Perché non si dovrebbe abilitare la crittografia "FIPS-compliant" su Windows

Windows ha un'impostazione nascosta che abiliterà solo la crittografia "conforme ai FIPS" certificata dal governo. Potrebbe sembrare un modo per aumentare la sicurezza del PC, ma non lo è.Non dovresti abilitare questa impostazione a meno che non lavori nel governo o devi testare come si comporterà il software sui PC governativi.

Questo tweak si adatta a fianco di altri inutili miti di Windows. Se ti sei imbattuto in questa impostazione in Windows o se ne hai accennato altrove, non abilitarlo. Se l'hai già abilitato senza una buona ragione, usa i passaggi sottostanti per disabilitare la "Modalità FIPS".

Cos'è la crittografia conforme a FIPS?

FIPS è l'acronimo di "Federal Information Processing Standards". È un insieme di standard governativi che definiscono il modo in cui determinati elementi vengono utilizzati nel governo, ad esempio gli algoritmi di crittografia. FIPS definisce determinati metodi di crittografia specifici che possono essere utilizzati, nonché metodi per generare chiavi di crittografia.È pubblicato dal National Institute of Standards and Technology, o NIST.

L'impostazione in Windows è conforme allo standard FIPS 140 del governo degli Stati Uniti. Quando è abilitato, obbliga Windows a utilizzare solo schemi di crittografia convalidati da FIPS e consiglia anche alle applicazioni di farlo.

"Modalità FIPS" non rende Windows più sicuro. Blocca semplicemente l'accesso ai nuovi schemi di crittografia che non sono stati convalidati da FIPS.Ciò significa che non sarà in grado di utilizzare nuovi schemi di crittografia o modi più veloci di utilizzare gli stessi schemi di crittografia. In altre parole, rende il computer più lento, meno funzionale e probabilmente meno sicuro con .

Funzionamento di Windows in modo diverso se si attiva questa impostazione

Microsoft spiega cosa fa questa impostazione in un post del blog intitolato "Perché non stiamo raccomandando" Modalità FIPS "Più". Microsoft consiglia di utilizzare la modalità FIPS solo se necessario. Ad esempio, se si utilizza un computer del governo degli Stati Uniti, si suppone che il computer abbia la "modalità FIPS" abilitata in base ai regolamenti del governo stesso. Non esiste un vero caso in cui si desideri abilitarlo sul proprio personal computer, a meno che non si stia verificando il comportamento del software nei computer dei governi degli Stati Uniti con questa impostazione abilitata.

Questa impostazione fa due cose per Windows stesso. Costringe i servizi Windows e Windows a utilizzare solo la crittografia convalidata da FIPS.Ad esempio, il servizio Schannel integrato in Windows non funzionerà con i precedenti protocolli SSL 2.0 e 3.0 e richiederà almeno TLS 1.0.

Il framework. NET di Microsoft bloccherà anche l'accesso ad algoritmi che non sono convalidati da FIPS.Il framework. NET offre diversi algoritmi per la maggior parte degli algoritmi di crittografia e non tutti sono stati inviati per la convalida. Ad esempio, Microsoft nota che ci sono tre diverse versioni dell'algoritmo di hash SHA256 nel framework. NET.Il più veloce non è stato presentato per la convalida, ma dovrebbe essere altrettanto sicuro. In questo modo, la modalità FIPS interromperà le applicazioni. NET che utilizzano l'algoritmo più efficiente o le imporrà per utilizzare l'algoritmo meno efficiente e più lento.

Oltre a questi due aspetti, la modalità FIPS consente alle applicazioni di utilizzare solo la crittografia convalidata da FIPS.Ma non costringe altro. Le tradizionali applicazioni desktop di Windows possono scegliere di implementare qualsiasi codice di crittografia che desiderano, anche crittografia orribilmente vulnerabile o nessuna crittografia. La modalità FIPS non fa nulla ad altre applicazioni a meno che non obbediscano a questa impostazione.

