Вопрос или проблема
Я ищу разъяснение от кого-либо, кто знаком с ADCS.
При просмотре сведений об объекте AD я пытаюсь понять, почему вижу 3DES в разделе политик приложений сертификата.
Конкретно это свойство: > `msPKI-Symmetric-Algorithm`PZPWSTR`3DES`
Шаги для воспроизведения:
- Windows 2022 Server, службы ADCS
- Шаблон, дублированный из шаблона веб-сервера по умолчанию
Извлечение объекта AD для проверки
ldifde -m -v -d “CN=customwebserver,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=AD,DC=ORGDOMAIN,DC=TLD” -f customwebserver.ldf
Вот объект, о котором сообщается
dn: CN=ORGWebServer,CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=AD,DC=ORG,DC=TLD
changetype: add
cn: ORGWebServer
displayName: ORG Web Server
distinguishedName:
CN=ORGWebServer,CN=Certificate Templates,CN=Public Key Services,CN=S
ervices,CN=Configuration,DC=AD,DC=ORG,DC=TLD
dSCorePropagationData: 20230506203143.0Z
dSCorePropagationData: 16010101000000.0Z
flags: 131649
instanceType: 4
msPKI-Cert-Template-OID:
1.3.6.1.4.1.311.21.8.8801485.870485.13651088.9531739.7367544.199.12269436.1006
0170
msPKI-Certificate-Application-Policy: 1.3.6.1.5.5.7.3.1
msPKI-Certificate-Name-Flag: 1
msPKI-Enrollment-Flag: 0
msPKI-Minimal-Key-Size: 2048
msPKI-Private-Key-Flag: 101056528
msPKI-RA-Application-Policies:
msPKI-Asymmetric-Algorithm`PZPWSTR`RSA`msPKI-Hash-Algorithm`PZPWSTR`SHA256`msP
KI-Key-Usage`DWORD`16777215`msPKI-Symmetric-Algorithm`PZPWSTR`3DES`msPKI-Symme
tric-Key-Length`DWORD`168`
msPKI-RA-Signature: 0
msPKI-Supersede-Templates: WebServer
msPKI-Template-Minor-Revision: 34
msPKI-Template-Schema-Version: 4
name: ORGWebServer
objectCategory:
CN=PKI-Certificate-Template,CN=Schema,CN=Configuration,DC=AD,DC=ORG,
DC=TLD
objectClass: top
objectClass: pKICertificateTemplate
pKICriticalExtensions: 2.5.29.15
pKIDefaultKeySpec: 1
pKIExpirationPeriod:: AEAepOhl+v8=
pKIExtendedKeyUsage: 1.3.6.1.5.5.7.3.1
pKIKeyUsage:: oAA=
pKIMaxIssuingDepth: 0
pKIOverlapPeriod:: AICmCv/e//8=
revision: 100
showInAdvancedViewOnly: TRUE
uSNChanged: 386490
uSNCreated: 14307
whenChanged: 20230506203143.0Z
whenCreated: 20220307012740.0Z
Мне кажется, что сессия использует 3DES вместо, например, AES256?
Политика приложений Клиентская аутентификация
ALG
Кто-нибудь когда-либо замечал или обращал внимание на это?
Я еще не нашел в Google информацию о том, используется ли ‘msPKI-Symmetric-Algorithm’ только для процесса обмена, архивации ключей между машиной, запрашивающей сертификат, и сервером сертификатов, или для защиты данных между двумя хостами, использующими этот сертификат.
Я хотел бы получить некоторую информацию, спасибо за ваше время.
Обновление
Возможно, я сам отвечаю на свой вопрос, но это лучший источник информации, который я могу найти:
msPKI-Symmetric-Algorithm: Если этот тип свойства присутствует,
клиент ДОЛЖЕН использовать алгоритм, указанный в этом свойстве, для шифрования
закрытого ключа, соответствующего открытому ключу в запросе, при
создании запроса на архивирование ключей, как это указано в
разделе Выглядит так, что это имеет значение только в том случае, если сертификат
будет архивировать ключ.
Тем не менее, является ли лучшей практикой отправка закрытого ключа в CA только в зашифрованном виде в 3DES?
Я думаю, что изменю значения на AES и 256, чтобы проверить, сломается ли что-то.
