Esta semana, Microsoft actualizó sus funciones de seguimiento de páginas web eliminadas de los clientes de Windows y Windows Server. La compañía ha confirmado que Windows 1124H2 y Windows Server 2025 eliminarán el cifrado DES o Data Encryption Standard. El razonamiento del gigante tecnológico es que el algoritmo de cifrado DES es demasiado antiguo e inseguro, por lo que eliminarlo está justificado y forma parte de una estrategia más amplia para mejorar la seguridad de Windows.
Microsoft dijo:
El algoritmo de cifrado de bloques de claves simétrico DES se considera inseguro contra los ataques criptográficos modernos y ha sido reemplazado por algoritmos de cifrado más potentes. A partir de Windows 7 y Windows Server 2008R2, DES está deshabilitado de forma predeterminada. En Windows 11, 24H2 y posteriores, y Windows Server 2025 y posteriores, se eliminó DES.
DES es un cifrado simétrico que se desarrolló en la década de 1970. Utiliza una clave de 56 bits para cifrar y descifrar bloques de datos de 64 bits. Para 2030, el NIST (Instituto Nacional de Estándares y Tecnología) recomienda el uso de triple DES.
Microsoft también actualizó el Centro de mensajes de Windows para notificar a los administradores de TI y de sistemas que DES en Kerberos se eliminará en Windows 1124H2 y Windows Server 2025. Recomienda migrar a AES o Advanced Encryption Standard, que utiliza longitudes de clave más largas de 128, 192 o 256 bits. Dice:
Administradores de TI: prepárense para eliminar el estándar de cifrado de datos (DES) de Kerberos en Windows Server 2025 y Windows 11 versión 24H2. Si bien se trata de un componente opcional que no está instalado de forma predeterminada, el uso de DES debe detectarse y deshabilitarse antes de utilizar la actualización de seguridad de septiembre de 2025 para evitar posibles interrupciones. Considere el algoritmo del Estándar de cifrado avanzado (AES) como un método de cifrado más potente.
Microsoft ahora también permite el cifrado predeterminado para PC domésticas con Windows 11 24H2 que utilizan BitLocker basado en AES, ya que la compañía explicó recientemente cómo los requisitos del sistema como TPM juegan un papel clave en esto.
La compañía también anunció que la desactivación de DES en Kerberos se producirá en dos fases, a saber, el modo de compatibilidad y el modo de desactivación:
La transición para deshabilitar DES en Kerberos en dispositivos Windows se producirá en fases.
Modo de compatibilidad: DES en Kerberos está deshabilitado de forma predeterminada en Windows 7 y Windows Server 2008R2 y en todas las versiones de cliente y servidor de Windows publicadas posteriormente. Si es necesario utilizar DES con Kerberos, los administradores pueden configurar manualmente el cifrado DES en los sistemas operativos compatibles, excepto en los dispositivos Windows 1124H2 y Windows Server 2025 con actualizaciones publicadas a partir del 9 de septiembre de 2025.
DES en modo deshabilitado de Kerberos: una vez que se elimina DES en Kerberos, ya no será compatible como cifrado cifrado para ninguna característica de Kerberos en Windows Server 2025 y posteriores y Windows 1124H2 y posteriores. El escenario heredado que utiliza DES en ambas versiones del sistema operativo dejará de funcionar hasta que los administradores de TI realicen cambios en las configuraciones de seguridad de red y aplicaciones relacionadas con Kerberos para usar contraseñas más seguras.
Las versiones anteriores de Windows no eliminarán DES.
Puede encontrar detalles más relevantes en la publicación del blog de Microsoft TechCommunity:
https://techcommunity.microsoft.com/blog/WindowsServerNewsandBestPractices/removal-of-des-in-kerberos-for-windows-server-and-client/4386903