XP et SHA256 à 512

Le
sendo
Bonjour

Très important : Comment ajouter le support de la famille SHA2 d'algorithmes
de hachage (SHA256 à SHA512) à Windows XP SP2.

Par avance merci.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Claude BELLAMY
Le #1173853
"sendo" news:
Bonjour...

Très important : Comment ajouter le support de la famille SHA2
d'algorithmes
de hachage (SHA256 à SHA512) à Windows XP SP2.



Pour QUOI veux-tu disposer de SHA256 et suivants?

- En ce qui concerne le chiffrement de fichers (EFS) :
Seul l'algorithme de clef symétrique (3DES, DESX ou AES256) peut être
choisi.
C'est défini dans la BDR :
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionEFSAlgorithmID
Valeur :
0x6603 -> 3DES
(Windows XP et au delà)
0x6604 -> DESX
(Windows 2000 et au delà)
0x6610 -> AES256
(Windows XP SP1 et au delà)

Il faut par ailleurs avoir autorisé les algorithmes avancé par l'entrée BDR
:
HKLMSYSTEMCurrentControlSetControlLSAFipsAlgorithmPolicy
qui doit valoir 0x1

L'algorithme de hachage est toujours (pour l'instant) SHA1, et celui de clef
asymétrique RSA1024

- Pour le développement d'applis :
En programmation avec les API Win32, seul SHA1 est disponible jusqu'à XP.
En effet, on lit que CALG_SHA_256, CALG_SHA_384, CALG_SHA_512 : "Windows XP
and Windows 2000/NT: This algorithm is not supported"
http://msdn2.microsoft.com/en-us/library/aa375549.aspx

P.ex. la nouvelle fonction "BCryptCreateHash" (de la "Bcrypt.dll") qui
autorise le SHA256 n'est disponible que sous VISTA et Windows Server 2008.
http://msdn2.microsoft.com/en-us/library/aa375383.aspx


Par contre, en programmation .Net Framework, les Classes SHA256, SHA384 et
SHA512 existent nativement depuis au moins 6 ans (c'est déjà défini dans la
KB d'octobre 2001) et ceci sous toutes les versions de Windows (y compris
Millenium et NT4!)
P.ex.:
http://msdn2.microsoft.com/en-us/library/system.security.cryptography.sha256(vs.71).aspx


- Si c'est pour faire tourner certains logiciels qui font appel à SHA256 et
au delà, p.ex. "Ruby OpenSSL", j'ai trouvé ce fil sur un forum MSDN :
http://forums.microsoft.com/MSDN/ShowPost.aspx?PostID34555&SiteID=1


Je ne peux pas t'en dire davantage, ne sachant pas exactement ce que tu
cherches...

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

sendo
Le #1173733
Bonjour et merci pour ces explications: en fait je dois dans le cadre d'un
projet, installer des certificats numériques racine avec algorithme sha256,
mais je crois bien que c'est impossible sous XP. merci.


"sendo" news:
Bonjour...

Très important : Comment ajouter le support de la famille SHA2
d'algorithmes
de hachage (SHA256 à SHA512) à Windows XP SP2.



Pour QUOI veux-tu disposer de SHA256 et suivants?

- En ce qui concerne le chiffrement de fichers (EFS) :
Seul l'algorithme de clef symétrique (3DES, DESX ou AES256) peut être
choisi.
C'est défini dans la BDR :
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionEFSAlgorithmID
Valeur :
0x6603 -> 3DES
(Windows XP et au delà)
0x6604 -> DESX
(Windows 2000 et au delà)
0x6610 -> AES256
(Windows XP SP1 et au delà)

Il faut par ailleurs avoir autorisé les algorithmes avancé par l'entrée BDR
:
HKLMSYSTEMCurrentControlSetControlLSAFipsAlgorithmPolicy
qui doit valoir 0x1

L'algorithme de hachage est toujours (pour l'instant) SHA1, et celui de clef
asymétrique RSA1024

- Pour le développement d'applis :
En programmation avec les API Win32, seul SHA1 est disponible jusqu'à XP.
En effet, on lit que CALG_SHA_256, CALG_SHA_384, CALG_SHA_512 : "Windows XP
and Windows 2000/NT: This algorithm is not supported"
http://msdn2.microsoft.com/en-us/library/aa375549.aspx

P.ex. la nouvelle fonction "BCryptCreateHash" (de la "Bcrypt.dll") qui
autorise le SHA256 n'est disponible que sous VISTA et Windows Server 2008.
http://msdn2.microsoft.com/en-us/library/aa375383.aspx


Par contre, en programmation .Net Framework, les Classes SHA256, SHA384 et
SHA512 existent nativement depuis au moins 6 ans (c'est déjà défini dans la
KB d'octobre 2001) et ceci sous toutes les versions de Windows (y compris
Millenium et NT4!)
P.ex.:
http://msdn2.microsoft.com/en-us/library/system.security.cryptography.sha256(vs.71).aspx


- Si c'est pour faire tourner certains logiciels qui font appel à SHA256 et
au delà, p.ex. "Ruby OpenSSL", j'ai trouvé ce fil sur un forum MSDN :
http://forums.microsoft.com/MSDN/ShowPost.aspx?PostID34555&SiteID=1


Je ne peux pas t'en dire davantage, ne sachant pas exactement ce que tu
cherches...

