Microsoft 安全公告 3174644-Diffie-Hellman 密钥交换的更新支持

最新推荐文章于 2025-06-11 10:46:56 发布
转载 最新推荐文章于 2025-06-11 10:46:56 发布 · 1.1k 阅读 · 0
文章标签:

#Diffie-Hellman #WindowsServer2008R2

Microsoft提供更新支持,允许管理员配置TLS服务器的DHE密钥长度为2048、3072或4096位,以增强安全性。此更新适用于所有版本的Windows 10。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文网址:https://technet.microsoft.com/library/security/3174644

执行摘要

Microsoft 将提供更新的支持,使管理员能够为 TLS 服务器配置较长的 Diffie-Hellman ephemeral (DHE) 密钥共享。更新的支持允许管理员将 DH 模块的大小从当前默认的 1024 增加到 2048、3072 或 4096。

注意:所有版本的 Windows 10 均支持新的 DH 模块设置并使用 2048 作为 DH 模块的默认设置。

此公告的适用范围有多大? 
此公告的目的在于通知客户,Microsoft 将提供更新支持以使管理员能够为 TLS 服务器配置较长的 Diffie-Hellman ephemeral (DHE) 密钥共享。

DHE 密钥共享的更新支持提供了哪些内容? 
DHE 密钥交换实施中的模块大小当前为 1024 位。此更新支持使管理员能够将模块大小配置为 2048、3072 或 4096。

这是否是一个需要 Microsoft 发布安全更新程序的安全漏洞? 
否。但是,通过使管理员能够配置较长的 DHE 密钥共享,可增强他们所管理的 TLS 服务器的安全性。

为何 Microsoft 要使管理员能够为 TLS 服务器配置较长的 DHE 密钥共享? 
通过使管理员能够为 TLS 服务器配置较长的 DHE 密钥共享,有助于将对应于 2048、3072 和 4096 的组 14、15 和 16 (RFC3526) 实施为 TLS 服务器上的默认最低安全标准。

管理员可以通过添加注册表项值来更改模块的大小,步骤如下。如果注册表项值不存在,则模块默认值仍为 1024 位。以下示例将模块大小设置为 2048 位。有效的注册表项值是十进制的:1024、2048、3072 和 4096。

要更改模块的默认大小:

警告 如果你不正确地使用注册表编辑器,则可能导致严重问题(你或许需要重新安装操作系统)。Microsoft 不保证您可以解决因错误使用注册表编辑器而产生的问题。使用注册表编辑器的风险由您自己承担。

  1. 打开注册表编辑器。
  2. 访问以下注册表位置: 
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
  3. 将以下 DWORD 值更新为: 
    "ServerMinKeyBitLength"=dword:00000800

其他建议措施

  • 保护您的 PC

    我们仍鼓励客户按照“保护您的计算机”指导启用防火墙、获取软件更新并安装防病毒软件。有关详细信息,请访问 Microsoft 安全中心

  • 及时更新 Microsoft 软件

    运行 Microsoft 软件的用户应该应用最新的 Microsoft 安全更新程序,以帮助确保其计算机尽可能受到最好的保护。如果不确定软件是否为最新版本,请访问 Microsoft 更新,扫描你的计算机以获取可用的更新程序,并安装向你提供的任何高优先级更新程序。如果自动更新已启用并配置为向 Microsoft 产品提供更新,则更新将在发布后传输给你,但你应验证它们是否已安装。

