Windows 7-updates of nieuwe installaties vereisen eerst SHA-2-patch

Gebruikers die vanaf deze maand nog updates voor Windows 7 willen installeren of een schone installatie uitvoeren, moeten er eerst voor zorgen dat hun systeem overweg kan met SHA-2-certificaten. Microsoft heeft de ondersteuning voor SHA-1 stopgezet.

Zoals in februari aangekondigd, is Microsoft sinds vorige maand voor zijn Windows 7-, Server 2008- en Server 2008 R2-patches exclusief overgestapt op het SHA-2-encryptieprotocol. Tot nu toe bleef Microsoft zijn updates met zowel SHA-1 als SHA-2 ondertekenen. De updates van deze maand zijn de eerste die alleen nog SHA-2 ondersteunen.

Onveilig protocol

SHA-1 dateert intussen van 2002 en het protocol is verouderd. Het is gebaseerd op het idee dat de invoer (de code van de update) resulteert in een hash (de handtekening), maar dat het onmogelijk is om omgekeerd te werk te gaan en van die hash te berekenen welke invoer ervoor nodig is. Dat belet hackers ervan om een update te vervalsen op een manier die toch resulteert in eenzelfde hash.

Recent ontdekte kwetsbaarheden, gekoppeld aan de exponentiële groei van processorkracht en de beschikbaarheid van krachtige rekeninfrastructuur via de cloud, betekenen dat SHA-1 in de praktijk wel te kraken is vandaag. Opvolger SHA-2 maakt gebruik van hetzelfde principe maar invoer en uitvoer is complexer, zodat de hashes wel helemaal veilig zijn.

Bitlocker-patch

Microsoft zegt de SHA-1-ondertekende updates dus vaarwel en verwacht dat gebruikers hun Windows 7-systemen compatibel maken om, voor zolang de ondersteuning nog duurt, beveiligingsupdates te blijven ontvangen.

Wie de komende maanden zijn Windows 7-systemen nog wil kunnen blijven updaten, moet zich verzekeren dat de patches KB4474419 en KB4490268 geïnstalleerd zijn. Deze werden in maart van dit jaar beschikbaar gemaakt en introduceren de ondersteuning voor SHA-2.

Wie een schone installatie van Windows 7 vanaf een back-upimage wil uitvoeren, moet aanvullend bcdboot.exe uitvoeren en de update KB3133977 installeren, zo klinkt het in een geüpdatet ondersteuningsdocument. Dat is vreemd genoeg een Bitlocker-patch en Microsoft adviseert om deze te installeren, ongeacht of je Bitlocker gebruikt of niet.

Gerelateerd: Einde Windows 7: wat je moet weten voor je upgradet naar Windows 10