De ce nu ar trebui să activați criptarea FIPS-compliant pe Windows
Windows are o setare ascunsă care va permite numai criptarea compatibilă cu standardul "FIPS" certificată de guvern. Poate suna ca o modalitate de a spori securitatea PC-ului, dar nu este. Nu trebuie să activați această setare decât dacă lucrați în guvern sau trebuie să testați modul în care software-ul se va comporta pe PC-urile guvernamentale.
Acest truc se potrivește chiar alături de alte mituri inutile de tweaking Windows. Dacă ați dat peste această setare în Windows sau ați văzut-o menționată în altă parte, nu o activați. Dacă ați activat-o deja fără motiv, utilizați pașii de mai jos pentru a dezactiva modul "FIPS".
Ce este criptarea conformă cu FIPS?
FIPS reprezintă "standardele federale de procesare a informațiilor". Este un set de standarde guvernamentale care definesc modul în care anumite lucruri sunt folosite în guvern - de exemplu, algoritmi de criptare. FIPS definește anumite metode de criptare specifice care pot fi utilizate, precum și metode de generare a cheilor de criptare. Este publicat de Institutul Național de Standarde și Tehnologie sau NIST.
Setarea în Windows respectă standardul FIPS 140 al guvernului SUA. Când este activat, Windows forțează să utilizeze numai scheme de criptare validate de FIPS și recomandă aplicațiilor să facă acest lucru, precum și.
Modul "FIPS" nu face ca Windows să fie mai sigur. Acesta blochează accesul la schemele de criptografie mai noi care nu au fost validate de FIPS. Asta inseamna ca nu va putea folosi noile scheme de criptare sau metode mai rapide de utilizare a acelorasi scheme de criptare. Cu alte cuvinte, face ca computerul să fie mai lent, mai puțin funcțional și fără îndoială Mai puțin sigur.
Modul în care Windows se comportă diferit dacă activați această setare
Microsoft explică ceea ce face de fapt această setare într-un post de blog intitulat "De ce nu recomandăm" modul FIPS "Anymore". Microsoft vă recomandă să utilizați modul FIPS dacă trebuie. De exemplu, dacă utilizați un computer guvernamental din SUA, calculatorul respectiv ar trebui să aibă "modul FIPS" activat în conformitate cu reglementările proprii ale guvernului. Nu există nici un caz real în care doriți să activați acest lucru pe propriul computer personal - cu excepția cazului în care ați testa modul în care software-ul dvs. se comportă pe computerele guvernamentale din SUA cu această setare activată.
Această setare are două lucruri în sine Windows. Se obligă serviciile Windows și Windows să utilizeze numai criptografia validată de FIPS. De exemplu, serviciul Schannel integrat în Windows nu va funcționa cu protocoalele mai vechi SSL 2.0 și 3.0 și va necesita cel puțin TLS 1.0.
Microsoft .NET Framework va bloca, de asemenea, accesul la algoritmi care nu sunt validate de FIPS. Cadrul .NET oferă mai mulți algoritmi diferiți pentru majoritatea algoritmilor de criptografie și nu toți au fost supuși chiar și pentru validare. De exemplu, Microsoft constată că există trei versiuni diferite ale algoritmului de hash SHA256 în cadrul .NET. Cea mai rapidă nu a fost depusă pentru validare, dar ar trebui să fie la fel de sigură. Deci, activarea modului FIPS va sparge fie aplicațiile .NET care utilizează algoritmul mai eficient, fie le obligă să folosească algoritmul mai puțin eficient și să fie mai lent.
În afară de cele două lucruri, permiterea modului FIPS recomandă aplicațiilor că utilizează și criptarea validată de FIPS. Dar nu forțează nimic altceva. Aplicațiile desktop Windows tradiționale pot alege să implementeze orice cod de criptare pe care îl doresc - chiar și criptare în mod oribil vulnerabil - sau nici o criptare deloc. Modul FIPS nu face nimic pentru alte aplicații, cu excepția cazului în care respectă această setare.
Cum să dezactivați modul FIPS (sau activați-l, dacă trebuie)
Nu trebuie să activați această setare decât dacă utilizați un computer guvernamental și sunteți forțat. Dacă activați această setare, unele aplicații ale consumatorilor vă pot cere să dezactivați modul FIPS pentru ca acestea să funcționeze corect.
Dacă trebuie să activați sau să dezactivați modul FIPS - poate că ați văzut un mesaj de eroare după ce l-ați activat, trebuie să testați modul în care software-ul dvs. se va comporta pe un computer cu modul FIPS activat sau dacă utilizați un computer guvernamental și aveți pentru a le permite - puteți face acest lucru în mai multe moduri. Modul FIPS poate fi activat numai atunci când este conectat la o anumită rețea sau printr-o setare la nivel de sistem care se va aplica întotdeauna.
Pentru a activa modul FIPS numai când este conectat la o rețea specifică, efectuați următorii pași:
- Deschideți fereastra Panoului de control.
- Faceți clic pe "Vizualizați starea și sarcinile rețelei" din Rețea și Internet.
- Faceți clic pe "Modificați setările adaptorului".
- Faceți clic dreapta pe rețeaua pe care doriți să activați FIPS pentru și selectați "Status".
- Faceți clic pe butonul "Proprietăți wireless" din fereastra Stare Wi-Fi.
- Faceți clic pe fila "Securitate" din fereastra de proprietăți a rețelei.
- Faceți clic pe butonul "Setări avansate".
- Activați opțiunea "Acceptați conformitatea standardelor federale de procesare a informațiilor (FIPS) pentru această rețea" în setările 802.11.
Această setare poate fi de asemenea modificată în întregul sistem în editorul de politici de grup. Acest instrument este disponibil numai în versiunile Professional, Enterprise și Education pentru versiunile Windows-non Home. Puteți utiliza editorul de politici locale de grup pentru a schimba acest instrument dacă vă aflați pe un computer care nu este alăturat unui domeniu care gestionează setările de politică de grup ale computerului pentru dvs. Dacă computerul dvs. este conectat la un domeniu și setările politicii de grup sunt gestionate centralizat de organizația dvs., nu veți putea să-l modificați singur. Pentru a schimba această setare în Politica de grup:
- Apăsați tasta Windows + R pentru a deschide caseta de dialog Executare.
- Introduceți "gpedit.msc" în caseta de dialog Run (fără citate) și apăsați Enter.
- Navigați la "Configurație computer \ Setări Windows \ Setări de securitate \ Politici locale \ Opțiuni de securitate" din Editorul politicilor de grup.
- Localizați "Criptografia de sistem: utilizați algoritmi compatibili cu FIPS pentru criptare, hash și semnare" din panoul din dreapta și faceți dublu clic pe acesta.
- Setați setarea la "Dezactivat" și faceți clic pe "OK".
- Reporniți computerul.
În versiunile de bază Windows, puteți activa sau dezactiva setarea FIPS printr-o setare de registry. Pentru a verifica dacă FIPS este activat sau dezactivat în registry, urmați pașii următori:
- Apăsați tasta Windows + R pentru a deschide caseta de dialog Executare.
- Introduceți "regedit" în caseta de dialog Run (fără citate) și apăsați Enter.
- Navigați la "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
- Uită-te la valoarea "Enabled" din panoul din dreapta. Dacă este setat la "0", modul FIPS este dezactivat. Dacă este setat la "1", modul FIPS este activat. Pentru a modifica setarea, faceți dublu clic pe valoarea "Enabled" și setați-o fie la "0", fie la "1".
- Reporniți computerul.
Vă mulțumim pentru @SwiftOnSecurity pe Twitter pentru a inspira acest post!