Avaldamise algne kuupäev: 21. november 2025
KB ID: 5073121
|
Muuda kuupäeva |
Muuda kirjeldust |
|
11. detsember 2025 |
|
Sissejuhatus
14. oktoobri 2025. aasta Windowsi värskendused, mis käsitlesid CVE-2024-30098 , näitasid probleeme rakendustes, kus kood ei tuvasta õigesti, milline pakkuja haldab kiipkaardilt serdisalve levitatud sertide võtit. See väär tuvastamine võib teatud juhtudel põhjustada krüptograafiliste toimingute nurjumise. See dokument annab rakenduse arendajatele juhiseid selle kohta, kuidas õiget ohjurit tuvastada ja neid probleeme lahendada.
Kokkuvõte
Kui serdid levitatakse kiipkaardilt Windowsi serdisalve, saab levitamisprotsess kasutada ühte järgmistest pakkujatest.
-
Pärandkrüptimisteenuse pakkuja (CSP), mis tugineb pärandkrüptograafiarakenduste programmeerimisliidesele (CAPI)
-
Võtmesalvestusruumi pakkuja (KSP), mis tugineb krüptograafia API-le: Next Generation (CNG). See oli Windows Vistas kasutusele võetud kaasaegne asendus.
Enne CVE-2024-30098 parandust kasutas levitamisalgoritm CSP-t RSA-põhiste sertide jaoks ja KSP-t kõigi teiste jaoks. Selline lähenemine oli ebaturvaline, kuna CAPI ei toeta tänapäevaseid krüptoalgoritme, mis piiravad turvavõimalusi.
14. oktoobri 2025 turbevärskendused eemaldasid selle eritöötluse ja nüüd kasutatakse KSP-t kõigi sertide jaoks.
Kasutatava API komplekti määratlemine
Rakendused, mis kasutavad CSP hallatavaid RSA võtmeid, võivad nurjuda, kui võtit haldab KSP. Probleemi lahendamiseks peavad rakendused tuvastama, milline pakkuja võtit haldab ja kasutama vastavat API komplekti (CAPI või CNG).
NB!: Ärge kasutage funktsioone CryptAcquireContextW ega CryptAcquireContextA , kuna API on iganenud. Kasutage selle asemel funktsiooni CryptAcquireCertificatePrivateKey .
Funktsioon CryptAcquireCertificatePrivateKey
Helistamine: CryptAcquireCertificatePrivateKey tagastab pideme (phCryptProvOrNCryptKey), mille tüüp on HCRYPTPROV_OR_NCRYPT_KEY_HANDLE. See pide võib olla:
-
CSP pide (HCRYPTPROV): kasutage CryptoAPI funktsioone nagu CryptSignHash.
-
CNG-pide (NCRYPT_KEY_HANDLE): kasutage CNG-funktsioone nagu NCryptSignHash.
Märkus.: Funktsiooni CryptAcquireCertificatePrivateKey kutsumisel kaasake kindlasti parameetrisse dwFlags CRYPT_ACQUIRE_PREFER_NCRYPT_KEY_FLAG .
Pideme tüübi määramiseks kontrollige väärtust pdwKeySpec .
|
pdwKeySpec-väärtus |
Crypto API, mida kasutada |
|
AT_KEYEXCHANGE või AT_SIGNATURE |
CAPI |
|
CERT_NCRYPT_KEY_SPEC |
CNG |
Ajutine lahendus
Ajutised tööd on saadaval klientidele, keda selle muudatuse jõustamine mõjutab. Saadaval on ajutine registrivõti, mille abil saab aktiveerida jõustamiserežiimi auditirežiimi .
Tähtis. Selle registrivõtme tugi eemaldatakse 2026. aasta aprilli värskendustest.
|
Registritee |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais |
|
Tüüp |
REG_DWORD |
|
Väärtuse nimi |
DisableCapiOverrideForRSA |
|
Väärtuseandmed |
1 = turbeparanduse lubamine (jõustamisrežiim) 0 või võti on eemaldatud = keelake turbeparandus ja aktiveerige auditirežiim |
Viited
Funktsioon CryptAcquireCertificatePrivateKey (wincrypt.h)
CVE-2024-30098 | Windowsi krüptograafiliste teenuste turbefunktsioonidest möödumise nõrkus
.
