Microsoft 보안 권고 2949927
Windows 7 및 Windows Server 2008 R2용 SHA-2 해시 알고리즘의 가용성
게시 날짜: 2014년 10월 14일 | 업데이트: 2014년 10월 17일
버전: 2.0
일반 정보
요약
Microsoft는 SHA-2 서명 및 확인 기능에 대한 지원을 추가하기 위해 지원되는 모든 Windows 7 및 Windows Server 2008 R2 버전에 대한 업데이트의 가용성을 발표합니다. WINDOWS 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 및 Windows RT 8.1에서는 SHA-2 서명 및 확인 기능이 이미 이러한 운영 체제에 포함되어 있으므로 이 업데이트가 필요하지 않습니다. 이 업데이트는 Windows Server 2003, Windows Vista 또는 Windows Server 2008에서는 사용할 수 없습니다.
권장 사항. 자동 업데이트를 사용하도록 설정하고 Microsoft 업데이트의 업데이트를 위해 온라인으로 검사 구성한 고객은 일반적으로 이 보안 업데이트가 자동으로 다운로드되고 설치되기 때문에 어떠한 조치도 취할 필요가 없습니다. 자동 업데이트를 사용하도록 설정하지 않은 고객은 업데이트를 검사 이 업데이트를 수동으로 설치해야 합니다. 자동 업데이트 의 특정 구성 옵션에 대한 자세한 내용은 Microsoft 기술 자료 문서 294871 참조하세요.
관리자 및 엔터프라이즈 설치 또는 이 보안 업데이트를 수동으로 설치하려는 최종 사용자(자동 업데이트를 사용하도록 설정하지 않은 고객 포함)의 경우 고객이 업데이트 관리 소프트웨어를 사용하거나 Microsoft 업데이트 서비스를 사용하여 업데이트를 검사 최대한 빨리 업데이트를 적용하는 것이 좋습니다. 업데이트는 이 권고 사항의 영향을 받는 소프트웨어 테이블의 다운로드 링크를 통해서도 사용할 수 있습니다.
권고 세부 정보
문제 참조
이 문제에 대한 자세한 내용은 다음 참조를 참조하세요.
| 참조 | ID |
|---|---|
| Microsoft 기술 자료 문서 | 2949927 |
영향을 받는 소프트웨어
이 권고에서는 다음 소프트웨어에 대해 설명합니다.
영향을 받는 소프트웨어
| 운영 체제 |
|---|
| 32비트 시스템 서비스 팩 1\용 Windows 7(2949927) |
| x64 기반 시스템 서비스 팩 1\용 Windows 7(2949927) |
| x64 기반 시스템 서비스 팩 1\용 Windows Server 2008 R2(2949927) |
| Itanium 기반 시스템 서비스 팩 1\용 Windows Server 2008 R2(2949927) |
| Server Core 설치 옵션 |
| x64 기반 시스템 서비스 팩 1용 Windows Server 2008 R2(Server Core 설치)\ (2949927) |
권고 FAQ
권고의 범위는 무엇입니까?
이 권고의 목적은 지원되는 모든 Windows 7 및 Windows Server 2008 R2 버전에 SHA-2 해시 알고리즘에 대한 기능을 추가하는 업데이트를 고객에게 알리는 것입니다.
Microsoft에서 보안 업데이트를 실행해야 하는 보안 취약성인가요?
아니요. SHA-1에 대한 서명 메커니즘을 몇 시간 동안 사용할 수 있으며 서명 목적으로 SHA-1을 해시 알고리즘으로 사용하는 것은 권장되지 않으며 더 이상 모범 사례가 아닙니다. 대신 SHA-2 해시 알고리즘을 사용하는 것이 좋습니다. 고객이 디지털 인증서 키를 보다 안전한 SHA-2 해시 알고리즘으로 마이그레이션할 수 있도록 이 업데이트를 릴리스합니다.
SHA-1 해시 알고리즘의 문제의 원인은 무엇인가요?