Come disabilitare la modalità FIPS( o abilitarlo, se necessario)

Non si dovrebbe abilitare questa impostazione a meno che non si stia utilizzando un computer governativo e si sia costretti a farlo. Se abiliti questa impostazione, alcune applicazioni consumer potrebbero chiederti di disabilitare la modalità FIPS in modo che possano funzionare correttamente.

Se è necessario abilitare o disabilitare la modalità FIPS, è possibile che dopo averlo abilitato sia stato visualizzato un messaggio di errore, è necessario testare il comportamento del software su un computer con la modalità FIPS abilitata, oppure si sta utilizzando un computer governativo edevi abilitarlo, puoi farlo in diversi modi. La modalità FIPS può essere abilitata solo se connessa a una rete specifica o tramite un'impostazione a livello di sistema che verrà sempre applicata.

Per abilitare la modalità FIPS solo quando si è collegati a una rete specifica, effettuare le seguenti operazioni:

1. Aprire la finestra del pannello di controllo.
2. Fare clic su "Visualizza stato e attività di rete" in Rete e Internet.
3. Fare clic su "Modifica impostazioni adattatore".
4. Fare clic con il pulsante destro del mouse sulla rete per cui si desidera abilitare FIPS e selezionare "Stato".
5. Fare clic sul pulsante "Proprietà wireless" nella finestra Stato Wi-Fi.
6. Fare clic sulla scheda "Sicurezza" nella finestra delle proprietà di rete.
7. Fare clic sul pulsante "Impostazioni avanzate".
8. Attiva o disattiva l'opzione "Abilita conformità FIPS( Federal Information Processing Standards) per questa rete" nelle impostazioni 802.11.

Questa impostazione può anche essere modificata a livello di sistema nell'editor dei criteri di gruppo. Questo strumento è disponibile solo nelle versioni Professional, Enterprise e Education di Windows, non nelle versioni Home.È possibile utilizzare l'editor di criteri di gruppo locale solo per modificare questo strumento se ci si trova su un computer non collegato a un dominio che gestisce le impostazioni dei criteri di gruppo del computer. Se il tuo computer è collegato a un dominio e le impostazioni dei criteri di gruppo sono gestite centralmente dalla tua organizzazione, non sarai in grado di modificarlo da solo. Per modificare questa impostazione in Criteri di gruppo:

1. Premere il tasto Windows + R per aprire la finestra di dialogo Esegui.
2. Digitare "gpedit.msc" nella finestra di dialogo Esegui( senza virgolette) e premere Invio.
3. Passare a "Configurazione computer \ Impostazioni di Windows \ Impostazioni di sicurezza \ Criteri locali \ Opzioni di sicurezza" nell'Editor criteri di gruppo.
4. Individuare l'impostazione "Crittografia di sistema: Utilizza algoritmi FIPS per crittografia, hashing e firma" nel riquadro destro e fare doppio clic su di esso.
5. Impostare l'impostazione su "Disabilitato" e fare clic su "OK".
6. Riavviare il computer.

Nelle versioni Home di Windows, è ancora possibile abilitare o disabilitare l'impostazione FIPS tramite un'impostazione di registro. Per verificare se FIPS è abilitato o disabilitato nel registro, attenersi alla seguente procedura:

1. Premere il tasto Windows + R per aprire la finestra di dialogo Esegui.
2. Digitare "regedit" nella finestra di dialogo Esegui( senza virgolette) e premere Invio.
3. Passare a "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Guarda il valore "Abilitato" nel riquadro di destra. Se è impostato su "0", la modalità FIPS è disabilitata. Se è impostato su "1", la modalità FIPS è abilitata. Per modificare l'impostazione, fare doppio clic sul valore "Abilitato" e impostarlo su "0" o "1".
5. Riavvia il computer.

Grazie a @SwiftOnSecurity su Twitter per aver ispirato questo post!