri ayarýný yapýlandýrmazsanýz, varsayýlan deðer etkindir. Bu kayýt defteri anahtarýnýn bir SGC sertifikasý sahip verilebilir bir sunucu için geçerli deðildir.

Bu algoritma etkili þekilde devre dýþý býrakýlmasý izin vermiyor:

• SSL_RSA_WÝTH_RC4_128_MD5
• SSL_RSA_WÝTH_RC4_128_SHA
• TLS_RSA_WÝTH_RC4_128_MD5
• TLS_RSA_WÝTH_RC4_128_SHA

SCHANNEL\Ciphers\Triple <a1>DES</a1> 128/128 alt anahtar:

Üçlü DES 168/168

Bu kayýt defteri anahtarý ANSI X9.52 ve taslak FIPS 46-3'te belirtildiði gibi 168 bit Üçlü DES gösterir. Bu kayýt defteri anahtarý verme sürümü için geçerli deðildir.

Bu þifreleme algoritmasý izin vermek için <a0></a0>, 0xffffffff için <a0>Enabled</a0> deðerinin DWORD deðerinin veri deðiþtirme, aksi halde 0x0 DWORD veri'ni deðiþtirin. Etkin deðeri ayarýný yapýlandýrmazsanýz, varsayýlan deðer etkindir.

Bu algoritma etkili þekilde devre dýþý býrakýlmasý izin vermiyor:

• SSL_RSA_WÝTH_3DES_EDE_CBC_SHA
• SSL_DHE_DSS_WÝTH_3DES_EDE_CBC_SHA
• TLS_RSA_WÝTH_3DES_EDE_CBC_SHA
• TLS_DHE_DSS_WÝTH_3DES_EDE_CBC_SHA

SCHANNEL\Ciphers\RC2 128/128 alt anahtar:

RC2 128/128

Bu kayýt defteri anahtarý için 128-bit RC2 baþvuruyor. Verme sürümü için geçerli deðildir.

Bu þifreleme algoritmasý izin vermek için <a0></a0>, 0xffffffff için <a0>Enabled</a0> deðerinin DWORD deðerinin veri deðiþtirme, tersi durumda da 0x0 DWORD deðer verisini deðiþtirin. Etkin deðeri ayarýný yapýlandýrmazsanýz, varsayýlan deðer etkindir.

SCHANNEL\Ciphers\RC4 64/128 alt anahtar:

RC4 64/128

Bu kayýt defteri anahtarý için 64-bit RC4 baþvuruyor. Verme sürümü için geçerli deðildir (ancak Microsoft Money kullanýlýr).

Bu þifreleme algoritmasý izin vermek için <a0></a0>, 0xffffffff için <a0>Enabled</a0> deðerinin DWORD deðerinin veri deðiþtirme, tersi durumda da 0x0 DWORD deðer verisini deðiþtirin. Etkin deðeri ayarýný yapýlandýrmazsanýz, varsayýlan deðer etkindir.

SCHANNEL\Ciphers\RC4 56/128 alt anahtar:

RC4 56/128

Bu kayýt defteri anahtarý için 56 bitlik RC4 baþvuruyor.

Bu þifreleme algoritmasý izin vermek için <a0></a0>, 0xffffffff için <a0>Enabled</a0> deðerinin DWORD deðerinin veri deðiþtirme, tersi durumda da 0x0 DWORD deðer verisini deðiþtirin. Etkin deðeri ayarýný yapýlandýrmazsanýz, varsayýlan deðer etkindir.

Bu algoritma etkili þekilde devre dýþý býrakýlmasý izin vermiyor:

• TLS_RSA_EXPORT1024_WÝTH_RC4_56_SHA

SCHANNEL\Ciphers\RC2 56/128 alt anahtar:

RC2 56/128

Bu kayýt defteri anahtarý için 56 bitlik RC2 baþvuruyor.

Bu þifreleme algoritmasý izin vermek için <a0></a0>, 0xffffffff için <a0>Enabled</a0> deðerinin DWORD deðerinin veri deðiþtirme, tersi durumda da 0x0 DWORD deðer verisini deðiþtirin. Etkin deðeri ayarýný yapýlandýrmazsanýz, varsayýlan deðer etkindir.

