A Microsoft anunciou que as chaves RSA menores que 2048 bits em breve serão descontinuadas no Windows Transport Layer Security (TLS) para proporcionar maior segurança.
Rivest-Shamir-Adleman (RSA) é um sistema de criptografia assimétrica que usa pares de chaves públicas e privadas para criptografar dados, sendo a força diretamente relacionada ao comprimento da chave.
Quanto maiores essas chaves, mais difíceis são de quebrar.
As chaves RSA de 1024 bits têm aproximadamente 80 bits de força, enquanto a chave de 2048 bits tem aproximadamente 112 bits, fazendo com que esta última demore quatro bilhões de vezes mais para ser fatorada.
Especialistas na área consideram chaves de 2048 bits seguras até pelo menos 2030.
As chaves RSA são usadas no Windows para vários fins, incluindo autenticação de servidores, criptografia de dados e garantia da integridade das comunicações.
A decisão da Microsoft de mover o requisito mínimo para chaves RSA para 2048 bits ou mais para certificados usados na autenticação de servidor TLS é importante para proteger as organizações contra criptografia fraca.
"O suporte para certificados que usam chaves RSA com comprimentos de chave menores que 2048 bits será descontinuado", lê-se na nova entrada na lista de descontinuações da Microsoft.
"Os órgãos de padrões de internet e reguladores proibiram o uso de chaves de 1024 bits em 2013, recomendando especificamente que as chaves RSA deveriam ter um comprimento de chave de 2048 bits ou mais."
"Essa descontinuação se concentra em garantir que todos os certificados RSA usados para autenticação de servidor TLS devem ter comprimentos de chave maiores ou iguais a 2048 bits para serem considerados válidos pelo Windows."
Infelizmente, essa mudança provavelmente afetará organizações que usam software mais antigo e dispositivos conectados à rede, como impressoras, que utilizam chaves RSA de 1024 bits, impedindo-os de se autenticar com servidores Windows.
Embora a Microsoft não tenha especificado exatamente quando a descontinuação começará, é provável que envolva um anúncio formal seguido por um período de carência, como vimos com a descontinuação das chaves menores que 1024 bits em 2012.
Durante esse período de carência, os administradores do Windows podem configurar o registro para determinar quais dispositivos estão tentando se conectar usando chaves mais antigas e serão impactados por essa mudança.
Para minimizar os problemas, a Microsoft decidiu limitar o escopo do impacto para não afetar os certificados TLS emitidos por autoridades de certificação corporativas ou de teste.
No entanto, a gigante da tecnologia recomenda fortemente que as organizações façam a transição das chaves RSA de 2048 bits ou mais assim que possível, como parte da prática de melhores práticas de segurança.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...