おおー、IE8 on Windows XP SP3 でチェックすると、たしかに RC4-128bits の MD5 (RC4_128_MD5) になりますねぇ、AES-128bits ではなく。
(図2)
SSL Check by IE8 on Windows XP SP3。
(画像サイズ 55KB)
うーん、意外。
さて、ワークアラウンドは、参考文献の non-export.reg ファイルにある通り、
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
"Enabled"=dword:00000000
で、良いんでしょうかね。
何せ、文献↓が古いので・・・。(w AES に言及ないですし、IE5 ですもんねぇ。
Microsoft http://support.microsoft.com/kb/245030/en-US
> Article ID: 245030 - Last Review: March 1, 2007 - Revision: 3.5
> How to Restrict the Use of Certain Cryptographic Algorithms and Protocols in Schannel.dll(Snip)
> SCHANNEL\Ciphers Subkey
>
> The Ciphers registry key under the SCHANNEL key is used to control
> the use of symmetric algorithms such as DES or RC4. The following are
> valid registry keys under the Ciphers key.
>
> SCHANNEL\Ciphers\RC4 128/128 Subkey:
>
> RC4 128/128
>
> This subkey refers to 128-bit RC4.
>
> To allow this cipher algorithm, change the DWORD value data of
> the Enabled value to 0xffffffff, otherwise change the DWORD
> value data to 0x0. If you do not configure the Enabled value,
> the default is enabled. This registry key does not apply to
> an exportable server that does not possess an SGC certificate.
>
> Disabling this algorithm effectively disallows:
> SSL_RSA_WITH_RC4_128_MD5
> SSL_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_RC4_128_SHA(Snip)
※ 日本語は、自動翻訳で訳わかめ。肝心のフラグ( 0x00000000 または 0xffffffff )のどっちが無効にする値なのかか判別不明。(w
見えなくなる Web ページも出てくるでしょうけど、手元ではまあこんな感じ↓です。
(図3)
SSL Check by IE8 on Windows XP SP3 without RC4。
(画像サイズ 46KB)
暗号化は、DES-CBC3-SHA となります。
Windows の再起動は不要で、IE だけ再起動すればレジストリーの変更は反映されてます。この設定で、Windows Update は IE8、IE6 ともに問題無いようです。
※ https://direct.smbc.co.jp/aib/aibgsjsw5001.jsp あたりが見えなくなる Web サイトの代表です。
ちなみに、export.reg ファイルに従って、"Triple DES 168/168" も disabled にすると、こうなります。↓
(図4)
SSL Check by IE8 on Windows XP SP3 without RC4/3DES。
(画像サイズ 39KB)
(w
Internet Watch の記事の通りです。 どうしても Windows XP 上の IE では、AES にならない訳です。
さて、RC4_128_MD5 はダメだけど、RC4_128_SHA は使いたい場合、MD5 ハッシュだけ殺しておけば↓良いかと思います。
Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
"Enabled"=dword:00000000
参考文献によると、
> SCHANNEL\Hashes\MD5 Subkey:
>
> MD5
>
> To allow this hashing algorithm, change the DWORD value data of
> the Enabled value to the default value 0xffffffff, otherwise
> change the DWORD value data to 0x0.
>
> Disabling this algorithm effectively disallows:
>
> * SSL_RSA_EXPORT_WITH_RC4_40_MD5
> * SSL_RSA_WITH_RC4_128_MD5
> * SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5
> * TLS_RSA_EXPORT_WITH_RC4_40_MD5
> * TLS_RSA_WITH_RC4_128_MD5
> * TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5
との事です。
テスト結果の図↓は、IE6 ですけど、IE8 でも同じです。
(図5)
SSL Check by IE8 on Windows XP SP3 with RC4 without MD5。
(画像サイズ 43KB)
※ 3DESと128ビットRC4ではどっちが強い? ってのはありますが。56x3=168bits 相当 vs 128bits ですね。
(関連)
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/event/iw2009/20091126_331592.html
> 【Internet Week 2009】 IE使うならVista以降が無難、SSLの暗号強度調査結果から
「高木浩光@自宅の日記」さん http://takagi-hiromitsu.jp/diary/20060206.html
> Mozillaで弱い暗号を使わない設定と銀行サイトで利用可能な暗号
http://d.hatena.ne.jp/TsuSUZUKI/20090712/1247386627
※ IE7 on Windows Vista SP1 (当時) では、AES-128bits。
※ 「SSL Encryption Check」@https://www.fortify.net/sslcheck.html の件。
(おまけ)
Firefox 3.5.5 on Windows XP SP3 の図です。
(図6)
SSL Check by FF3.5 on Windows XP SP3。
(画像サイズ 39KB)
AES-256bits になります。
いじょうです。
-
- -