Beschränken der Verwendung bestimmter kryptografischer Algorithmen und Protokolle in "Schannel.dll"

Gilt für: Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Web Edition

Zusammenfassung


Dieser Artikel beschreibt die Verwendung bestimmter kryptografischer Algorithmen und Protokolle in die Datei Schannel.dll einschränken. Diese Informationen gelten auch für independent Software Vendor (ISV) Anwendung, die für den Microsoft Cryptographic API (CAPI) geschrieben werden.

Hinweis Dieser Artikel bezieht sich auf Windows Server 2003 und früheren Versionen von Windows. Registrierungsschlüssel, die für Windows Server 2008 und höhere Versionen von Windows gelten, finden Sie unter TLS-Registrierungseinträge.

Weitere Informationen


Folgenden Kryptografiedienstanbieter (CSP), die in Windows NT 4.0 Service Pack 6 enthaltenen erhielten die Zertifikate für die FIPS-140-1 Crypto-Validierung:

  • Microsoft Base Cryptographic Provider (Rsabase.dll)
  • Microsoft Enhanced Cryptographic Provider (Rsaenh.dll) (kein Export Version)
TLS/SSL Security Provider die Datei Schannel.dll verwendet einen Kryptografiedienstanbieter, die hier aufgeführt sind, um sichere Kommunikation über SSL oder TLS unterstützt Internet Explorer und Internet Information Services (IIS) durchführen.

Sie können die Datei Schannel.dll Verschlüsselungssammlung 1 und 2 Unterstützung ändern. Die Anwendung muss jedoch auch Verschlüsselungssammlung 1 und 2 unterstützen. Verschlüsselungssammlung 1 und 2 werden in IIS 4.0 und 5.0 nicht unterstützt.

Dieser Artikel enthält die erforderlichen Informationen zum Konfigurieren von TLS/SSL Security Provider für Windows NT 4.0 Service Pack 6 und höher. Die Windows-Registrierung können Sie die Verwendung von bestimmten SSL 3.0 oder TLS 1.0 Verschlüsselungssammlungen hinsichtlich der kryptografischen Algorithmen steuern, Base Cryptographic Provider oder Enhanced Cryptographic Provider unterstützt werden.

Hinweis In Windows NT 4.0 Service Pack 6 verwenden die Datei Schannel.dll nicht Microsoft Base DSS Cryptographic Provider ("Dssbase.dll") oder die Microsoft DS/Diffie-Hellman-Enhanced Cryptographic Provider (Dssenh.dll).

Verschlüsselungsverfahren

SSL 3.0 (http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt) und INTERNETENTWURF "56-Bit-Export Verschlüsselungsverfahren für TLS draft-ietf-tls-56-bit-ciphersuites-00.txt" TLS 1.0 (RFC2246) bieten Optionen für verschiedene Verschlüsselungsverfahren. Jede Verschlüsselungssammlung bestimmt den Schlüsselaustausch, Authentifizierung, Verschlüsselung und MAC-Algorithmen, die SSL/TLS-Sitzung verwendet werden. Daraufhin bei Verwendung von RSA Key Exchange und Authentifizierungsalgorithmen der Begriff RSA nur einmal in die entsprechenden Cipher Suite Definitionen wird angezeigt.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider unterstützt die folgenden SSL 3.0 definierten "CipherSuite", wenn Sie Base Cryptographic Provider oder Enhanced Cryptographic Provider:

SSL_RSA_EXPORT_WITH_RC4_40_MD5{ 0x00,0x03 }
SSL_RSA_WITH_RC4_128_MD5{ 0x00,0x04 }
SSL_RSA_WITH_RC4_128_SHA{ 0x00,0x05 }
SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5{ 0x00,0x06 }
SSL_RSA_WITH_DES_CBC_SHA{ 0x00,0x09 }
SSL_RSA_WITH_3DES_EDE_CBC_SHA{ 0x00,0x0A }
SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA{ 0x00,0x62 }
SSL_RSA_EXPORT1024_WITH_RC4_56_SHA{ 0x00,0x64 }
Hinweis Weder SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA noch SSL_RSA_EXPORT1024_WITH_RC4_56_SHA ist SSL 3.0 Text definiert. Allerdings werden sie von mehreren SSL 3.0-Lieferanten unterstützt. Microsoft eingeschlossen.

Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider unterstützt auch die folgenden TLS 1.0 definiert "CipherSuite", wenn Sie Base Cryptographic Provider oder Enhanced Cryptographic Provider verwenden:

TLS_RSA_EXPORT_WITH_RC4_40_MD5{ 0x00,0x03 }
TLS_RSA_WITH_RC4_128_MD5{ 0x00,0x04 }
TLS_RSA_WITH_RC4_128_SHA{ 0x00,0x05 }
TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5{ 0x00,0x06 }
TLS_RSA_WITH_DES_CBC_SHA{ 0x00,0x09 }
TLS_RSA_WITH_3DES_EDE_CBC_SHA{ 0x00,0x0A }
TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA{ 0x00,0x62 }
TLS_RSA_EXPORT1024_WITH_RC4_56_SHA{ 0x00,0x64 }
Hinweis Eine Verschlüsselungssuite definiert ist, indem das erste Byte "0 x 00" ist nicht privat und für offene interoperable Kommunikation verwendet. Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL Security Provider folgt daher wie diese Verschlüsselungsverfahren SSL 3.0 und TLS 1.0 um Interoperabilität sicherzustellen.

Schannel-spezifische Registrierungsschlüssel

Wichtig Dieser Abschnitt bzw. die Methode oder Aufgabe enthält Schritte, die erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie die folgenden Schritte sorgfältig ausführen. Sichern Sie die Registry für zusätzlichen Schutz, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, falls ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
322756 zum Sichern und Wiederherstellen der Registrierung in Windows
Hinweis Änderungen auf den Inhalt der CHIFFREN Taste bzw. HASHES wirksam sofort, ohne einen Neustart des Systems.

SCHANNEL-Schlüssel

Starten Sie Registrierungseditor (Regedt32.exe) zu, und suchen Sie den folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

SCHANNEL\Protocols-Unterschlüssel

Damit das System die Protokolle verwenden kann, die nicht standardmäßig ausgehandelt werden (beispielsweise TLS 1.1 oder TLS 1.2), ändern Sie im folgenden Registrierungsschlüssel unter dem Schlüssel "Protocols" den DWORD-Wert DisabledByDefault in 0x :

  • SCHANNEL\Protocols\TLS 1.1\Client
  • SCHANNEL\Protocols\TLS 1.1\Server
  • SCHANNEL\Protocols\TLS 1.2\Client
  • SCHANNEL\Protocols\TLS 1.2\Server
Warnung Der DisabledByDefault -Wert im Registrierungsschlüssel unter dem Schlüssel Protokolle ist nicht GrbitEnabledProtocols Wert Vorrang, die in der SCHANNEL_CRED definiert ist, die Daten für eine Schannel Anmeldeinformationen enthält.

SCHANNEL\Ciphers-Unterschlüssel

Chiffren Registrierungsschlüssel unter dem Schlüssel SCHANNEL zum Verwenden von symmetrischen Algorithmen wie DES und RC4 steuern. Folgende sind gültige Registrierungsschlüssel unter dem Schlüssel Chiffren.
SCHANNEL\Ciphers\RC4 128/128 Unterschlüssel
RC4 128/128


Dieser Unterschlüssel verweist auf 128-Bit RC4.


Damit können diese Chiffre-Algorithmus Ändern der DWORD-Wert den Wert aktiviert auf 0xffffffff. Oder ändern Sie den DWORD-Wert auf 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert. Registrierungsschlüssel nicht exportierbar Server gilt kein SGC-Zertifikat.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:

  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA
SCHANNEL\Ciphers\Triple DES 168
Triple DES 168

Dieser Registrierungsschlüssel verweist auf 168-Bit-Triple DES ANSI-X9.52 und Entwurf FIPS 46-3 angegeben. Dieser Registrierungsschlüssel gilt nicht für Exportversion.

Damit können diese Chiffre-Algorithmus Ändern der DWORD-Wert den Wert aktiviert auf 0xffffffff. Oder ändern Sie den DWORD auf 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:

  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Hinweis Für Versionen von Windows vor Windows Vista gibt, sollte der Schlüssel Triple DES 168/168.
SCHANNEL\Ciphers\RC2 128/128 Unterschlüssel
RC2 128/128

Dieser Registrierungsschlüssel verweist auf 128-Bit-RC2. Es gilt nicht für Exportversion.

Damit können diese Chiffre-Algorithmus Ändern der DWORD-Wert den Wert aktiviert auf 0xffffffff. Andernfalls Ändern der DWORD-Wert auf 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

SCHANNEL\Ciphers\RC4 64/128 Unterschlüssel
RC4 64/128

Dieser Registrierungsschlüssel verweist auf 64-Bit-RC4. Es gilt nicht für Exportversion (aber in Microsoft Money verwendet wird).

Damit können diese Chiffre-Algorithmus Ändern der DWORD-Wert den Wert aktiviert auf 0xffffffff. Andernfalls Ändern der DWORD-Wert auf 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

SCHANNEL\Ciphers\RC4 56/128 Unterschlüssel
RC4 56/128

Dieser Registrierungsschlüssel verweist auf 56-Bit-RC4.