Org.Mentalis.Security.dll,DiffieHellman.dll,tamir.sharpssh.dll合集
08-15
C#中使用SFTP所需的3个dll文件
WindowsServer2012R2 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱问题解决
vectorJ的博客
05-07 6306
详细描述 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。 当服务器SSL/TLS的瞬时Diffie-Hellman公共密钥小于等于1024位时,存在可以恢复纯文本信息的风险。 DHE man
安全漏洞】SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱漏洞
最新发布
06-11 692
【摘要】SSL/TLS服务器存在瞬时Diffie-Hellman公共密钥过弱漏洞(中风险),当密钥≤1024位时可能导致信息泄露。修复方案需禁用DH密码组:1) 修改SSL配置文件(Apache/Nginx);2) 删除含DH/EDH的密码组配置;3) 重启服务;4) 使用openssl命令验证是否禁用成功。该操作需专业人员执行,通过删除弱密钥配置来消除信息泄露风险。修复后需重启服务并验证配置生效。
Tomcat Diffie-Hellman密钥交换不足DH组强度漏洞修复
张林强的专栏
02-22 2422
Apache Tomcat In theserver.xmlfile (for JSSE) Cipher Suites <Connector ciphers="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_..
IIS7部署SSL提醒支持Diffie-Hellman(DH)密钥交换导致评级低的解决办法
我是来搞笑的小白
01-08 3767
早期的windows系统对于SSL支付方面不是很友好,没有提供ssl加密套件的直接管理,原因就是windows没有关闭这个加密套件,要修改注册表关闭这个加密套件。 具体解决办法可以参考:https://blog.mydns.vip/1015.html ...
如何处理服务器SSL收到了一个弱临时Diffie-Hellman 密钥?
weixin_30955341的博客
04-14 100
当我们用火狐浏览器打开某个HTTPS网站时可能会失败,并且出现如下错误提示:安全连接失败连接某个URL网址时发生错误。 在服务器密钥交换握手信息中 SSL 收到了一个弱临时 Diffie-Hellman 密钥。错误码: ssl_error_weak_server_ephemeral_dh_key) 如果换用谷歌Chrome打开这个相同的网页也会发生错误...
diffie-hellman密钥交换协议vc++实现
07-16
Diffie-Hellman密钥交换协议是一种用于网络通信中安全密钥交换的协议,由Whitfield Diffie和Martin Hellman在1976年提出。这个协议的主要优点是它允许两个通信方在不安全的信道上协商一个共享的秘密,而无需预先共享...
密码学——Diffie-Hellman密钥交换协议
12-06
Diffie-Hellman密钥交换协议是密码学领域中一种重要的密钥协商协议,由Whitfield Diffie和Martin Hellman在1976年提出。它允许两个通信方在不安全的信道上协商一个共享的秘密密钥,而无需事先分享任何秘密信息。这个...
探索Diffie-Hellman密钥交换协议的实现方法
Diffie-Hellman密钥交换协议,由Whitfield Diffie和Martin Hellman于1976年提出,是首个公开发布的非对称密钥交换协议,它允许两个通信方在不安全的渠道上协商出一个共享的秘密密钥,该密钥随后可用于对信息进行对称...
C++实现Diffie-Hellman密钥交换
Diffie-Hellman密钥交换程序是一种使用C++编写的程序,该程序基于Diffie-Hellman密钥交换协议实现两个网络实体之间安全地共享密钥。Diffie-Hellman密钥交换是由Whitfield Diffie和Martin Hellman在1976年提出的,它...
深度解析Diffie-Hellman密钥交换机制及应用
迪菲-赫尔曼密钥交换DiffieHellman key exchange,简称“D–H”)是一种在信息安全领域广泛应用的密钥交换协议。该协议由Whitfield Diffie和Martin Hellman在1976年提出,用于安全地在两方之间共享一个密钥,而...
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱漏洞验证
qq_38324646的博客
03-21 1万+
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱漏洞验证 **漏洞描述**:当服务器SSL/TLS的瞬时Diffie-Hellman公共密钥小于等于1024位时,存在可以恢复纯文本信息的风险。 **修复建议**:1.生成大于1024bit(例如2048bit)的dhkey 2.Apache2.4.8及以后版本 使用如下配置命令配置(h...
SSL证书加密套件常见弱密钥以及修复建议
SSL加密技术
11-02 6458
服务器使用了anonymous套件 匿名加密套件检测(CVE-2007-1858),支持对SSL3.0、TLS1.0、TLS1.1、TLS1.2多种协议,19个ANON类加密套件,包含DES、AES、CAMELLIA和ARIA等算法。 TLS_DH_ANON_WITH_AES_256_GCM_SHA384 TLS_DH_ANON_WITH_AES_128_GCM_SHA256 TLS_DH_ANON_WITH_AES_256_CBC_SHA256 TLS_DH_ANON_WITH_AES_256_
SSLTLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】解决说明
qq_43893881的博客
04-10 3770
第一步:按下' Win + R',进入"运行",键入" gpedit.msc",打开"本地组策略编辑器"。第三步:在"SSL密码套件顺序"选项上,右键"编辑"->在"SSL密码套件顺序"选在"已启用(E)"。第二步:打开计算机配置->管理模板->网络->SSL配置设置。备注:通过修改本地策略组的SSL密码套件,实现长度限定。点击"应用"、"确定",并重启系统实现修复。第五步:最后重启服务器。
服务器显示公共密钥,服务器的瞬时 Diffie-Hellman 公共密钥过弱
weixin_39939303的博客
08-11 1384
问题当我们用Chrome浏览器访问网站,出现“服务器的瞬时 Diffie-Hellman 公共密钥过弱”,如下图时:请首先检查使用的JDK版本,是否已经是最新的8.0以上了,如果是JDK1.6 1.7就有可能出现该问题,JDK1.7以下只支持DH784位加密。解决办法1、升级到最新的JDK版本(8.0以上),就可以立刻解决该问题。2、如果没有办法升级JDK,可以采用调整服务器加密套件的配置来解决。...
物联网安全系列 - 非对称加密算法 ECDH
物联网布道师
07-13 1万+
   之前的章节讲到了对称加密算法AES,发送方和接收方需要使用相同的密钥进行通讯,但是发送方怎么将密钥安全的发送给接收方?这是一个问题。   对称加密算法中,为了将密钥安全的发送给对端,通常有以下四种方法:事先共享密钥    事先双方约定好密钥的数值,或者使用其他安全的手段例如派特工押送等,将密钥安全的送到对端,这种方式虽然简单,但是局限性很大,另外通讯量增大以后,密钥个数也会相应增加,这在高数量级的设备通讯上并不现实。密钥分配中心    为了解决事先共享密钥的密钥增多的问题,也可以使用密钥分配中心来解决
服务器的瞬时 Diffie-Hellman 公共密钥过
05-18 1076
解决谷歌访问浏览器出现: 服务器的瞬时 Diffie-Hellman 公共密钥过 谷歌-右键属性-快捷方式-目标中添加如下  --cipher-suite-blacklist=0x0039,0x0033 例如如下: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --cipher-suite-blac
Diffe_Hellman(迪菲-赫尔曼)算法
热门推荐
renzhongrui的博客
04-06 1万+
Diffe_Hellman(迪菲-赫尔曼)算法也叫DH算法是Whitefield Diffie和Martin Hellman在1976年公布的一种密钥交换算法或者说是一种密钥交换协议,它是一种建立密钥的方法,而不是加密方法,所以密钥必须和其他一种加密算法结合使用。这种密钥交换技术的目的在于使双方在不泄露密钥的情况下协商出一个密钥来方便之后的数据加解密。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值