Miksi sinun ei pitäisi sallia "FIPS-yhteensopivaa salausta" Windowsissa

Windowsissa on piilotettu asetus, joka mahdollistaa vain valtuutetun FIPS-yhteensopivan salauksen. Se voi kuulostaa keinoksi parantaa tietokoneesi tietoturvaa, mutta se ei ole. Sinun ei pitäisi ottaa tätä asetusta käyttöön, ellei toimita hallituksessa tai sinun täytyy testata, miten ohjelmisto käyttäytyy hallituksen tietokoneissa.

Tämä tweak sopii aivan muiden hyödyttömien Windows-muunnelmien myötä.Jos olet kompastellut tämän asetuksen kautta Windowsissa tai näet sen mainiten muualla, älä ota sitä käyttöön. Jos olet jo ottanut sen käyttöön ilman hyvää syytä, käytä alla olevia ohjeita poistamalla "FIPS-tila" käytöstä.

Mikä on FIPS-yhteensopiva salaus?

FIPS tarkoittaa "liittovaltion tietojenkäsittelystandardeja". Se on joukko julkisia standardeja, jotka määrittelevät, miten tiettyjä asioita käytetään hallituksessa - esimerkiksi salausalgoritmeja. FIPS määrittelee tiettyjä spesifisiä salausmenetelmiä, joita voidaan käyttää, sekä menetelmiä salausavainten generoimiseksi. Se julkaisee National Institute of Standards and Technology, tai NIST.

Asetus Windowsissa noudattaa Yhdysvaltain hallituksen FIPS 140 -standardia. Kun se on käytössä, se pakottaa Windowsin käyttämään vain FIPS-validoituja salausjärjestelmiä ja neuvoo sovelluksia tekemään niin.

"FIPS-tila" ei tee Windowsista turvallisempaa. Se vain estää pääsyn uusille salausmenetelmille, joita ei ole FIPS-validoitu. Tämä tarkoittaa, että se ei pysty käyttämään uusia salausmenetelmiä tai nopeampia tapoja käyttää samoja salausmenetelmiä.Toisin sanoen se tekee tietokoneesta hitaamman, vähemmän toimivan ja epäilemättä vähemmän turvallinen.

Windowsin käyttäytyminen eri tavalla, jos otat tämän asetuksen käyttöön

Microsoft kertoo, mitä tämä asetus todellisuudessa tekee blogipostissa, jonka otsikkona on "Miksi emme suosittele" FIPS-tilaa "Anymore". Microsoft suosittelee vain FIPS-tilan käyttämistä, jos tarvitset. Jos esimerkiksi käytät Yhdysvaltain hallitustietokoneen, tietokoneen pitäisi olla "FIPS-tila" käytössä hallituksen omien sääntöjen mukaan. Ei ole todellista tapausta, jossa haluat ottaa tämän käyttöön omalla henkilökohtaisella tietokoneellasi - ellei testaa, miten ohjelmisto käyttäytyy Yhdysvaltain hallintotietokoneissa, kun tämä asetus on otettu käyttöön.

Tämä asetus tekee Windowsille kaksi asiaa. Se pakottaa Windows- ja Windows-palvelut käyttämään vain FIPS-validoitua salausta. Esimerkiksi Schannel-palvelu, joka on rakennettu Windowsiin, ei toimi vanhempien SSL 2.0- ja 3.0-protokollan kanssa, ja sen sijaan tarvitaan vähintään TLS 1.0.

Microsoftin. NET Framework estää myös pääsyn algoritmeihin, jotka eivät ole FIPS-validoituja..NET Framework tarjoaa useita erilaisia ​​algoritmeja useimmille salausalgoritmeille, eikä kaikkia niitä ole edes toimitettu validointiin. Esimerkiksi Microsoft huomauttaa, että SHA256-hajautusalgoritmia on kolme versiota. NET-kehyksissä.Nopeinta ei ole toimitettu validointiin, vaan sen pitäisi olla yhtä turvallinen. Joten FIPS-tila mahdollistaa joko. NET-sovellukset, jotka käyttävät tehokkaampaa algoritmia tai pakottavat heitä käyttämään vähemmän tehokasta algoritmia ja olla hitaampia.

Näiden kahden seikan lisäksi FIPS-tila suosittelee sovelluksia, jotka käyttävät vain FIPS-validoitua salausta. Mutta se ei pakota muutakaan. Perinteiset Windows-työpöytäsovellukset voivat toteuttaa haluamansa salauskoodin - jopa haitallisen salauksen - tai salakirjoituksen. FIPS-tila ei tee mitään muille sovelluksille, elleivät ne noudata tätä asetusta.