Damit können diese Chiffre-Algorithmus Ändern der DWORD-Wert den Wert aktiviert auf 0xffffffff. Andernfalls Ändern der DWORD-Wert auf 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:

  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA
SCHANNEL\Ciphers\RC2 56/128 Unterschlüssel
RC2 56/128

Dieser Registrierungsschlüssel verweist auf 56-Bit-RC2.

Damit können diese Chiffre-Algorithmus Ändern der DWORD-Wert den Wert aktiviert auf 0xffffffff. Andernfalls Ändern der DWORD-Wert auf 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

SCHANNEL\Ciphers\RC2 56 und 56 Unterschlüssel

DES 56

Dieser Registrierungsschlüssel verweist auf 56-Bit DES gemäß FIPS 46-2. Die Implementierung in den Dateien "Rsabase.dll" und "Rsaenh.dll" wird unter FIPS 140-1 kryptografische Modul Validierungsprogramm überprüft.

Damit können diese Chiffre-Algorithmus Ändern der DWORD-Wert den Wert aktiviert auf 0xffffffff. Andernfalls Ändern der DWORD-Wert auf 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:

  • SSL_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
SCHANNEL\Ciphers\RC4 40/128 Unterschlüssel

RC4 40/128

Dies bezieht sich auf 40-Bit RC4.

Damit können diese Chiffre-Algorithmus Ändern der DWORD-Wert den Wert aktiviert auf 0xffffffff. Andernfalls Ändern der DWORD-Wert auf 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:

  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
SCHANNEL\Ciphers\RC2 40/128 Unterschlüssel

RC2 40/128

Dieser Registrierungsschlüssel verweist auf 40-Bit-RC2.

Damit können diese Chiffre-Algorithmus Ändern der DWORD-Wert den Wert aktiviert auf 0xffffffff. Andernfalls Ändern der DWORD-Wert auf 0 x 0. Wenn Sie den Wert von Enabled nicht konfigurieren, ist standardmäßig aktiviert.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:

  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Ciphers\NULL-Unterschlüssel

NULL

Dieser Registrierungsschlüssel ist keine Verschlüsselung. Standardmäßig ist sie deaktiviert.

Verschlüsselung deaktivieren (Sperren alle Verschlüsselungsalgorithmen), ändern Sie den DWORD-Wert Wert aktiviert 0xffffffff. Andernfalls Ändern der DWORD-Wert auf 0 x 0.

SCHANNEL-Hashes Unterschlüssel

Hashes Registrierungsschlüssel unter dem Schlüssel SCHANNEL zum Steuern der Verwendung von Hashalgorithmen MD5 oder SHA-1. Folgende sind gültige Registrierungsschlüssel unter dem Schlüssel Hashes.

SCHANNEL\Hashes\MD5-Unterschlüssel

MD5

Um diesen Hashingalgorithmus zu ermöglichen, Ändern der DWORD-Wert den Wert aktiviert auf Standard Wert 0xffffffff. Andernfalls Ändern der DWORD-Wert auf 0 x 0.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:

  • SSL_RSA_EXPORT_WITH_RC4_40_MD5
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
  • TLS_RSA_EXPORT_WITH_RC4_40_MD5
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
SCHANNEL\Hashes\SHA-Unterschlüssel

SHA

Dieser Registrierungsschlüssel verweist auf Secure Hash Algorithm (SHA-1) gemäß FIPS 180-1. Die Implementierung in den Dateien "Rsabase.dll" und "Rsaenh.dll" wird unter FIPS 140-1 kryptografische Modul Validierungsprogramm überprüft.

Um diesen Hashingalgorithmus zu ermöglichen, Ändern der DWORD-Wert den Wert aktiviert auf Standard Wert 0xffffffff. Andernfalls Ändern der DWORD-Wert auf 0 x 0.

Dieser Algorithmus effektiv deaktivieren lässt Folgendes:

  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_RC4_56_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Unterschlüssel SCHANNEL-KeyExchangeAlgorithms

Der Registrierungsschlüssel KeyExchangeAlgorithms SCHANNEL Schlüssel zum Steuern der Verwendung von Algorithmen wie RSA Key Exchange. Im folgenden werden die gültigen Registrierungsschlüssel unter dem Schlüssel KeyExchangeAlgorithms.

SCHANNEL\KeyExchangeAlgorithms\PKCS-Unterschlüssel
PKCS

Dieser Registrierungsschlüssel verweist auf RSA als die Schlüsselalgorithmen Austausch und die Authentifizierung.

Damit kann RSA Ändern der DWORD-Wert aktiviert Wert auf Standard Wert 0xffffffff. Andernfalls ändern Sie DWORD in 0 x 0.