SCHANNEL\Ciphers\RC2 56/56 alt anahtar:

des 56/56

Bu kayýt defteri anahtarýnýn FIPS 46 2 içinde belirtildiði gibi 56 bit DES gösterir. Uygulamasý Rsabase.dll ve Rsaenh.dll dosyalarýný, FIPS 140-1 þifreleme modülü doðrulama program altýnda doðrulandý.

Bu þifreleme algoritmasý izin vermek için <a0></a0>, 0xffffffff için <a0>Enabled</a0> deðerinin DWORD deðerinin veri deðiþtirme, tersi durumda da 0x0 DWORD deðer verisini deðiþtirin. Etkin deðeri ayarýný yapýlandýrmazsanýz, varsayýlan deðer etkindir.

Bu algoritma etkili þekilde devre dýþý býrakýlmasý izin vermiyor:

• ssl_rsa_with_des_cbc_sha
• tls_rsa_with_des_cbc_sha

SCHANNEL\Ciphers\RC4 40/128 alt anahtar:

RC4 40/128

Bu iþlem için 40 bit RC4 baþvuruyor.

Bu þifreleme algoritmasý izin vermek için <a0></a0>, 0xffffffff için <a0>Enabled</a0> deðerinin DWORD deðerinin veri deðiþtirme, tersi durumda da 0x0 DWORD deðer verisini deðiþtirin. Etkin deðeri ayarýný yapýlandýrmazsanýz, varsayýlan deðer etkindir.

Bu algoritma etkili þekilde devre dýþý býrakýlmasý izin vermiyor:

• SSL_RSA_EXPORT_WÝTH_RC4_40_MD5
• TLS_RSA_EXPORT_WÝTH_RC4_40_MD5

SCHANNEL\Ciphers\RC2 40/128 alt anahtar:

RC2 40/128

Bu kayýt defteri anahtarý için 40 bit RC2 baþvuruyor.

Bu þifreleme algoritmasý izin vermek için <a0></a0>, 0xffffffff için <a0>Enabled</a0> deðerinin DWORD deðerinin veri deðiþtirme, tersi durumda da 0x0 DWORD deðer verisini deðiþtirin. Etkin deðeri ayarýný yapýlandýrmazsanýz, varsayýlan deðer etkindir.

Bu algoritma etkili þekilde devre dýþý býrakýlmasý izin vermiyor:

• SSL_RSA_EXPORT_WÝTH_RC2_CBC_40_MD5
• TLS_RSA_EXPORT_WÝTH_RC2_CBC_40_MD5

SCHANNEL\Ciphers\NULL alt anahtar:

BOÞ

Bu kayýt defteri anahtarýnýn þifreleme anlamýna gelir. Varsayýlan olarak kapalýdýr.

Þifreleme devre dýþý býrakmak için (tüm þifreleme algoritmalarý izin verme), DWORD deðer verisini <a0>Enabled</a0> deðerinin 0xffffffff için deðiþtirmek, tersi durumda da 0x0 DWORD deðer verisini deðiþtirin.

SCHANNEL/saðlamalarýný alt anahtarý

SCHANNEL anahtarýnýn saðlamalarýný kayýt defteri anahtarýnda, SHA-1 veya MD5 karma algoritmalar kullanýmýný denetlemek için kullanýlýr. Saðlamalarýný anahtarýnýn altýnda geçerli bir kayýt defteri anahtarlarý þunlardýr:

SCHANNEL\Hashes\MD5 alt anahtar:

MD5

Bu karma algoritma izin vermek için <a0>Enabled</a0> deðerinin DWORD deðerinin veri için varsayýlan deðer 0xffffffff deðiþtirmek, aksi halde 0x0 DWORD deðerinin veri'ni deðiþtirin.

