Kāpēc jums nevajadzētu iespējot "FIPS-compliant" šifrēšanu operētājsistēmā Windows

Windows ir slēpts iestatījums, kas ļaus piekļūt tikai ar valsts sertificētu "FIPS-compliant" šifrēšanu. Tas var izklausīties kā veids, kā uzlabot datora drošību, taču tas tā nav.Šo iestatījumu nevajadzētu iespējot, ja vien jūs neesat strādājis valdībā vai jums ir jāpārbauda, ​​kā programmatūra darbosies valsts datoros.

Šis kniebiens piemērots kopā ar citiem bezjēdzīgi Windows mikroshēmu tweaking. Ja jūs esat pakļāvies šim iestatījumam sistēmā Windows vai redzējis citur minētos iestatījumus, to neļaujiet. Ja jūs to jau esat aktivizējis bez pamatota iemesla, izmantojiet tālāk norādītās darbības, lai atspējotu "FIPS režīmu".

Kas ir FIPS atbilstoša šifrēšana?

FIPS nozīmē "federālos informācijas apstrādes standartus". Tas ir valdības standartu kopums, kas definē, kā valdībā tiek izmantotas noteiktas lietas, piemēram, šifrēšanas algoritmi. FIPS definē dažas konkrētas šifrēšanas metodes, kuras var izmantot, kā arī šifrēšanas atslēgu ģenerēšanas metodes. To publicē Nacionālais standartu un tehnoloģiju institūts vai NIST.

Windows iestatījums atbilst ASV valdības FIPS 140 standartam. Ja tas ir aktivizēts, tas liek sistēmai Windows izmantot tikai FIPS apstiprinātas šifrēšanas shēmas, kā arī iesaka lietojumprogrammām to darīt.

"FIPS režīmā" sistēma Windows neaizsargā.Tas vienkārši bloķē piekļuvi jaunākajām kriptogrāfijas shēmām, kas nav FIPS apstiprinātas. Tas nozīmē, ka tā nevarēs izmantot jaunas šifrēšanas shēmas vai ātrāk izmantot tos pašus šifrēšanas shēmas. Citiem vārdiem sakot, tas padara jūsu datoru lēnāku, mazāk funkcionālu un, iespējams, ir mazāks drošs.

Kā sistēma Windows darbojas atšķirīgi, ja iespējojat šo iestatījumu

Microsoft paskaidro, ko šis iestatījums faktiski dara emuāra ziņā ar nosaukumu "Kāpēc mēs nevēlamies" FIPS režīmu "Anymore." Microsoft tikai iesaka lietot FIPS režīmu, ja jums tā ir. Piemēram, ja jūs izmantojat ASV valdības datoru, domājams, ka šim datoram ir iespējots FIPS režīms saskaņā ar valdības noteikumiem. Nav reāla gadījuma, kad vēlaties to iespējot savā personālajā datorā, ja vien neesat pārbaudījis, kā jūsu programmatūra darbojas uz ASV valdības datoriem, ja šis iestatījums ir iespējots.

Šis iestatījums dara divas lietas ar pašu Windows. Tas liek Windows un Windows pakalpojumiem izmantot tikai FIPS apstiprinātu kriptogrāfiju. Piemēram, Windows iebūvētais Schannel pakalpojums nedarbosies ar vecākiem SSL 2.0 un 3.0 protokoliem, un tā vietā būs nepieciešams vismaz TLS 1.0.

Microsoft. NET sistēma arī bloķē piekļuvi algoritmiem, kas nav FIPS apstiprināti..NET sistēma piedāvā vairākus dažādus algoritmus lielākajai daļai kriptogrāfijas algoritmu, un ne visi no tiem pat ir iesniegti validācijai. Piemēram, Microsoft norāda, ka. NET pamatprogrammā ir trīs dažādas SHA256 maiņas algoritma versijas.Ātrākais no tiem nav iesniegts apstiprināšanai, bet tam jābūt tikpat drošam. FIPS režīma aktivizēšana vai nu pārtrauks. NET lietojumprogrammas, kas izmanto efektīvāku algoritmu, vai piespiež tos izmantot mazāk efektīvu algoritmu, un būt lēnākiem.

Papildus šīm divām lietām, FIPS režīma ieslēgšana iesaka lietojumprogrammām, kurās tās izmanto tikai FIPS apstiprinātu šifrēšanu. Bet tas neuzliek neko citu. Tradicionālās Windows darbvirsmas lietojumprogrammas var izvēlēties ieviest jebkuru šifrēšanas kodu, ko tās vēlas - pat šausmīgi neaizsargāto šifrēšanu, vai arī nekādu šifrēšanu. FIPS režīms nedara neko citu lietojumprogrammām, ja vien tie nepakļaujas šim iestatījumam.

