Microsoft、Windows Server 2025/Windows 11 24H2のKerberosからDESを削除へ

同社のリリース

　米Microsoftは2月28日（現地時間）、「Windows Server 2025」および「Windows 11 バージョン 24H2」のKerberosからデータ暗号化標準（DES：Data Encryption Standard）を削除すると発表した。

　DES共通鍵暗号化アルゴリズムは、56ビットの鍵を使用してメッセージの暗号化と復号を行うブロック暗号アルゴリズムで、1977年に米国で初めての業務用標準暗号アルゴリズムとして制定された。RFC1510（1993年）でKerberosに追加され、「Windows 2000」のKerberos実装にも含まれていたが、2012年のRFC6649でKerberos標準から取り除かれている。もはや安全とは言えない暗号化アルゴリズムだ。

　「Windows 7」および「Windows Server 2008 R2」より、DESはすでに既定で無効化されている。現在はオプションのコンポーネントとして残されているが、初期設定ではインストールされない。

　「Windows Server 2025」および「Windows 11 バージョン 24H2」からの削除は、米国時間2025年9月9日以降にリリースされる「Windows Update」で実施される。それより前のバージョンのOSでは削除されないが、まだ利用している場合はAESをはじめとするより強力な暗号化アルゴリズムへ早急に移行し、FIPS（Federal Information Processing Standards）などの最新暗号化標準への準拠を進めるべきだろう。

　なお、同社によるとWindowsのKerberosではDESがネイティブに用いられたことはなく、もっぱらサードパーティーとの互換性維持のために残されていた。削除されても影響は少ないものとみられているが、古いバージョンの「Java」で用いられていた可能性があるとのことなので、古いシステムでは注意が必要だ。