Microsoft bejelentette, hogy az október 2025-ös Windows biztonsági frissítések egy ismert problémát okoznak az okoskártya-hitelesítés és a tanúsítványkezelés terén. Ez a hiba a Windows Kriptográfiai Szolgáltatások (Cryptographic Services) megerősítésére irányuló változtatásból ered, amelynek célja a rendszer biztonságának növelése.
A probléma érintett rendszerei és tünetei
Ez a hiba minden Windows 10, Windows 11 és Windows Server kiadást érint, beleértve a legfrissebb, széles körű telepítésre kijelölt verziókat is. Az érintett felhasználók különféle problémákat tapasztalhatnak:
- Dokumentumok aláírásának képtelensége.
- Tanúsítvány-alapú hitelesítést használó alkalmazások hibái.
- Okoskártyák nem ismerik fel a CSP (Cryptographic Service Provider) szolgáltatókat 32 bites alkalmazásokban.
- Hibajelzések megjelenése, például „invalid provider type specified” vagy „CryptAcquireCertificatePrivateKey error”.
A hiba oka: CSP helyett KSP használata RSA-alapú okoskártya-tanúsítványoknál
A Microsoft szerint a probléma egy új biztonsági fejlesztéshez kapcsolódik, amely az RSA-alapú okoskártya-tanúsítványok esetében a korábbi CSP (Cryptographic Service Provider) helyett KSP-t (Key Storage Provider) használ. Ez a változtatás célja a kriptográfia megerősítése és a támadási felületek csökkentése.
Hogyan lehet felismerni, hogy érintett-e az okoskártyánk? Amennyiben az eseménynaplókban (System event logs) az Okoskártya Szolgáltatás (Smart Card Service) alatt az Event ID 624 megjelenik még az októberi frissítés telepítése előtt, akkor nagy valószínűséggel érintett az adott eszköz.
A háttérben álló biztonsági javítás részletei
A probléma forrása, hogy az októberi frissítés automatikusan engedélyezi egy biztonsági javítás alapértelmezett működését. Ez a javítás egy ismert sebezhetőség (CVE-2024-30098) elleni védekezést szolgálja, amely lehetővé tette egy biztonsági funkció megkerülését a Windows Cryptographic Services-ben – ez egy beépített Windows-szolgáltatás, amely a biztonsággal és kriptográfiával kapcsolatos műveleteket kezeli.
A javítás úgy működik, hogy beállítja a DisableCapiOverrideForRSA nevű rendszerleíró kulcs értékét 1-re. Ez elkülöníti a kriptográfiai műveleteket az okoskártya-implementációtól, megakadályozva ezzel, hogy támadók SHA1 hash ütközést hozzanak létre és így megkerüljék a digitális aláírásokat sérülékeny rendszereken.
Hogyan lehet ideiglenesen megoldani a problémát?
Azoknak, akik hitelesítési problémákat tapasztalnak, manuálisan is orvosolhatják a helyzetet az alábbi lépések követésével:
- Nyissa meg a Rendszerleíróadatbázis-szerkesztőt: Nyomja meg a Win + R billentyűkombinációt, írja be:
regedit, majd nyomjon Entert. Ha megjelenik a Felhasználói fiókok felügyelete (UAC), kattintson az Igen gombra. - Navigáljon el az alábbi kulcshoz:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftCryptographyCalais - Szerkessze a kulcsot:
Ellenőrizze, hogy létezik-e aDisableCapiOverrideForRSAnevű bejegyzés.
Ha igen, dupla kattintással nyissa meg.
Az értékadat mezőbe írja be:0. - Zárja be a Rendszerleíróadatbázis-szerkesztőt.
- Indítsa újra számítógépét, hogy az új beállítás érvénybe lépjen.
Fontos! A rendszerleíró adatbázis szerkesztése előtt mindig készítsen biztonsági mentést! Hibás módosítások súlyos rendszerproblémákhoz vezethetnek.
A jövőbeni fejlesztések és ajánlások
Bár ez az átmeneti megoldás enyhíti a problémát, fontos tudni, hogy a Microsoft tervei szerint a DisableCapiOverrideForRSA rendszerleíró kulcsot 2026 áprilisában eltávolítják. Ezért minden érintett felhasználónak javasolt együttműködni alkalmazásszállítóival annak érdekében, hogy véglegesen orvosolják az alapvető kompatibilitási problémákat.
További Microsoft hibajavítások és frissítések
A Microsoft nemrégiben hasonló problémát oldott meg, amely okoskártya-hitelesítési hibákat okozott Windows 10 rendszereken távoli asztali kapcsolat során. Emellett csütörtökön kijavítottak egy másik ismert hibát is, amely IIS weboldalak és HTTP/2 localhost (127.0.0.1) kapcsolatok megszakadását eredményezte bizonyos Windows biztonsági frissítések telepítését követően.
Ezen túlmenően ugyanazon napon eltávolítottak két kompatibilitási korlátozást is, amelyek eddig akadályozták bizonyos felhasználók számára Windows 11 24H2 verzióra való frissítését Windows Update-en keresztül.
Záró gondolatok
A Windows biztonsági frissítések elengedhetetlenek rendszereink védelméhez, ugyanakkor előfordulhatnak olyan mellékhatások is, mint amilyeneket most tapasztalunk az okoskártya-hitelesítés terén. A Microsoft folyamatosan dolgozik ezek orvoslásán, de közben fontos, hogy felhasználóként tisztában legyünk ezekkel a problémákkal és szükség esetén alkalmazzuk az ideiglenes megoldásokat vagy konzultáljunk szakemberekkel.