Вопрос или проблема
Мы обновили наше стороннее удостоверяющее центр (CA) и использовали RSASSA-PSS и SHA384 в качестве алгоритма подписи для наших новых сертификатов (Root-CA, Intermediate и EndEntity).
Теперь наша аутентификация с помощью смарт-карты больше не работает. При помощи “certutil -scinfo” смарт-карта работает полностью, но как только мы делаем вход в Windows, получаем ошибку (на немецком, переведено ниже): “Fehler beim Abrufen eines digitalen Zertifikats von der eingesteckten Smartcard. Falscher Parameter.”
перевод:
“Ошибка при получении цифрового сертификата из вставленной смарт-карты. Неверный параметр”
Поддерживает ли Windows вход с помощью смарт-карты “RSASSA-PSS” с “SHA384”?
Спасибо!
Томас
Редактирование: Операционная система — Windows 11.
Сертификат на карте был подписан с помощью RSASSA-PSS. Ключ — RSA 4096 бит.
Ответ или решение
Конечно, давайте разберемся в проблеме, связанной с использованием алгоритма RSASSA-PSS и SHA384 для аутентификации по смарт-карте в среде Windows.
Теория (Theory):
Начнем с того, что RSASSA-PSS (Probabilistic Signature Scheme) является рекомендуемым стандартом для цифровых подписей по спецификации PKCS #1 v2.1. Он считается более безопасным по сравнению с традиционным RSASSA-PKCS1-v1_5, особенно в контексте защиты от некоторых современных криптографических атак. Алгоритм PSS использует метод случайных данных для каждой подписи, что добавляет уровень безопасности.
SHA-384 является частью семейства алгоритмов SHA-2 и обеспечивает 384-битную длину хеширования, что гарантирует высокий уровень безопасности. В сочетании с PSS это позволяет создать надежные цифровые подписи.
Системы, поддерживающие аутентификацию по смарт-карте, такие как Windows, полагаются на определенные криптографические API, которые должны быть совместимы с конкретными алгоритмами. На данный момент поддержка Windows для тех или иных алгоритмов может варьироваться в зависимости от версии и настроек операционной системы, а также патчей безопасности и обновлений.
Пример (Example):
Ваша ситуация: вы обновили сертификаты от стороннего центра сертификации (CA) с использованием RSASSA-PSS и SHA-384 для корневого, промежуточного и конечного сертификатов. Теперь использование смарт-карты для входа в Windows не работает, и возникает ошибка: "Ошибка получения цифрового сертификата с вставленной смарт-карты. Неверный параметр."
Это может указывать на проблемы с совместимостью между используемыми криптографическими алгоритмами в сертификате и API Windows, задействованным в процессе логина по смарт-карте. Дело может быть как в неподдерживаемом алгоритме, так и в неправильной конфигурации системных компонентов или политик безопасности.
Применение (Application):
-
Проверка совместимости:
- Убедитесь, что версия Windows (в вашем случае Windows 11) поддерживает RSASSA-PSS и SHA-384 для использования в смарт-картах. Найдите в документации от Microsoft информацию о поддерживаемых криптографических алгоритмах.
- Убедитесь, что ваша текущая конфигурация обновлена всеми последними патчами безопасности и обновлениями системы, так как они могут добавлять поддержку новых алгоритмов.
-
Настройка политики безопасности:
- Откройте "Group Policy Editor" (
gpedit.msc) и перейдите к "Компьютерная конфигурация -> Административные шаблоны -> Система -> Логон по смарт-карте". - Проверьте, что политики, связанные с шифрованием и алгоритмами подписи, настроены правильно и соответствуют обновленным требованиям безопасности вашей организации.
- При необходимости скорректируйте политики, чтобы обеспечить поддержку необходимых алгоритмов.
- Откройте "Group Policy Editor" (
-
Проверка и обновление криптографических провайдеров:
- Некоторые криптографические провайдеры, используемые для работы со смарт-картами, могут не поддерживать определенные алгоритмы. Проверьте конфигурации по умолчанию и при необходимости замените или обновите криптопровайдеры.
- Используйте команду
certutil -csplistдля отображения списка доступных криптопровайдеров и убедитесь, что они поддерживают ваши алгоритмы.
-
Работа с CA и сертификатами:
- Проверьте, как ваша CA выдала сертификаты, и убедитесь, что они правильно распределяются и поддерживаются на всех уровнях (Root-CA, Intermediate, EndEntity).
- Возможно, потребуется связаться с вашим сторонним CA для получения дополнительной информации о поддержке на вашей платформе или для настройки конфигурации соответствующих сертификатов.
-
Диагностика и аудит:
- Используйте доступные средства диагностики, такие как Event Viewer, чтобы получить дополнительные сведения о возникшей проблеме. Логи могут содержать более детализированные сообщения об ошибках и подсказки к решению.
- Проведите расширенный аудит настроек безопасности и шифрования, чтобы выявить конфликты или несоответствия.
Ваша задача — обеспечить соответствие используемых алгоритмов политики и поддерживаемой инфрастуктуре. Важно вовремя выявлять и устранять конфликтные моменты для гарантированной работы критически важных для безопасности технологий, таких как аутентификация по смарт-карте.