Windows および WSUS の 2019 SHA-2 コード署名サポートの要件

適用対象: Windows 7 Service Pack 1Windows Server 2008 R2 Service Pack 1Windows Server 2008 Service Pack 2 詳細

概要


セキュリティを保護するために、Windows オペレーティング システムの更新プログラムは、SHA-1 と SHA-2 の両方のハッシュ アルゴリズムを使用してデュアル署名され、更新プログラムがマイクロソフトから直接来て配信中に改ざんされていないことを認証します。 SHA-1 アルゴリズムの弱点と業界標準への整合性のため、マイクロソフトは、より安全な SHA-2 アルゴリズムを使用した Windows の更新プログラムにのみ署名します。

従来の OS バージョン (Windows 7 SP1、Windows Server 2008 R2 SP1、および Windows Server 2008 SP2) を実行しているお客様は、2019 年 7 月までに SHA-2 コード署名サポートをデバイスにインストールする必要があります。 SHA-2 がサポートされていないデバイスには、2019 年 7 月以降の Windows の更新プログラムが提供されません。 この変更に備えて、2019 年に SHA-2 署名のサポートをリリースする予定です。 Windows Server Update Services (WSUS) 3.0 SP2 は、SHA-2 署名付き更新プログラムを正しく配信するために SHA-2 サポートを受けます。 移行タイムラインについては、製品の更新プログラムのセクションを参照してください。

背景の詳細


セキュア ハッシュ アルゴリズム 1 (SHA-1) は、不可逆的なハッシュ関数として開発され、コード署名の一部として広く使用されています。 残念ながら、SHA-1 ハッシュ アルゴリズムのセキュリティは、アルゴリズムに見られる弱点、プロセッサーのパフォーマンスの向上、およびクラウド コンピューティングの出現により、時間の経過とともに安全性が低下しています。 セキュア ハッシュ アルゴリズム 2 (SHA-2) などのより強力な代替手段は、同じ問題に悩まされないため、現在強く推奨されています。 SHA-1 の廃止に関する詳細については、ハッシュと署名のアルゴリズムを参照してください。

製品の更新プログラム


2019 年初頭から、SHA-2 サポートへの移行プロセスは段階的に行われ、サポートはスタンドアロンの更新プログラムで提供されます。 マイクロソフトは、SHA-2 サポートを提供するために、次のスケジュールを目標としています。 下記のタイムラインは変更されることがあることに注意してください。 このページは、プロセスの開始時と必要に応じて更新されます。

目標日

イベント

対象製品

2019 年 3 月 13 日

スタンドアロン セキュリティ更新プログラム KB4474419KB4490628 がリリースされ、SHA-2 コード署名のサポートが導入されました。

 

Windows 7 SP1、
Windows Server 2008 R2 SP1

2019 年 3 月 13 日

スタンドアロン更新プログラム、KB4484071 は、SHA-2 署名付き更新プログラムの配信をサポートする WSUS 3.0 SP2 用の Windows Update カタログで入手できます。 WSUS 3.0 SP2 を使用しているお客様は、この更新プログラムを 2019 年 6 月 18 日までに手動でインストールする必要があります。

WSUS 3.0 SP2

2019 年 4 月 10 日

SSU (サービススタック) 用の SHA-2 コード署名サポートを導入したスタンドアロン更新プログラム、KB4493730 がセキュリティ更新プログラムとしてリリースされました。

Windows Server 2008 SP2
2019 年 5 月 15 日 SHA-2 コード署名サポートを導入するためのスタンドアロンセキュリティ更新プログラム KB4474419 がリリースされました。 Windows Server 2008 SP2
2019 年 6 月 18 日 Windows 10 の更新プログラムの署名は、デュアル署名 (SHA-1/SHA-2) から SHA-2 のみに変更されました。 この他に必要な作業はありません。 Windows 10 1709、
Windows 10 1803、
Windows 10 1809、
Windows Server 2019
2019 年 6 月 18 日 必須: WSUS 3.0 SP2 を使用しているお客様は、SHA-2 更新プログラムをサポートするために、この日までに KB4484071 を手動でインストールする必要があります。 WSUS 3.0 SP2

2019 年 7 月 10 日

必須: 従来の Windows バージョンの更新では、SHA-2 コード署名サポートをインストールする必要があります。 これらのバージョンの Windows で引き続き更新プログラムを入手するには、4 月と 5 月にリリースされたサポート (KB4493730 および KB4474419) が必要になります。

Windows Server 2008 SP2
2019 年 7 月 16 日 Windows 10 の更新プログラムの署名は、デュアル署名 (SHA-1/SHA-2) から SHA-2 のみに変更されました。 この他に必要な作業はありません。 Windows 10 1507、
Windows 10 1607、
Windows 10 1703
2019 年 8 月 13 日 必須: 従来の Windows バージョンの更新では、SHA-2 コード署名サポートをインストールする必要があります。 これらのバージョンの Windows で引き続き更新プログラムを入手するには、3 月にリリースされたサポート (KB4474419 および KB4490628) が必要になります。 Windows 7 SP1、
Windows Server 2008 R2 SP1
2019 年 8 月 13 日 従来の Windows 更新プログラムの署名は、デュアル署名 (SHA-1/SHA-2) から SHA-2 のみに変更されました。 この他に必要な作業はありません。 Windows Server 2008 SP2
2019 年 9 月 16 日 従来の Windows 更新プログラムの署名は、デュアル署名 (SHA-1/SHA-2) から SHA-2 のみに変更されました。 この他に必要な作業はありません。 Windows 7 SP1、
Windows Server 2008 R2 SP1、
Windows Server 2012、
Windows 8.1、
Windows Server 2012 R2

よく寄せられる質問