Microsoft usuwa stare aktualizacje. Ale sam chyba nie wie, jak
Kilka dni temu, Microsoft ogłosił porzucenie "wsparcia" dla aktualizacji weryfikowanych kryptograficznie algorytmem SHA-1. Pliki aktualizacji produktów firmy są podpisane cyfrowo, a zawartość jest zindeksowana plikiem CAT, zawierającym odciski plików podpisane kluczem prywatnym z Redmond. Algorytm SHA-1 jest jednak, co wykazano już kilka lat temu, podatny na kolizję, a w konsekwencji sfałszowanie tożsamości. Microsoft "wycofuje" więc stare aktualizacje.
A przynajmniej tak mówi. Wpis blogowy z ogłoszeniem jest jednakże tzw. klasyką komunikacyjną z Redmond. Niewątpliwie przekazuje właściwe informacje, ale robi to w sposób tak niejednoznaczny, że dopóki zmiana nie wejdzie w życie, nie wiadomo w zasadzie, o co tak naprawdę chodzi. To częste zjawisko przy okazji czegokolwiek związanego z Windows Update. Od lat.
Stare szyfry nie rdzewieją
Główną informacją z ogłoszenia jest zamiar wycofania z Centrum Pobierania Microsoft wszystkich plików aktualizacji podpisanych za pomocą SHA-1. Podano także, w ramach przykładu, poprzedni krok na drodze do zabezpieczenia aktualizacji, jakim było wymuszenie SHA-2 w kliencie Aktualizacji Automatycznych. Miało to miejsce we wrześniu. Teoretycznie, systemy nieobsługujące SHA-2 miały nie otrzymywać już aktualizacji. Aby Windows Update mogło działać, należało spełnić wymaganie wstępne w postaci instalacji (ręcznej) paczki zapewniającej SHA-2 w SChannel.
Z tym, że w praktyce wcale tak nie było. Istotnie, aktualizacje automatyczne oraz aktywacja systemu Windows 7 przestały działać i zaczęły wymagać SHA-2, ale Vista, Windows Server 2008, Windows XP a nawet Windows 2000 (z czego wersja 2008 wciąż otrzymuje nowe łatki!) umiały połączyć się z Windows Update i pobrać aktualizacje. Ogłoszono, że "Windows Update wymaga SHA-2", ale towarzysząca ogłoszeniu notatka wspominała już tylko o Windows 7.
Pobieranie... ale skąd?
Tym razem Microsoft informuje, że usunie z Centrum Pobierania stare aktualizacje, ale to mała zmiana, bo "wersje Windows bez SHA-2 i tak nie otrzymywały już aktualizacji". Takie stwierdzenie niesie ze sobą ogrom niejasności. Po pierwsze, dosłowne "have not received" oznacza, że stare Windowsy we wrześniu nie dostawały łatek. To nieprawda (Windows 2008). Jeżeli chodziłoby o potoczne i źle ujęte "have not been receiving" (implikujące, że systemy bez SHA-2 nie mogłyby odebrać aktualizacji już istniejących) również byłoby to nieprawdą.
Zresztą, Centrum Pobierania i Katalog Windows Update to dwie różne strony. Wiele aktualizacji np. dla Windows XP zniknęło z Centrum Pobierania, acz pozostały dostępne w Katalogu. Choć coraz częściej znikają im wersje językowe inne, niż angielska. A w zasadzie nawet nie znikają: nie wyszukują się, ale klient Aktualizacji Automatycznych je pobierze(!).
Stąd też mówienie, że łatki znikną z Centrum Pobierania, bo Windows Update wymaga SHA-2 jest dziwne. Nie tylko jest to nieprawda, ale też jedno ma niewiele wspólnego z drugim. Co więcej, w przypadku Windows Update nic się nie zmieniło. Sprawdziliśmy. Klienty Windows Update dla Windows XP i Visty dalej działają i nic im nie dolega. Antyczne aktualizacje są także dostępne w Centrum Pobierania.
Co się stanie tak naprawdę?
Zwyczajowa godzina zmian, czyli 17:00 UTC, już minęła. Jakieś zmiany na pewno będą miały miejsce, ale ponownie będzie z nimi tak, jak w tym dowcipie o Wołgach rozdawanych na Placu Czerwonym. Być może aktualizacje znikną. Ale nie z Centrum Pobierania, a z Windows Update. I nie dzisiaj, a za rok. I nie wszystkie, tylko te z nieaktualnym podpisem. Kto wie.