원래 게시 날짜: 2025년 11월 21일
KB ID: 5073121
|
날짜 변경 |
설명 변경 |
|
2025년 12월 11일 |
|
소개
2025년 10월 14일, CVE-2024-30098을 해결하는 Windows 업데이트는 코드가 스마트 카드 인증서 저장소로 전파되는 인증서의 키를 관리하는 공급자를 올바르게 식별하지 못하는 애플리케이션의 문제를 공개했습니다. 이러한 오인으로 인해 특정 시나리오에서 암호화 작업이 실패할 수 있습니다. 이 문서에서는 애플리케이션 개발자에게 올바른 처리기를 검색하고 이러한 문제를 resolve 방법에 대한 지침을 제공합니다.
요약
인증서가 스마트 카드 Windows 인증서 저장소로 전파되는 경우 전파 프로세스는 다음 공급자 중 하나를 사용할 수 있습니다.
-
레거시 CAPI(암호화 애플리케이션 프로그래밍 인터페이스)를 사용하는 레거시 CSP(암호화 서비스 공급자)입니다.
-
암호화 API: CNG(차세대)를 사용하는 KSP(키 스토리지 공급자)입니다. Windows Vista에서 도입된 최신 대체 기능입니다.
CVE-2024-30098에 대한 수정 이전에 전파 알고리즘은 RSA 기반 인증서에 CSP를 사용하고 다른 모든 인증서에는 KSP를 사용했습니다. CAPI는 최신 암호화 알고리즘을 지원하지 않아 보안 기능이 제한되므로 이 방법은 안전하지 않았습니다.
2025년 10월 14일 보안 업데이트로 이 특수 처리가 제거되었으며 이제 KSP가 모든 인증서에 사용됩니다.
사용할 API 집합 확인
CSP에서 관리되는 RSA 키를 사용하는 애플리케이션은 KSP에서 키를 관리할 때 실패할 수 있습니다. 이를 resolve 위해 애플리케이션은 키를 관리하는 공급자를 검색하고 해당 API 집합(CAPI 또는 CNG)을 사용해야 합니다.
중요: API가 더 이상 사용되지 않으므로 CryptAcquireContextW 또는 CryptAcquireContextA 함수를 사용하지 마세요. 대신 CryptAcquireCertificatePrivateKey 함수를 사용합니다.
CryptAcquireCertificatePrivateKey 함수
CryptAcquireCertificatePrivateKey를 호출하면 HCRYPTPROV_OR_NCRYPT_KEY_HANDLE 형식의 핸들(phCryptProvOrNCryptKey)이 반환됩니다. 이 핸들은 다음과 같습니다.
-
CSP 핸들(HCRYPTPROV): CryptSignHash와 같은 CryptoAPI 함수를 사용합니다.
-
CNG 핸들(NCRYPT_KEY_HANDLE): NCryptSignHash와 같은 CNG 함수를 사용합니다.
참고: CryptAcquireCertificatePrivateKey를 호출할 때 dwFlags 매개 변수에 CRYPT_ACQUIRE_PREFER_NCRYPT_KEY_FLAG 포함해야 합니다.
핸들 형식을 확인하려면 pdwKeySpec 값을 검사.
|
pdwKeySpec 값 |
사용할 Crypto API |
|
AT_KEYEXCHANGE 또는 AT_SIGNATURE |
CAPI |
|
CERT_NCRYPT_KEY_SPEC |
CNG |
해결 방법
이 변경 적용의 영향을 받는 고객은 임시 작업을 수행할 수 있습니다. 동작을 적용 모드에서 감사 모드로 전환하는 데 임시 레지스트리 키를 사용할 수 있습니다.
중요: 이 레지스트리 키에 대한 지원은 2026년 4월 업데이트에서 제거됩니다.
|
레지스트리 경로 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Calais |
|
Type(종류) |
REG_DWORD |
|
값 이름 |
DisableCapiOverrideForRSA |
|
값 데이터 |
1 = 보안 수정 사용(적용 모드) 0 또는 키 제거 = 보안 수정을 사용하지 않도록 설정하고 감사 모드로 전환 |
참조 자료
CryptAcquireCertificatePrivateKey 함수(wincrypt.h)
CVE-2024-30098 | Windows Cryptographic Services 보안 기능 바이패스 취약성
.
