Varför bör du inte aktivera "FIPS-kompatibel" kryptering på Windows

Windows har en dold inställning som möjliggör endast statlig certifierad "FIPS-kompatibel" kryptering. Det kan låta som ett sätt att öka din dators säkerhet, men det är det inte. Du bör inte aktivera den här inställningen om du inte arbetar i regeringen eller behöver testa hur mjukvaran kommer att fungera på statliga datorer.

Denna tweak passar rätt tillsammans med andra värdelösa Windows tweaking myter. Om du har snubblat över den här inställningen i Windows eller sett den som nämns någon annanstans, aktivera inte den. Om du redan har aktiverat det utan bra skäl, använd stegen nedan för att inaktivera "FIPS-läge".

Vad är FIPS-kompatibel kryptering?

FIPS står för "Federal Information Processing Standards." Det är en uppsättning regeringens standarder som definierar hur vissa saker används i regeringen, till exempel krypteringsalgoritmer. FIPS definierar vissa specifika krypteringsmetoder som kan användas, liksom metoder för att generera krypteringsnycklar. Det publiceras av National Institute of Standards and Technology, eller NIST.

Inställningen i Windows överensstämmer med USA: s FIPS 140-standard. När det är aktiverat, tvingar det Windows att endast använda FIPS-validerade krypteringssystem och rådgör även med applikationer för att göra det.

"FIPS-läge" gör inte Windows säkrare. Det blockerar bara tillgång till nyare krypteringssystem som inte har blivit FIPS-validerade. Det betyder att det inte kommer att kunna använda nya krypteringssystem eller snabbare sätt att använda samma krypteringssystem. Med andra ord, det gör datorn långsammare, mindre funktionell och säkert mindre säker.

Hur Windows fungerar annorlunda om du aktiverar denna inställning

Microsoft förklarar vad den här inställningen faktiskt gör i ett blogginlägg med titeln "Varför rekommenderar vi inte" FIPS-läge "Anymore." Microsoft rekommenderar endast att du använder FIPS-läget om du måste. Om du till exempel använder en amerikansk regeringsdator, ska den datorn ha "FIPS-läge" aktiverat enligt regeringens egna regler. Det finns inget riktigt fall där du vill aktivera detta på din egen dator, om du inte testar hur din programvara beter sig på amerikanska regeringens datorer med den här inställningen aktiverad.

Den här inställningen gör två saker för Windows själv. Det tvingar Windows och Windows-tjänster att endast använda FIPS-validerad kryptering. Schannel-tjänsten som är inbyggd i Windows fungerar till exempel inte med äldre SSL 2.0 och 3.0-protokoll och kräver i stället åtminstone TLS 1.0.

Microsofts. NET-ramverk kommer också att blockera åtkomst till algoritmer som inte är FIPS-validerade..NET Framework erbjuder flera olika algoritmer för de flesta krypteringsalgoritmer, och inte alla har ens inlämnats för validering. Som ett exempel noterar Microsoft att det finns tre olika versioner av SHA256 hashing-algoritmen i. NET-ramen. Den snabbaste har inte lämnats in för validering, men bör vara lika säker. Så att aktivera FIPS-läge bryter antingen. NET-applikationer som använder den mer effektiva algoritmen eller tvingar dem att använda den mindre effektiva algoritmen och vara långsammare.

Bortsett från de två sakerna rekommenderar man att FIPS-läge rekommenderar att program som de använder endast FIPS-validerad kryptering också.Men det tvingar inte något annat. Traditionella Windows-skrivbordsapplikationer kan välja att implementera någon krypteringskod som de vill ha - till och med grymt sårbar kryptering - eller ingen kryptering alls. FIPS-läget gör ingenting för andra program såvida de inte följer denna inställning.

Hur du inaktiverar FIPS-läge( eller aktivera det, om du behöver)

Du bör inte aktivera den här inställningen om du inte använder en statlig dator och är tvungen att. Om du aktiverar den här inställningen kan vissa konsumentprogram låta dig avaktivera FIPS-läge så att de kan fungera korrekt.

Om du vill aktivera eller inaktivera FIPS-läget - kanske du har sett ett felmeddelande efter att du har aktiverat det, måste du testa hur din programvara ska fungera på en dator med FIPS-läge aktiverat eller om du använder en regeringsdator ochmåste aktivera det - du kan göra det på flera sätt. FIPS-läget kan endast aktiveras när det är anslutet till ett visst nätverk eller via en systemövergripande inställning som alltid gäller.

För att aktivera FIPS-läge endast när det är anslutet till ett visst nätverk, utför du följande steg:

1. Öppna kontrollpanelfönstret.
2. Klicka på "Visa nätverksstatus och uppgifter" under Nätverk och Internet.
3. Klicka på "Ändra adapterinställningar."
4. Högerklicka på nätverket som du vill aktivera FIPS för och välj "Status".
5. Klicka på knappen "Trådlösa egenskaper" i fönstret Wi-Fi Status.
6. Klicka på fliken "Säkerhet" i fönstret för nätverksegenskaper.
7. Klicka på knappen "Avancerade inställningar".
8. Växla "Aktivera Federal Information Processing Standards( FIPS) compliance för detta nätverk" alternativ under 802.11-inställningar.

Den här inställningen kan också ändras hela systemet i grupppolisredigeraren. Det här verktyget är endast tillgängligt på Professional, Enterprise och Education versioner av Windows, inte hemversioner. Du kan bara använda den lokala grupppolisredigeraren för att ändra det här verktyget om du är på en dator som inte är ansluten till en domän som hanterar datorns grupppolicyinställningar för dig. Om din dator är ansluten till en domän och grupppolicyinställningarna hanteras centralt av din organisation, kan du inte ändra det själv. För att ändra den här inställningen i grupppolicy:

1. Tryck på Windows-tangenten + R för att öppna dialogrutan Kör.
2. Skriv "gpedit.msc" i dialogrutan Kör( utan citat) och tryck på Enter.
3. Navigera till "Datorkonfiguration \ Windows Inställningar \ Säkerhetsinställningar \ Lokala policyer \ Säkerhetsalternativ" i Grupprincipredigeraren.
4. Leta reda på "Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashing och signering" i den högra rutan och dubbelklicka på den.
5. Ställ in inställningen på "Disabled" och klicka på "OK".
6. Starta om datorn.

På hemversioner av Windows kan du fortfarande aktivera eller inaktivera FIPS-inställningen via en registerinställning. För att kontrollera om FIPS är aktiverat eller inaktiverat i registret, följ följande steg:

1. Tryck på Windows Key + R för att öppna dialogrutan Kör.
2. Skriv "regedit" i dialogrutan Kör( utan citat) och tryck på Enter.
3. Navigera till "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Titta på "Enabled" -värdet i den högra rutan. Om den är inställd på "0", är FIPS-läge inaktiverat. Om den är inställd på "1" är FIPS-läge aktiverat. För att ändra inställningen dubbelklickar du på "Enabled" -värdet och ställer in det på antingen "0" eller "1".
5. Starta om datorn.

Tack till @SwiftOnSecurity på Twitter för att inspirera detta inlägg!