Microsoftは古代のDES暗号化を放棄し、WindowsユーザーにAESへの切り替えを求めている

マイクロソフトは次のように述べました。

対称キー ブロック暗号アルゴリズム DES は、最新の暗号化攻撃に対して安全ではないと考えられており、より強力な暗号化アルゴリズムに置き換えられました。 Windows 7 および Windows Server 2008R2 以降、DES はデフォルトで無効になっています。 Windows 11、24H2 以降、および Windows Server 2025 以降では、DES が削除されました。

DES は 1970 年代に開発された対称暗号です。 56 ビットのキーを使用して 64 ビットのデータ ブロックを暗号化および復号化します。 NIST (国立標準技術研究所) は、2030 年までにトリプル DES の使用を推奨しています。

また、Microsoft は Windows メッセージ センターを更新し、IT 管理者とシステム管理者に、Kerberos の DES が Windows 1124H2 および Windows Server 2025 で廃止されることを通知しました。 128、192、または 256 ビットのより長いキー長を使用する AES または Advanced Encryption Standard に移行することを推奨しています。こう書かれています。

IT 管理者: Windows Server 2025 および Windows 11 バージョン 24H2 の Kerberos からデータ暗号化標準 (DES) を削除する準備をします。これはデフォルトではインストールされないオプションのコンポーネントですが、潜在的な中断を避けるために、2025 年 9 月のセキュリティ更新プログラムを使用する前に DES の使用を検出して無効にする必要があります。より強力な暗号化方式として、Advanced Encryption Standard (AES) アルゴリズムを検討してください。

Microsoft はまた、AES ベースの BitLocker を使用した Windows 11 24H2 Home PC のデフォルト暗号化を許可しています。同社は最近、TPM などのシステム要件がこれにおいてどのように重要な役割を果たすかを説明しました。

同社はまた、Kerberos での DES の無効化は、互換モードと無効モードの 2 つのフェーズで行われることも紹介しました。

Windows デバイス上の Kerberos での DES の無効化への移行は段階的に行われます。

互換モード: Windows 7、Windows Server 2008R2、およびそれ以降にリリースされたすべての Windows クライアントおよびサーバーのバージョンでは、Kerberos の DES はデフォルトで無効になっています。 DES を Kerberos とともに使用する必要がある場合、管理者は、2025 年 9 月 9 日以降にリリースされた更新プログラムが適用された Windows 1124H2 および Windows Server 2025 デバイスを除く、サポートされているオペレーティング システムで DES 暗号を手動で構成できます。

Kerberos 無効モードの DES: Kerberos の DES が削除されると、Windows Server 2025 以降および Windows 1124H2 以降の Kerberos の機能の暗号化暗号としてサポートされなくなります。両方のオペレーティング システム バージョンで DES を使用する従来のシナリオは、IT 管理者がより安全なパスワードを使用するように Kerberos 関連のアプリケーションおよびネットワーク セキュリティ構成を変更するまで機能しなくなります。

以前のバージョンの Windows では DES は削除されません。

詳細については、Microsoft TechCommunity のブログ投稿を参照してください。

https://techcommunity.microsoft.com/blog/WindowsServerNewsandBestPractices/removal-of-des-in-kerberos-for-windows-server-and-client/4386903