Deaktivieren von RSA effektiv lässt alle RSA-basierten SSL und TLS Verschlüsselungssammlungen Windows NT4 SP6 Microsoft TLS/SSL Security Provider unterstützt.

FIPS 140-1 Verschlüsselungssammlungen

Sie möchten nur die Verschlüsselungsverfahren SSL 3.0 oder TLS 1.0 verwenden, die FIPS 46 3 oder FIPS 46 2 und FIPS 180 1 von Microsoft Base oder Enhanced Cryptographic Provider bereitgestellten Algorithmen entsprechen.

In diesem Artikel sprechen wir Ihnen FIPS 140-1-Verschlüsselungsverfahren. Insbesondere sind wie folgt:

  • SSL_RSA_WITH_DES_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_RSA_EXPORT1024_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_DES_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  • TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA
Um nur FIPS 140-1-Cipher Suites zu verwenden, wie hier definiert und unterstützt von Windows NT 4.0 Service Pack 6 Microsoft TLS/SSL-Sicherheitsanbieter mit Base Cryptographic Provider oder der Enhanced Cryptographic Provider, konfigurieren Sie den DWORD-Datenwert im folgenden Registrierungsschlüssel auf 0 x 0:

  • SCHANNEL\Ciphers\RC4 128/128
  • SCHANNEL\Ciphers\RC2 128/128
  • SCHANNEL\Ciphers\RC4 64/128
  • SCHANNEL\Ciphers\RC4 56/128
  • SCHANNEL\Ciphers\RC2 56/128
  • SCHANNEL\Ciphers\RC4 40/128
  • SCHANNEL\Ciphers\RC2 40/128
  • SCHANNEL\Ciphers\NULL
  • SCHANNEL\Hashes\MD5
Und die Daten DWORD-Wert den Wert aktiviert im folgenden Registrierungsschlüssel auf 0xffffffffkonfigurieren:

  • SCHANNEL\Ciphers\DES 56/56
  • SCHANNEL\Ciphers\Triple DES 168-168"[Export Version nicht zutreffend]
  • SCHANNEL\Hashes\SHA
  • SCHANNEL\KeyExchangeAlgorithms\PKCS

Master geheimen Berechnung mit FIPS 140-1 Verschlüsselungssammlungen

Die Verfahren für die Verwendung von FIPS 140-1 Cipher Suites SSL 3.0 von TLS 1.0 FIPS 140-1 Verschlüsselungsverfahren wie unterscheiden.

SSL 3.0 ist folgende Berechnung Master_secret Definition:

TLS 1.0 wird folgende Berechnung Master_secret Definition:

Wobei:

Die Option nur FIPS 140-1 Verschlüsselungssammlungen TLS 1.0 verwenden:

Wegen dieses Unterschieds möchten Kunden SSL 3.0 untersagen Obwohl festgelegten zulässigen Verschlüsselungssammlungen nur die Teilmenge der FIPS 140-1 Verschlüsselungssammlungen beschränkt. In diesem Fall ändern Sie den DWORD-Wert Enabled-Wert auf 0 x 0 im folgenden Registrierungsschlüssel unter dem Schlüssel Protokolle:

  • SCHANNEL\Protocols\SSL 3.0\Client
  • SCHANNEL\Protocols\SSL 3.0\Server
Warnung Aktiviert-Wertdaten in diesen Registrierungsschlüssel unter dem Schlüssel Protokolle Vorrang vor den GrbitEnabledProtocols-Wert, der in der SCHANNEL_CRED definiert ist, die Daten für Schannel Anmeldeinformationen enthält. Der Standardwert aktiviert lautet "0xFFFFFFFF".

Beispiel-Registrierungsdateien

In diesem Artikel werden Beispiele Registrierung Inhalt für Konfiguration bereitgestellt. Sie sind Export.reg und nicht export.reg.

Auf einem Computer, der Windows NT 4.0 Service Pack 6 mit exportierbaren Rasbase.dll ausgeführt wird und Schannel.dll Dateien führen Sie Export.reg, um sicherzustellen, dass nur TLS 1.0 FIPS Suites Cipher wird vom Computer.

In einem Computer mit Windows NT 4.0 Service Pack 6 enthält, die nicht exportierbaren Rasenh.dll und Schannel.dll Dateien, Ausführen von nicht-export.reg, um sicherzustellen, dass nur TLS 1.0 FIPS Suites Cipher wird vom Computer.

Änderungen unter dem Registrierungsschlüssel SCHANNEL erkennt die Datei Schannel.dll müssen Sie den Computer neu starten.

Um die Registrierungseinträge Standard zurückzukehren, Löschen der SCHANNEL-Registrierungsschlüssel und alle darunter Wenn dieser Registrierungsschlüssel nicht vorhanden sind, erstellt der Schannel.dll Schlüssel beim Neustart des Computers.