Kā atspējot FIPS režīmu( vai to iespējot, ja nepieciešams)

Jums nevajadzētu iespējot šo iestatījumu, ja vien jūs neizmantojat valdības datoru un neesat spiesti to darīt. Ja jūs iespējojat šo iestatījumu, daži patērētāju lietojumi faktiski var lūgt atslēgt FIPS režīmu, lai tie varētu pareizi darboties.

Ja jums ir jāaktivizē vai jāatspējo FIPS režīms - varbūt esat redzējis kļūdas ziņojumu pēc tam, kad to aktivizējāt, jums jāpārbauda, ​​kā programmatūra darbosies datorā ar FIPS režīmu, vai arī jūs izmantojat valdības datoru unto ir jāiespēj, to var izdarīt vairākos veidos. FIPS režīmu var aktivizēt tikai tad, ja tas ir savienots ar konkrētu tīklu vai arī visā sistēmas iestatījumos, kas vienmēr tiks piemēroti.

Lai iespējotu FIPS režīmu tikai tad, kad tas ir savienots ar konkrētu tīklu, veiciet šādas darbības:

1. Atveriet vadības paneļa logu.
2. Noklikšķiniet uz "Skatīt tīkla statusu un uzdevumus" sadaļā Tīkls un internets.
3. Noklikšķiniet uz "Mainīt adaptera iestatījumus".
4. Ar peles labo pogu noklikšķiniet uz tīkla, kurā vēlaties aktivizēt FIPS, un izvēlieties statusu.
5. Wi-Fi statusa logā noklikšķiniet uz pogas Wireless Properties( Bezvadu rekvizīti).
6. Noklikšķiniet uz cilnes "Drošība" tīkla īpašumu logā.
7. Noklikšķiniet uz pogas "Papildu iestatījumi".
8. Ieslēdziet opciju "Enable Federal Information Processing Standards( FIPS) atbilstību šim tīklam" saskaņā ar 802.11 iestatījumiem.

Šis iestatījums var tikt mainīts arī visas grupas politikas redaktorā.Šis rīks ir pieejams tikai Windows versijās, nevis Windows versijās. Lai mainītu šo rīku, varat izmantot vietējo grupu politikas redaktoru tikai tad, ja esat datorā, kas nav pievienots domēnam, kas pārvaldīs jūsu datora grupas politikas iestatījumus. Ja jūsu dators ir pievienots domēnam un jūsu grupas politikas iestatījumus centralizēti pārvalda jūsu organizācija, to nevarēs mainīt pats. Lai mainītu šo iestatījumu grupu politikā:

1. Nospiediet Windows taustiņu + R, lai atvērtu Run dialogi.
2. Ierakstiet "gpedit.msc" dialoglodziņā Palaidiet( bez pēdiņām) un nospiediet taustiņu Enter.
3. Pārvietojieties uz "Datora konfigurācija \ Windows iestatījumi \ Drošības iestatījumi \ Vietējās politikas \ Drošības opcijas" grupas politikas redaktorā.
4. Atrodiet labajā rūtī iestatījumu "Sistēmas kriptogrāfija: izmantojiet FIPS atbilstošos algoritmus šifrēšanai, maiņai un parakstīšanai" un veiciet dubultklikšķi uz tā.
5. Iestatiet iestatījumu uz "Disabled" un noklikšķiniet uz "OK".
6. Restartējiet datoru.

Windows sākuma versijās jūs joprojām varat iespējot vai atspējot FIPS iestatījumu, izmantojot reģistra iestatījumu. Lai pārbaudītu, vai FIPS ir iespējots vai atspējots reģistrā, rīkojieties šādi:

1. Nospiediet Windows taustiņu + R, lai atvērtu Run dialogi.
2. Ierakstiet "regedit" dialoglodziņā Palaidiet( bez pēdiņām) un nospiediet taustiņu Enter.
3. Pārvietojieties uz "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Aplūkojiet vērtību "Iespējots" labajā rūtī.Ja tas ir iestatīts uz "0", FIPS režīms ir atspējots. Ja tas ir iestatīts uz "1", ir iespējots FIPS režīms. Lai mainītu iestatījumu, veiciet dubultklikšķi uz vērtības "Enabled" un iestatiet to uz "0" vai "1".
5. Restartējiet datoru.

Pateicoties @SwiftOnSecurity Twitter, lai iedvesmotu šo amatu!