SSLの暗号強度 - 取締役平社員ブログ (ベータ版)

おおー、IE8 on Windows XP SP3 でチェックすると、たしかに RC4-128bits の MD5 (RC4_128_MD5) になりますねぇ、AES-128bits ではなく。

(図2)

SSL Check by IE8 on Windows XP SP3。
(画像サイズ 55KB)

うーん、意外。

さて、ワークアラウンドは、参考文献の non-export.reg ファイルにある通り、

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC2 56/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 64/128]
"Enabled"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
"Enabled"=dword:00000000

で、良いんでしょうかね。

何せ、文献↓が古いので・・・。(w AES に言及ないですし、IE5 ですもんねぇ。

Microsoft http://support.microsoft.com/kb/245030/en-US



> Article ID: 245030 - Last Review: March 1, 2007 - Revision: 3.5

> How to Restrict the Use of Certain Cryptographic Algorithms and Protocols in Schannel.dll 
(Snip)
> SCHANNEL\Ciphers Subkey

> 

> The Ciphers registry key under the SCHANNEL key is used to control 

> the use of symmetric algorithms such as DES or RC4. The following are 

> valid registry keys under the Ciphers key.

> 

> SCHANNEL\Ciphers\RC4 128/128 Subkey:

> 

> RC4 128/128 

> 

> This subkey refers to 128-bit RC4. 

> 

> To allow this cipher algorithm, change the DWORD value data of 

> the Enabled value to 0xffffffff, otherwise change the DWORD 

> value data to 0x0. If you do not configure the Enabled value, 

> the default is enabled. This registry key does not apply to 

> an exportable server that does not possess an SGC certificate. 

> 

> Disabling this algorithm effectively disallows: 

> SSL_RSA_WITH_RC4_128_MD5

> SSL_RSA_WITH_RC4_128_SHA

> TLS_RSA_WITH_RC4_128_MD5

> TLS_RSA_WITH_RC4_128_SHA
 (Snip)

※ 日本語は、自動翻訳で訳わかめ。肝心のフラグ( 0x00000000 または 0xffffffff )のどっちが無効にする値なのかか判別不明。(w

見えなくなる Web ページも出てくるでしょうけど、手元ではまあこんな感じ↓です。

(図3)

SSL Check by IE8 on Windows XP SP3 without RC4。
(画像サイズ 46KB)

暗号化は、DES-CBC3-SHA となります。

Windows の再起動は不要で、IE だけ再起動すればレジストリーの変更は反映されてます。この設定で、Windows Update は IE8、IE6 ともに問題無いようです。

※ https://direct.smbc.co.jp/aib/aibgsjsw5001.jsp あたりが見えなくなる Web サイトの代表です。

ちなみに、export.reg ファイルに従って、"Triple DES 168/168" も disabled にすると、こうなります。↓

(図4)

SSL Check by IE8 on Windows XP SP3 without RC4/3DES。
(画像サイズ 39KB)

Internet Watch の記事の通りです。どうしても Windows XP 上の IE では、AES にならない訳です。

さて、RC4_128_MD5 はダメだけど、RC4_128_SHA は使いたい場合、MD5 ハッシュだけ殺しておけば↓良いかと思います。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes\MD5]
"Enabled"=dword:00000000

参考文献によると、



> SCHANNEL\Hashes\MD5 Subkey:

> 

> MD5

> 

> To allow this hashing algorithm, change the DWORD value data of 

> the Enabled value to the default value 0xffffffff, otherwise 

> change the DWORD value data to 0x0.

> 

> Disabling this algorithm effectively disallows:

> 

>     * SSL_RSA_EXPORT_WITH_RC4_40_MD5

>     * SSL_RSA_WITH_RC4_128_MD5

>     * SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5

>     * TLS_RSA_EXPORT_WITH_RC4_40_MD5

>     * TLS_RSA_WITH_RC4_128_MD5

>     * TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5