Bu algoritma etkili þekilde devre dýþý býrakýlmasý izin vermiyor:

• SSL_RSA_EXPORT_WÝTH_RC4_40_MD5
• SSL_RSA_WÝTH_RC4_128_MD5
• SSL_RSA_EXPORT_WÝTH_RC2_CBC_40_MD5
• TLS_RSA_EXPORT_WÝTH_RC4_40_MD5
• TLS_RSA_WÝTH_RC4_128_MD5
• TLS_RSA_EXPORT_WÝTH_RC2_CBC_40_MD5

SCHANNEL\Hashes\SHA alt anahtar:

sha

FIPS 180-1'te belirtildiði gibi güvenli karma algoritmasý için (SHA-1), bu kayýt defteri anahtarý gösterir. Uygulamasý Rsabase.dll ve Rsaenh.dll dosyalarýný, FIPS 140-1 þifreleme modülü doðrulama program altýnda doðrulandý.

Bu karma algoritma izin vermek için <a0>Enabled</a0> deðerinin DWORD deðerinin veri için varsayýlan deðer 0xffffffff deðiþtirmek, aksi halde 0x0 DWORD deðerinin veri'ni deðiþtirin.

Bu algoritma etkili þekilde devre dýþý býrakýlmasý izin vermiyor:

• SSL_RSA_WÝTH_RC4_128_SHA
• ssl_rsa_with_des_cbc_sha
• SSL_RSA_WÝTH_3DES_EDE_CBC_SHA
• SSL_RSA_EXPORT1024_WÝTH_DES_CBC_SHA
• SSL_RSA_EXPORT1024_WÝTH_RC4_56_SHA
• TLS_RSA_WÝTH_RC4_128_SHA
• tls_rsa_with_des_cbc_sha
• TLS_RSA_WÝTH_3DES_EDE_CBC_SHA
• TLS_RSA_EXPORT1024_WÝTH_DES_CBC_SHA
• TLS_RSA_EXPORT1024_WÝTH_RC4_56_SHA

SCHANNEL/KeyExchangeAlgorithms alt anahtarý

SCHANNEL anahtarýnýn KeyExchangeAlgorithms kayýt defteri anahtarýnda, RSA gibi bir anahtar deðiþimi algoritmasý kullanýmýný denetlemek için kullanýlýr. KeyExchangeAlgorithms anahtarýnýn altýnda geçerli kayýt defteri anahtarlarý þunlardýr:

SCHANNEL\KeyExchangeAlgorithms\PKCS alt anahtar:

pkcs

Bu kayýt defteri anahtarý için RSA anahtar deðiþimi ve kimlik doðrulama algoritmalarý gösterir.

RSA izin vermek için <a0>Enabled</a0> deðerinin DWORD deðerinin veri için varsayýlan deðer 0xffffffff deðiþtirmek, aksi halde 0x0 DWORD veri'ni deðiþtirin.

RSA etkili þekilde devre dýþý býrakmak, Windows NT4 SP6 Microsoft TLS/SSL güvenlik saðlayýcýsý tarafýndan desteklenen tüm RSA tabanlý SSL ve TLS þifreleme paketleri izin vermiyor.

FIPS 140-1 þifreleme paketleri

FIPS 46 3 veya <a2>FIPS 46 2</a2> ve <a4>FIPS 180-1 algoritmalarý Microsoft Bankasý veya Geliþmiþ Þifreleme Saðlayýcýsý tarafýndan saðlanan karþýlýk gelen yalnýzca bu SSL 3.0 veya TLS 1.0 þifre paketleri kullanmak isteyebilirsiniz.

Bu makalede, bizim için FIPS 140-1 þifreleme paketleri bakýn. Bunlar özellikle þunlardýr:

• ssl_rsa_with_des_cbc_sha
• SSL_RSA_WÝTH_3DES_EDE_CBC_SHA
• SSL_RSA_EXPORT1024_WÝTH_DES_CBC_SHA
• tls_rsa_with_des_cbc_sha
• TLS_RSA_WÝTH_3DES_EDE_CBC_SHA
• TLS_RSA_EXPORT1024_WÝTH_DES_CBC_SHA

FIPS 140-1 þifreleme kullanmak için paketleri, yukarýda tanýmlanan Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL güvenlik saðlayýcýsý Bankasý veya Geliþmiþ Þifreleme Saðlayýcýsý tarafýndan desteklenen <a0>Enabled</a0> deðerinin DWORD deðer verileri aþaðýdaki kayýt defteri anahtarlarýndaki 0x0 yapýlandýrýn:

