Por que você não deve habilitar a criptografia "compatível com FIPS" no Windows

O Windows tem uma configuração oculta que habilitará apenas uma criptografia "compatível com FIPS" certificada pelo governo. Pode soar como uma forma de aumentar a segurança do seu PC, mas não é.Você não deve habilitar esta configuração a menos que você trabalhe no governo ou precise testar como o software se comportará nos PCs do governo.

Este ajuste adapta-se ao lado de outros mitos inúteis do tweaking do Windows. Se você tropeçou nesta configuração no Windows ou viu isso mencionado em outro lugar, não habilite-o. Se você já o habilitou sem uma boa razão, use as etapas abaixo para desativar o "modo FIPS".

O que é Criptografia compatível com FIPS?

FIPS significa "Padrões federais de processamento de informações". É um conjunto de padrões governamentais que definem como determinadas coisas são usadas no governo - por exemplo, algoritmos de criptografia. O FIPS define certos métodos de criptografia específicos que podem ser usados, bem como métodos para gerar chaves de criptografia.É publicado pelo Instituto Nacional de Padrões e Tecnologia, ou NIST.

A configuração no Windows está em conformidade com o padrão FIPS 140 do governo dos EUA.Quando está habilitado, força o Windows a usar apenas esquemas de criptografia validados pelo FIPS e também aconselha os aplicativos a fazê-lo.

"Modo FIPS" não torna o Windows mais seguro. Apenas bloqueia o acesso a esquemas de criptografia mais recentes que não foram validados pelo FIPS.Isso significa que não será possível usar novos esquemas de criptografia ou formas mais rápidas de usar os mesmos esquemas de criptografia. Em outras palavras, torna o seu computador mais lento, menos funcional e indiscutivelmente menos seguro.

Como o Windows se comporta de forma diferente se você habilitar esta configuração

A Microsoft explica o que essa configuração realmente faz em uma postagem do blog intitulada "Por que não estamos recomendando" o modo FIPS "Anymore". A Microsoft só recomenda que use o modo FIPS se for necessário. Por exemplo, se você estiver usando um computador do governo dos EUA, esse computador deve ter o "modo FIPS" habilitado de acordo com os próprios regulamentos do governo. Não há casos reais em que você quer habilitar isso em seu próprio computador pessoal - a menos que você esteja testando como seu software se comporta em computadores do governo dos EUA com essa configuração habilitada.

Esta configuração faz duas coisas para o próprio Windows. Isso força os serviços Windows e Windows a usar apenas criptografia validada com FIPS.Por exemplo, o serviço Schannel incorporado no Windows não funcionará com protocolos SSL 2.0 e 3.0 mais antigos e exigirá, pelo menos, TLS 1.0.

A estrutura. NET da Microsoft também bloqueará o acesso a algoritmos que não são validados pelo FIPS.O framework. NET oferece vários algoritmos diferentes para a maioria dos algoritmos de criptografia e nem todos foram submetidos para validação. Como exemplo, a Microsoft observa que existem três versões diferentes do algoritmo SHA256 hashing na estrutura. NET.O mais rápido não foi submetido para validação, mas deve ser tão seguro. Assim, habilitar o modo FIPS irá quebrar aplicativos. NET que usem o algoritmo mais eficiente ou forçá-los a usar o algoritmo menos eficiente e seja mais lento.

Além dessas duas coisas, habilitar o modo FIPS recomenda aos aplicativos que eles usam somente criptografia validada pelo FIPS.Mas não força mais nada. Os aplicativos de desktop tradicionais do Windows podem optar por implementar qualquer código de criptografia que eles desejam - mesmo criptografia horrivelmente vulnerável - ou nenhuma criptografia em tudo. O modo FIPS não faz nada para outras aplicações, a menos que eles obedecem a essa configuração.

Como desativar o modo FIPS( ou habilitá-lo, se você tiver)

Você não deve habilitar esta configuração a menos que você esteja usando um computador do governo e for forçado a fazê-lo. Se você habilitar esta configuração, alguns aplicativos de consumo podem realmente pedir que você desative o modo FIPS para que eles possam funcionar corretamente.

Se você precisa ativar ou desativar o modo FIPS - talvez você tenha visto uma mensagem de erro depois de habilitá-lo, você precisa testar como seu software se comportará em um computador com o modo FIPS habilitado ou você está usando um computador de governo etem que habilitá-lo - você pode fazê-lo de várias maneiras. O modo FIPS só pode ser ativado quando conectado a uma rede específica ou através de uma configuração de todo o sistema que sempre se aplica.

Para habilitar o modo FIPS somente quando conectado a uma rede específica, execute as seguintes etapas:

1. Abra a janela do Painel de controle.
2. Clique em "Exibir status da rede e tarefas" em Rede e Internet.
3. Clique em "Alterar as configurações do adaptador".
4. Clique com o botão direito do mouse na rede em que deseja habilitar o FIPS e selecione "Status".
5. Clique no botão "Propriedades sem fio" na janela Status Wi-Fi.
6. Clique na guia "Segurança" na janela de propriedades da rede.
7. Clique no botão "Configurações avançadas".
8. Alterna a opção "Habilitar a conformidade do FIPS( Federal Information Processing Standards) para esta rede" sob as configurações 802.11.

Esta configuração também pode ser alterada em todo o sistema no editor de políticas de grupo. Esta ferramenta só está disponível nas versões Professional, Enterprise e Educação das versões do Windows-not Home. Você só pode usar o editor de políticas de grupo local para mudar essa ferramenta se estiver em um computador que não esteja associado a um domínio que esteja gerenciando as configurações de sua política de grupo para você.Se o seu computador estiver associado a um domínio e as configurações de política de grupo forem geridas de forma central pela sua organização, você não poderá alterá-lo sozinho. Para alterar esta configuração na Diretiva de Grupo:

1. Pressione Windows Key + R para abrir a caixa de diálogo Executar.
2. Digite "gpedit.msc" na caixa de diálogo Executar( sem as aspas) e pressione Enter.
3. Navegue até "Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Políticas Locais \ Opções de Segurança" no Editor de Política de Grupo.
4. Localize a configuração "Sistema de criptografia: use algoritmos compatíveis com FIPS para criptografia, hashing e assinatura" no painel direito e clique duas vezes nele.
5. Defina a configuração como "Desativado" e clique em "OK".
6. Reinicie o computador.

Nas versões Home do Windows, você ainda pode ativar ou desativar a configuração FIPS por meio de uma configuração de registro. Para verificar se o FIPS está habilitado ou desativado no registro, siga as seguintes etapas:

1. Pressione Windows Key + R para abrir a caixa de diálogo Executar.
2. Digite "regedit" na caixa de diálogo Executar( sem as aspas) e pressione Enter.
3. Navegue até "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Veja o valor "Ativado" no painel direito. Se estiver configurado para "0", o modo FIPS está desabilitado. Se estiver configurado para "1", o modo FIPS está ativado. Para alterar a configuração, clique duas vezes no valor "Ativado" e configure-o para "0" ou "1".
5. Reinicie o computador.

Graças à @SwiftOnSecurity no Twitter para inspirar esta publicação!