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org





Jean-Claude BELLAMY
Le #1173730
"sendo" news:
Bonjour et merci pour ces explications: en fait je dois dans le cadre d'un
projet, installer des certificats numériques racine avec algorithme
sha256,
mais je crois bien que c'est impossible sous XP. merci.


Oui c'est impossible sauf si tu programmes en ".Net Framework"
(personnellement, j'ai horreur de cette usine à gaz!)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

sendo
Le #1173728
Oui, mais c'est bien dommage, parce que firefox2 et netscape9 même sous xp
acceptent les certificats numérique sha256 à sha512 et interdisent même les
listes de révocation sha1. XP est vraiment en retard, XP SP2+IE7 aurait dù
intégrer les dernières normes de sécurité à l'instar de ses concurents.
Microsoft... on se réveille SVP!

Merci Jean-Claude :)


"sendo" news:
Bonjour et merci pour ces explications: en fait je dois dans le cadre d'un
projet, installer des certificats numériques racine avec algorithme
sha256,
mais je crois bien que c'est impossible sous XP. merci.


Oui c'est impossible sauf si tu programmes en ".Net Framework"
(personnellement, j'ai horreur de cette usine à gaz!)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org





Jean-Claude BELLAMY
Le #1173604
"sendo" news:
Oui, mais c'est bien dommage, parce que firefox2 et netscape9 même sous xp
acceptent les certificats numérique sha256 à sha512 et interdisent même
les
listes de révocation sha1. XP est vraiment en retard, XP SP2+IE7 aurait dù
intégrer les dernières normes de sécurité à l'instar de ses concurents.
Microsoft... on se réveille SVP!


MS va te répondre qu'il est réveillé depuis le début de l'année avec VISTA,
et donc de migrer sous cet OS pour disposer de SHA256 !

C'est habituel chez MS : quand une version "n" de l'OS voit le jour, avec
des améliorations notables, JAMAIS la version "n-1" (et a fortiori les
précédentes) ne se voit dotée des dites améliorations (en un mot : MS se
tamponne du passé!)

P.ex. ni FAT32 ni USB, apparus avec W2K (je ne parle que de la famille NT)
n'ont été portées sous NT4.
(le peu qui existe dans ce domaine provient exclusivement de tiers,
extérieurs à MS)

Il faut déjà s'estimer heureux d'avoir pu disposer de IE7 sous XP !
(mais il ne peut pas s'installer sous W2K p.ex.)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

sendo
Le #1173484
Oui, je sais qu'ils s'en foutent, sinon ils auraient intégrer tout ce qu'il
faut dans le SP2 ou le SP3 qui ne se décide pas à arriver, mais c'est bien
dommage, car tout le monde ne peut pas migrer vers Vista...

Au fait, n'y aurait-il pas moyen de migrer manuellement les fonctions
cryptAPI de vista vers xp ou de les remplacer par des fonctions tierce
supportant la famille sha2 ? je sais je sais, je rêve :) je suis un grand
réveur!

merci.


"sendo" news:
Oui, mais c'est bien dommage, parce que firefox2 et netscape9 même sous xp
acceptent les certificats numérique sha256 à sha512 et interdisent même
les
listes de révocation sha1. XP est vraiment en retard, XP SP2+IE7 aurait dù
intégrer les dernières normes de sécurité à l'instar de ses concurents.
Microsoft... on se réveille SVP!


MS va te répondre qu'il est réveillé depuis le début de l'année avec VISTA,
et donc de migrer sous cet OS pour disposer de SHA256 !

C'est habituel chez MS : quand une version "n" de l'OS voit le jour, avec
des améliorations notables, JAMAIS la version "n-1" (et a fortiori les
précédentes) ne se voit dotée des dites améliorations (en un mot : MS se
tamponne du passé!)

P.ex. ni FAT32 ni USB, apparus avec W2K (je ne parle que de la famille NT)
n'ont été portées sous NT4.
(le peu qui existe dans ce domaine provient exclusivement de tiers,
extérieurs à MS)

Il faut déjà s'estimer heureux d'avoir pu disposer de IE7 sous XP !
(mais il ne peut pas s'installer sous W2K p.ex.)

--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org





Publicité
Poster une réponse
Anonyme