Все еще интересно, что это значение по умолчанию в разделе 1.3.2.1. В дополнение, клиент ДОЛЖЕН использовать этот алгоритм для шифрования элемента ADM Client_HardwareKeyInfo, как описано в разделе 3.1.1.4.3.4.1.1.<45> Если этот тип свойства отсутствует, клиенты МОГУТ выбирать значения по умолчанию, основанные на локальной политике.<46>
на основе документации протокола: https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwinprotocoldoc.blob.core.windows.net%2Fproductionwindowsarchives%2FMS-WCCE%2F%255BMS-WCCE%255D-210625.docx&wdOrigin=BROWSELINK
Это свойство используется только при включении архивирования ключей для шаблона сертификата и определяет симметричный ключ, используемый для шифрования и хранения закрытого ключа в CSR. Есть только два сценария, когда когда-либо используется архивирование ключей:
- Шаблон сертификата зашифрования электронной почты
- Шаблон сертификата EFS
Нет других практических причин использовать архивирование ключей. Поэтому в вашем конкретном случае вы можете безопасно игнорировать эти алгоритмы, поскольку они не используются.
Вы можете безопасно обновить 3DES до AES256 без проблем. 3DES по умолчанию используется для совместимости с ЦС на базе Windows Server 2003, которые не поддерживают AES. Учтите, что если вы измените 3DES на AES256, вам также нужно обновить атрибут msPKI-Symmetric-Key-Length на 256.
Ответ или решение
Active Directory Certificate Services (ADCS) является важным компонентом в инфраструктуре безопасности предприятий, который позволяет управлять цифровыми сертификатами. Рассмотрим ситуацию, касающуюся использования алгоритма 3DES в шаблоне сертификата ADCS, и обратимся к деталям данной конфигурации.
Теория
ADCS предоставляет возможность автоматизации выпуска и управления сертификатами, что особенно актуально для масштабных корпоративных сред. Одним из аспектов работы с ADCS является настройка шаблонов сертификатов, которые определяют параметры создаваемых сертификатов, включая такие аспекты, как алгоритмы шифрования, минимальный размер ключа и прочие технические детали, влияющие на безопасность.
Алгоритм 3DES (Triple Data Encryption Standard) является устаревшим симметричным алгоритмом шифрования, который когда-то был стандартом для защиты данных, но сейчас не соответствует современным стандартам безопасности из-за своей уязвимости к определённым типам атак и более низкой эффективности по сравнению с алгоритмами, такими как AES (Advanced Encryption Standard).
Пример
В описанной проблеме демонстрируется конфигурация, в которой шаблон сертификата использует алгоритм 3DES для шифрования, что видно из свойства msPKI-Symmetric-Algorithm в LDAP-объекте сертификата. Процедура извлечения и анализа этого объекта включала использование команды ldifde для получения информации о шаблоне сертификата.
msPKI-Symmetric-Algorithm`PZPWSTR`3DESЭто свойство вызывает вопросы относительно его целесообразности в современной среде, так как 3DES считается менее защищённым по сравнению с более современными алгоритмами, такими как AES256. Стоит отметить, что это свойство используется только в тех случаях, когда включена архивация ключей сертификата.
Особое внимание следует уделить контексту, в котором используется архивация ключей. Её применение оправдано только в случаях, связанных с шифрованием электронной почты (шаблон сертификата для шифрования email) или использование EFS (Encrypting File System) для защиты данных на уровне файловой системы. В других сценариях применение архивации ключей может быть излишним.
Применение
В корпоративной среде, где безопасность является критически важным фактором, стоит рассмотреть возможность обновления алгоритма шифрования с 3DES на AES256. Почему это важно?
-
Современные Стандарты Безопасности: AES256 является признанным стандартом для симметричного шифрования и предлагает более высокий уровень безопасности по сравнению с 3DES.
-
Совместимость и Будущая Доказанность: Хотя 3DES использовался для обеспечения совместимости с устаревшими системами, такими как Windows Server 2003, современные системы требуют использования более новых и безопасных технологий.
-
Производительность: AES256, как правило, быстрее и эффективнее 3DES, что также способствует улучшению общей производительности систем.
Стоит также помнить, что при изменении алгоритма на AES256 необходимо обновить атрибут msPKI-Symmetric-Key-Length до 256, чтобы соответствовать выбранному алгоритму шифрования.
В завершение, организациям, использующим ADCS, рекомендуется регулярно пересматривать и обновлять конфигурации в соответствии с текущими рекомендациями по безопасности. Это включает в себя замену устаревших алгоритмов на более безопасные, обеспечение регулярного аудита используемых шаблонов сертификатов и соответствие текущим стандартам безопасности.
Таким образом, переход от 3DES к AES256 является шагом к обеспечению большей безопасности данных и поддержанию корпоративной инфраструктуры в актуальном и защищенном состоянии.