Näin poistat FIPS-tilan käytöstä( tai ota se käyttöön, jos tarvitset)

Tätä asetusta ei saa ottaa käyttöön, ellet käytä hallitusta tietokonetta ja pakotetaan. Jos otat tämän asetuksen käyttöön, jotkut kuluttajasovellukset voivat itse pyytää, että poistat FIPS-tilan käytöstä, jotta ne toimisivat oikein.

Jos haluat ottaa FIPS-tilan käyttöön tai poistaa sen käytöstä - ehkä olet nähnyt virheilmoituksen sen jälkeen, kun olet ottanut sen käyttöön, sinun on testattava, miten ohjelmisto käyttäytyy tietokoneessa, jossa FIPS-tila on käytössä tai käytät hallitustietokoneita jasen täytyy olla mahdollista - voit tehdä niin monella tavalla. FIPS-tila voidaan ottaa käyttöön vain, kun se on kytketty tiettyyn verkkoon tai koko järjestelmän laajuisella asetuksella, jota sovelletaan aina.

Jos haluat ottaa FIPS-tilan käyttöön vain, kun se on kytketty tiettyyn verkkoon, suorita seuraavat vaiheet:

1. Avaa Ohjauspaneelin ikkuna.
2. Napsauta kohtaa "Näytä verkon tila ja tehtävät" kohdassa Verkko ja Internet.
3. Napsauta "Muuta sovittimen asetuksia".
4. Napsauta hiiren kakkospainikkeella verkkoa, jonka haluat ottaa käyttöön, ja valitse "Tila".
5. Napsauta Wi-Fi Status -ikkunan Langattoman verkko-ominaisuuden -painiketta.
6. Napsauta Verkkoominaisuudet-ikkunan Suojaus-välilehteä.
7. Napsauta Lisäasetukset-painiketta.
8. Vaihda "Ota käyttöön liittovaltion tietojenkäsittelyn standardit( FIPS) -yhteensopivuus tähän verkkoon" -vaihtoehto 802.11-asetuksissa.

Tätä asetusta voidaan myös muuttaa koko järjestelmän kattavaksi ryhmäkäytäntöeditorissa. Tämä työkalu on käytettävissä vain Windowsin, ei kotiversioiden, Professional-, Enterprise- ja Education-versioissa. Voit vaihtaa tätä työkalua vain paikallisen ryhmäkäytännön muokkaajan avulla, jos tietokoneessa ei ole yhteyttä verkkotunnukseen, joka hallitsee tietokoneesi ryhmäkäytäntöasetuksia. Jos tietokoneesi liittyy verkkotunnukseen ja organisaatiosi hallinnoi ryhmäkäytäntöasetuksia keskitetysti, et voi itse muuttaa sitä.Voit muuttaa asetusta ryhmäkäytäntöihin seuraavasti:

1. Avaa Suorita-valintaikkuna painamalla Windowsin näppäintä + R.
2. Kirjoita "gpedit.msc" Suorita-valintaikkunaan( ilman lainausmerkkejä) ja paina Enter.
3. Siirry ryhmäkäytäntöeditoriin kohdasta Tietokoneen kokoonpano \ Windowsin asetukset \ Suojausasetukset \ Paikalliset käytännöt \ Suojausasetukset.
4. Etsi oikeanpuoleisen ruudun "Järjestelmän salaus: Käytä FIPS-yhteensopivat algoritmit salauksen, haamun ja allekirjoituksen" asetuksille ja kaksoisnapsauta sitä.
5. Aseta asetus "Disabled" ja napsauta "OK".
6. Käynnistä tietokone uudelleen.

Windowsin kotiversioissa voit edelleen ottaa käyttöön tai poistaa käytöstä FIPS-asetuksen rekisterin asetusten avulla. Voit tarkistaa, onko FIPS käytössä tai poissa käytöstä rekisteriin seuraavasti:

1. Avaa Suorita-valintaikkuna painamalla Windows-näppäin + R.
2. Kirjoita "regedit" Suorita-valintaikkunaan( ilman lainausmerkkejä) ja paina Enter.
3. Siirry kohtaan "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Katso oikeanpuoleisen ruudun "Käytössä" -asetus. Jos asetus on "0", FIPS-tila on poistettu käytöstä.Jos asetus on "1", FIPS-tila on käytössä.Jos haluat muuttaa asetusta, kaksoisnapsauta "Käytössä" -asetusta ja aseta se joko "0" tai "1".
5. Käynnistä tietokone uudelleen.

Kiitos @SwiftOnSecurity Twitterissä inspiroimalla tätä viestiä!