• SCHANNEL\Ciphers\RC4 128/128
• SCHANNEL\Ciphers\RC2 128/128
• 64 SCHANNEL\Ciphers\RC4/128
• SCHANNEL\Ciphers\RC4 56/128
• SCHANNEL\Ciphers\RC2 56/128
• SCHANNEL\Ciphers\RC4 40/128
• SCHANNEL\Ciphers\RC2 40/128
• SCHANNEL\Ciphers\NULL
• SCHANNEL\Hashes\MD5

ve aþaðýdaki kayýt defteri anahtarlarýndaki ' 0xffffffff için'<a0>Enabled</a0> deðerinin DWORD deðerinin veri yapýlandýrýn:

• SCHANNEL\Ciphers\DES 56/56
• DES SCHANNEL\Ciphers\Triple 168/168 "[verme sürümü içinde geçerli deðildir]
• SCHANNEL\Hashes\SHA
• SCHANNEL\KeyExchangeAlgorithms\PKCS

FIPS 140-1 þifreleme paketleri kullanarak ana gizli hesaplamasý

Yukarýdaki FIPS 140-1 þifreleme paketleri SSL 3. 0'daki kullanmayla ilgili yordamlar için (yukarýdaki) kullanarak farklýdýr FIPS 140-1 þifreleme paketlerinde TLS 1.0.

SSL 3. 0'da, taným master_secret hesaplamasý þudur:

TLS 1. 0'da, taným master_secret hesaplamasý þudur:

burada:

TLS 1.0 kullan yalnýzca FIPS 140-1 þifreleme paketleri seçeneðini seçerek:

Raðmen yalnýzca alt kümesini FIPS 140-1 þifreleme paketleri için izin verilen þifreleme paketleri kümesi sýnýrlýdýr yukarýdaki fark nedeniyle, müþterilerin SSL 3. 0'da, kullanýmýný engellemek isteyebilirsiniz. Bu durumda <a0>Enabled</a0> deðerinin DWORD deðerinin veri 0x0Protocols</a0> anahtarýnýn altýnda aþaðýdaki kayýt defteri anahtarlarýnýn her deðiþiklik için:

• SCHANNEL\Protocols\SSL 3.0\Client
• SCHANNEL\Protocols\SSL 3.0\Server

UYARý: Bu iletiþim kurallarý</a0> anahtarý altýndaki kayýt defteri anahtarlarýndaki deðer verisini etkin Schannel bir kimlik bilgisi verileri içeren SCHANNEL_CRED yapýsýný tanýmlanan grbitEnabledProtocols deðer önceliklidir. Varsayýlan etkin deðeri 0xffffffff veridir.

Örnek kayýt defteri dosyalarý

Makalenin bu bölümünde, kayýt defteri dosyasý içeriði yapýlandýrmasýnýn Export.reg ve non-export.reg amaçlarý için iki örnekleri saðlanýr.

Bir bilgisayarda, yalnýzca TLS 1.0 FIPS þifreleme paketleri bilgisayar tarafýndan kullanýlmasýný saðlamak için Export.reg çalýþtýrmak verilebilir Rasbase.dll ve Schannel.dll dosyalarý ile Windows NT 4.0 Service Pack 6 çalýþtýrýyor.

Schannel.dll dosya, yalnýzca TLS 1.0 FIPS, paketleri cipher emin olmak için deðil-export.reg çalýþtýrmak bilgisayar tarafýndan kullanýlan ve bir bilgisayar Windows NT 4.0 Service Pack 6 çalýþtýran verilebilir olmayan Rasenh.dll içerir.

SCHANNEL kayýt defteri anahtarýnýn altýndaki herhangi bir deðiþiklik tanýmasý için Schannel.dll dosyasý, bilgisayarý yeniden baþlatmanýz gerekir.

Kayýt defteri ayarlarýný varsayýlan ayarlarýna dönmek için <a0></a0>, SCHANNEL kayýt defteri anahtarý ve altýndaki her þeyi silin. Bu kayýt defteri anahtarlarý yoksa, bilgisayarý yeniden baþlattýðýnýzda, Schannel.dll anahtarlar oluþturur.