문제의 근본 원인은 충돌 공격에 노출하는 SHA-1 해시 알고리즘의 알려진 약점입니다. 이러한 공격을 통해 공격자는 원본과 동일한 디지털 서명을 가진 추가 인증서를 생성할 수 있습니다. 이러한 문제는 잘 이해되며 이러한 공격에 대한 저항이 필요한 특정 목적을 위해 SHA-1 인증서를 사용하는 것은 권장되지 않습니다. Microsoft에서 보안 개발 수명 주기를 사용하려면 Microsoft가 더 이상 SHA-1 해시 알고리즘을 Microsoft 소프트웨어의 기본 기능으로 사용하지 않아도 됩니다. 자세한 내용은 Microsoft 보안 권고 2880823 및 Windows PKI 블로그 항목인 SHA1 사용 중단 정책을 참조하세요.
업데이트는 무엇을 수행하나요?
이 업데이트는 다음을 포함하는 영향을 받는 운영 체제에 SHA-2 해시 알고리즘 서명 및 확인 지원을 추가합니다.
- 캐비닛 파일에서 여러 서명 지원
- Windows PE 파일에 대한 여러 서명 지원
- 여러 디지털 서명을 볼 수 있도록 하는 UI 변경 내용
- 커널에서 서명을 확인하는 코드 무결성 구성 요소에 대한 RFC3161 타임스탬프를 확인하는 기능
- CertIsStrongHashToSign, CryptCAT관리AcquireContext2 및 CryptCAT관리CalcHashFromFileHandle2를 비롯한 다양한 API 지원
SHA-1(Secure Hash Algorithm)이란?
SHA(보안 해시 알고리즘)는 DSA(디지털 서명 알고리즘) 또는 DSS(디지털 서명 표준)와 함께 사용하도록 개발되었으며 160비트 해시 값을 생성합니다. SHA-1에는 충돌 공격에 노출되는 알려진 약점이 있습니다. 이러한 공격을 통해 공격자는 원본과 동일한 디지털 서명을 가진 추가 인증서를 생성할 수 있습니다. SHA-1에 대한 자세한 내용은 해시 및 서명 알고리즘을 참조 하세요.
RFC3161란?
RFC3161 TSA(타임스탬핑 기관)에 대한 요청 및 응답 형식을 설명하는 인터넷 X.509 공개 키 TSP(인프라 타임스탬프 프로토콜)를 정의합니다. TSA는 공개 키 인증서의 유효 기간 동안 디지털 서명이 생성되었음을 증명하는 데 사용할 수 있습니다. X.509 공개 키 인프라를 참조하세요.
디지털 인증서란?
공개 키 암호화에서는 프라이빗 키라고 하는 키 중 하나를 비밀로 유지해야 합니다. 공개 키라고 하는 다른 키는 전 세계와 공유될 예정입니다. 그러나 키 소유자가 키가 속한 사람에게 전 세계에 알릴 수 있는 방법이 있어야 합니다. 디지털 인증서는 이 작업을 수행하는 방법을 제공합니다. 디지털 인증서는 개인, 조직 및 컴퓨터의 온라인 ID를 인증하는 데 사용되는 전자 자격 증명입니다. 디지털 인증서에는 해당 인증서에 대한 정보(누가 소유하고 있는지, 사용할 수 있는 항목, 만료되는 경우 등)와 함께 패키지된 공개 키가 포함되어 있습니다. 자세한 내용은 공개 키 암호화 및 디지털 인증서 이해를 참조하세요.
디지털 인증서의 용도는 무엇인가요?
디지털 인증서는 주로 개인 또는 디바이스의 ID를 확인하거나 서비스를 인증하거나 파일을 암호화하는 데 사용됩니다. 일반적으로 인증서가 만료되었거나 유효하지 않음을 알리는 간헐적인 메시지 외에는 인증서에 대해 전혀 생각할 필요가 없습니다. 이러한 경우 메시지에 제공된 지침을 따라야 합니다.
