Geen nieuwe Windows-updates voor wie SHA-2-update negeert

Microsoft rolt binnenkort een belangrijke SHA-2-update uit voor nieuwe en oude installaties van Windows. Die update is verplichte kost voor wie na de zomer nog beveiligings– en functionaliteitsupdates wil ontvangen.

De ondersteuning voor Windows 7 eindigt misschien wel volgend jaar, maar dat wil niet zeggen dat je zomaar kan rekenen op het laatste half jaar aan updates. In het kader van een eerder aangekondigde migratie rolt Microsoft binnenkort een update uit ter ondersteuning van nieuwe SHA-2-getekende updates.

SHA-2, kort voor Secure Hashing Algorithm 2, is de evolutie van SHA-1. Aan de hand van het algoritme kan software digitaal ondertekend worden met een handtekening die in principe niet te vervalsen is. Microsoft ondertekent zijn updates vandaag met zowel SHA-1 als SHA-2. Dat moet er voor zorgen dat een installatie van Windows kan nakijken of iedere update die binnenrolt wel degelijk van Microsoft afkomstig is, en niet werd aangepast door een kundige hacker.

Onveilig protocol

SHA-1 dateert intussen van 2002, en het protocol is verouderd. Het is gebaseerd op het idee dat de invoer (de code van de update) resulteert in een hash (de handtekening) maar dat het onmogelijk is om omgekeerd te werk te gaan en van die hash te berekenen welke invoer ervoor nodig is. Dat belet hackers ervan om een update te vervalsen op een manier die toch resulteert in eenzelfde hash.

Recent ontdekte kwetsbaarheden gekoppeld aan de exponentiële groei van processorkracht en de beschikbaarheid van krachtige rekeninfrastructuur via de cloud betekent dat SHA-1 in de praktijk wel te kraken is vandaag. Opvolger SHA-2 maakt gebruik van hetzelfde principe maar invoer en uitvoer is complexer, zodat de hashes wel helemaal veilig zijn.

Exclusief SHA-2

Microsoft wil af van SHA-1-ondertekende updates, en zal in het midden van dit jaar de overstap maken naar SHA-2 als exclusief ondertekenprotocol. Vandaag gebruiken onder andere Windows 7 SP1  en Windows Server 2008 R2 SP1 en SP2 nog uitsluitend SHA-1. Voor die systemen rolt Microsoft binnenkort een standalone SHA-2-update uit. Die is kritiek: zonder de installatie van de update wordt het enkele maanden later helemaal onmogelijk om nog officiële updates binnen te halen. Ook de Windows Server Update Services krijgen de update mee.

De uitrol van de update begint voor Windows 7 systemen op 12 maart. Andere besturingssystemen volgen later. Ook Windows 10 heeft een update nodig, al zal die binnenrollen als onderdeel van het gebruikelijke updateregime. 16 juli is D-Day: op die dag stopt Microsoft met SHA-1-ondertekening. De migratie is logisch gezien de veiligheidsproblemen die SHA-1 vandaag plagen, maar de timing is interessant. Aan het begin van 2020 stopt Microsoft sowieso met de ondersteuning van Windows 7 met updates, SHA-2 of niet. Gebruikers moeten hun systeem nu dus up tot date brengen om nog een half jaar van updates te kunnen genieten.

Gerelateerd: Einde Windows 7: wat je moet weten voor je upgradet naar Windows 10