Windows 7 bude od července pro instalaci aktualizací vyžadovat podporu SHA-2

Krátká technická poznámka ke službě Windows Update. Windows 7 je zatím podporovaný, a to až do ledna příštího roku. Abyste ale mohli až do konce doby podpory získávat aktualizace skrze službu Windows Update, bude si váš systém muset rozumět s kryptografickou hashovací funkcí SHA-2.

Ta bude exkluzívně používána pro ověření integrity stažených aktualizací, čímž se Microsoft pojišťuje, že bude nainstalována prokazatelně pravá aktualizace. Proces stažení by totiž navzdory bezpečnostním opatřením teoreticky mohl být narušen a aktualizačnímu mechanismu by mohla být podstrčena upravená aktualizace. Aktuálně Microsoft pro kontrolu kódů používá SHA-1 i SHA-2.

S ohledem na stáří prvního algoritmu, který již není považovaný za neprůstřelný, bude z kontroly vyřazen. Což pro vás nic neznamená, pokud používáte novější verze Windows, tam pouze dojde na pozadí ke změně podepisování aktualizací. Ani si toho nevšimnete. Windows 7 nicméně kromě toho bude vyžadovat dodatečné doplnění podpory ověřování aktualizací pomocí SHA-2.

Kdy Microsoft vyřadí SHA-1?

Časový plán pro postupný přechod je následující (z hlediska spotřebitelských produktů):

• 12. března vyjde podpůrný balíček pro SHA-2 jako bezpečnostní aktualizace pro Windows 7,
• 18. června budou aktualizace pro Windows 10 verze 1709 až 1809 přepnuty z duálního režimu pouze na SHA-2,
• 16. července bude vyžadováno, aby Windows 7 obsahoval podpůrnou aktualizaci pro SHA 2,
• 16. července budou aktualizace pro Windows 10 verze 1507 až 1703 přepnuty z duálního režimu pouze na SHA-2,
• 13. srpna bude obsah aktualizací pro Windows 7 podepsán pomocí SHA-2,
• 16. září 2019 budou signatury aktualizací pro Windows 7 podepsány nikoli duálně, ale již pouze pomocí SHA-2.

Pokud aktualizace získáváte automaticky přes Windows Update, neměla by z vaší strany být nikdy vyžadována žádná akce. Je ale dobré mít podobnou změnu na paměti v případě, že např. dojde k nějakým zmatkům.