제안된 작업
지원되는 Microsoft Windows 릴리스에 대한 업데이트 적용
대부분의 고객은 자동 업데이트를 사용하도록 설정했으며 업데이트가 자동으로 다운로드되고 설치되므로 아무 작업도 수행할 필요가 없습니다. 자동 업데이트를 사용하도록 설정하지 않은 고객은 업데이트를 검사 이 업데이트를 수동으로 설치해야 합니다. 자동 업데이트 의 특정 구성 옵션에 대한 자세한 내용은 Microsoft 기술 자료 문서 294871 참조하세요.
관리자 및 엔터프라이즈 설치 또는 이 보안 업데이트를 수동으로 설치하려는 최종 사용자(자동 업데이트를 사용하도록 설정하지 않은 고객 포함)의 경우 고객이 업데이트 관리 소프트웨어를 사용하거나 Microsoft 업데이트 서비스를 사용하여 업데이트를 검사 최대한 빨리 업데이트를 적용하는 것이 좋습니다. 업데이트는 이 권고 사항의 영향을 받는 소프트웨어 테이블의 다운로드 링크를 통해서도 사용할 수 있습니다.
추가 제안된 작업
PC 보호
고객이 방화벽을 사용하도록 설정하고 소프트웨어 업데이트를 받고 바이러스 백신 소프트웨어를 설치하는 컴퓨터 보호 지침을 따르도록 계속 권장합니다. 자세한 내용은 Microsoft 금고ty 및 Security Center를 참조하세요.
Microsoft 소프트웨어 업데이트 유지
Microsoft 소프트웨어를 실행하는 사용자는 최신 Microsoft 보안 업데이트를 적용하여 컴퓨터가 최대한 보호되도록 해야 합니다. 소프트웨어가 최신 상태인지 확실하지 않은 경우 Microsoft 업데이트를 방문하여 컴퓨터에서 사용 가능한 업데이트를 검색하고 사용자에게 제공되는 우선 순위가 높은 업데이트를 설치합니다. Microsoft 제품에 대한 업데이트를 제공하도록 자동 업데이트를 사용하도록 설정하고 구성한 경우 업데이트가 릴리스될 때 사용자에게 전달되지만 업데이트가 설치되어 있는지 확인해야 합니다.
기타 정보
MAPP(Microsoft Active Protections Program)
고객을 위한 보안 보호를 개선하기 위해 Microsoft는 매월 보안 업데이트 릴리스마다 주요 보안 소프트웨어 공급자에게 취약성 정보를 제공합니다. 보안 소프트웨어 공급자는 이 취약성 정보를 사용하여 바이러스 백신, 네트워크 기반 침입 탐지 시스템 또는 호스트 기반 침입 방지 시스템과 같은 보안 소프트웨어 또는 디바이스를 통해 고객에게 업데이트된 보호를 제공할 수 있습니다. 보안 소프트웨어 공급자로부터 활성 보호를 사용할 수 있는지 여부를 확인하려면 MAPP(Microsoft Active Protections Program) 파트너에 나열된 프로그램 파트너가 제공하는 활성 보호 웹 사이트를 방문하세요.
Feedback
- Microsoft 도움말 및 지원 양식인 고객 서비스 문의를 완료하여 피드백을 제공할 수 있습니다.
지원
- 미국 및 캐나다의 고객은 보안 지원에서 기술 지원을 받을 수 있습니다. 자세한 내용은 Microsoft 도움말 및 지원을 참조하세요.
- 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. 자세한 내용은 국제 지원을 참조하세요.
- Microsoft TechNet Security 는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.
부인
이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.
수정 내용
- V1.0(2014년 10월 14일): 공지 게시됨.
- V2.0(2014년 10월 17일): Microsoft 보안 업데이트 2949927 대한 다운로드 센터 링크가 제거되었습니다. 문제가 발생한 고객은 이 업데이트를 제거할 것을 권장합니다. Microsoft는 이 업데이트와 관련된 동작을 조사하고 있으며, 자세한 정보를 사용할 수 있게 되면 권고 사항을 업데이트합니다.
페이지 생성 2014-10-17 10:44Z-07:00.