Режим шифрования 2 в AD RMS и управление правами на доступ к данным в Exchange 2010

Исходная статья опубликована во вторник 10 апреля 2012 г.

В Exchange 2010 возможность интеграции служб управления правами Active Directory (AD RMS), представленная в Exchange 2007, была встроена в систему компонентов по защите данных, известную под названием "управление правами на доступ к данным" (IRM). Для IRM требуется наличие локального развернутого сервера AD RMS. Дополнительные сведения, включая функции, предлагаемые различными компонентами IRM, и соответствующие требования, см. в статье Understanding Information Rights Management. Компоненты IRM также можно использовать в системе Exchange Online или в гибридном развертывании.

При установке служб AD RMS они находятся в режиме шифрования 1. Режим шифрования 1 поддерживает 1024-битные ключи шифрования для RSA и 160-битные ключи для алгоритма хэширования SHA-1. Дополнительные сведения о шифровании в службах AD RMS см. в статье RMS Encryption and Keys.

В конце прошлого года группа Windows Server выпустила важное обновление служб AD RMS, которое включало поддержку нового режима шифрования под названием Режим шифрования 2. Режим 2 поддерживает более надежное шифрование, позволяя использовать 2048-битные ключи для RSA и 256-битные ключи для SHA-1. Кроме того, Режим 2 позволяет использовать алгоритм хэширования SHA-2. Дополнительные сведения о режимах шифрования в службах AD RMS см. в статье Active Directory Rights Management Services Cryptographic Modes.

Режим шифрования 2 реализует криптографические требования федерального правительства США в соответствии с рекомендациями Национального института стандартов и технологий (NIST). Дополнительные сведения см. в публикации NIST SP 800-57. Многие другие государственные и частные организации во всем мире придерживаются рекомендаций NIST. В бета-версии Windows Server "8" Режим шифрования 2 является режимом шифрования по умолчанию для служб AD RMS.

Включение режима шифрования 2 на клиентах и серверах является необратимым обновлением. Не существует поддерживаемого метода вернуться к прежнему режиму шифрования после включения более нового.

В настоящее время компоненты Exchange 2010 IRM несовместимы с режимом шифрования 2. Переключение на этот режим может привести к потере функциональности IRM. Если IRM-компоненты в Exchange 2010 имеют критическое значение для вашей организации, рекомендуется не переключать свои кластеры служб AD RMS на режим шифрования 2.

Мы работаем над обновлением для Exchange 2010, которое позволит использовать режим шифрования 2 в службах AD RMS.

Бхарат Сунеджа (Bharat Suneja)

Чтобы получать последние новости об обновлениях программного обеспечения Exchange, подпишитесь на RSS-канал EHLO и следите за публикациями в Twitter.

Это локализованная запись блога. Исходная статья доступна по адресу: AD RMS Cryptographic Mode 2 and Exchange 2010 Information Rights Management