Почему настройки S/MIME клиента Outlook используют SHA1 в качестве алгоритма хэширования по умолчанию для цифровой подписи сообщения?

tag-icon tag-icon microsoft-outlook encryption digital-signature smime sha1
Почему настройки S/MIME клиента Outlook используют SHA1 в качестве алгоритма хэширования по умолчанию для цифровой подписи сообщения?

может ли кто-нибудь сказать, почему настройки S/MIME клиента Outlook используют SHA1 в качестве алгоритма хэширования по умолчанию?

Скриншот

Не подвергает ли это риску закрытый ключ сертификата при использовании слабого алгоритма? Или я неправильно понимаю процесс подписания?

Спасибо, -Харри

решение1

Не подвергает ли это риску закрытый ключ сертификата при использовании слабого алгоритма?

Нет. Закрытый ключ не хэшируется и никогда не публикуется таким образом — вместо этогоданные сообщенияхэшируется, и этот хэш подписывается закрытым ключом.

Но даже если закрытый ключбылифактически хэширован и хэш опубликован, ключ все еще достаточно длинный, чтобы его было невозможно угадать по хешу SHA1.

Основная слабость SHA1 и MD5 заключается в создании идентичных хешей из разных данных, а не в восстановлении исходных данных из хеша (что, насколько я читал, до сих пор возможно только методом перебора).

Таким образом, риск здесь заключается в том, что кто-то может взять ваше подписанное сообщение, а затем создать свое собственное специально отформатированное сообщение с другим текстом, но при этом совпадающим со старой подписью (поскольку данные сообщения хэшируются с тем же значением).

почему настройки S/MIME клиента Outlook используют SHA1 в качестве алгоритма хэширования по умолчанию?

Я только предполагаю, но, скорее всего, это просто на тот случай, если ваши получатели все еще используют клиенты, которые не поддерживают проверку подписей на основе SHA256. Раньше по умолчанию использовалось шифрование 3DES по той же причине.

(Ключи PGP обычно указывают, какие алгоритмы поддерживаются программным обеспечением владельца ключа, но для S/MIME это встречается гораздо реже, поскольку сертификат S/MIME обычно выдается без указания того, с каким почтовым клиентом он будет использоваться.)

решение2

Вы можете установить алгоритм хеширования по умолчанию в Outlook в:
Файл > Параметры > Центр управления безопасностью > Настройки центра управления безопасностью > Безопасность электронной почты > Настройки > Алгоритм хэширования.

Если в списке доступных алгоритмов есть только SHA1, это означает, что сертификат поддерживает только SHA1. Уточните у своего провайдера, поддерживает ли выданный вам сертификат другие алгоритмы хэширования (SHA512, SHA384, SHA256).

решение3

Вы можете попробовать установить другие алгоритмы в качестве алгоритма хэширования по умолчанию с помощью групповой политики.

Ссылка для справки:https://getadmx.com/?Category=Symantec-PKI-Client&Policy=Com.Symantec.PKIClient.Policies.PolicySettings::Конфигурация профиля Outlook

Связанный контент