Neden Windows'ta "FIPS uyumlu" Şifrelemeyi Etkinleştirmemelisiniz?

Windows'un yalnızca devlet onaylı "FIPS uyumlu" şifrelemeyi sağlayacak gizli bir ayarı vardır. PC'nizin güvenliğini artırmanın bir yolu gibi görünebilir, ancak değil. Devlette çalışmadıkça veya hükümetin PC'lerinde yazılımın nasıl davranacağını test etmen gereken sürece bu ayarı etkinleştirmemelisin.

Bu çimdik, diğer yararsız Windows titreme efsanelerinin yanında yer alıyor. Windows'ta bu ayarda karşılaşırsanız veya başka bir yerde bahsedildiğini görürseniz, etkinleştirmeyin. Bunu iyi bir sebep olmadan zaten etkinleştirdiyseniz, "FIPS modu" nu devre dışı bırakmak için aşağıdaki adımları kullanın.

FIPS uyumlu şifreleme nedir?

FIPS, "Federal Bilgi İşleme Standartları" nın kısaltmasıdır. Bazı şeyler hükümette nasıl kullanılacağını tanımlayan hükümet standartları setidir( örneğin, şifreleme algoritmaları).FIPS, kullanılabilen belirli belirli şifreleme yöntemlerinin yanı sıra şifreleme anahtarları üretme yöntemlerini tanımlar. Ulusal Standartlar ve Teknoloji Enstitüsü( NIST) tarafından yayımlanır.

Windows'daki ayar ABD hükümetinin FIPS 140 standardına uygundur. Etkinleştirildiğinde, Windows'a yalnızca FIPS onaylı şifreleme düzenleri kullanmaya zorlar ve uygulamaları bunun için de önerir.

"FIPS modu", Windows'u daha güvenli hale getirmez. Sadece FIPS onaylı olmayan yeni şifreleme düzenlerine erişimi engeller. Bu, yeni şifreleme düzenleri veya aynı şifreleme düzenlerini kullanmanın daha hızlı yollarını kullanamaz demektir. Başka bir deyişle, bilgisayarınızı daha yavaş, daha az işlevsel ve tartışmasız bir şekilde daha az güvenli hale getirir.

Bu Ayar'ı Etkinleştirirseniz Windows'un Farklı Bir Şekilde Davranışı

Microsoft, "Neden Tavsiye Edilmiyoruz Neden" başlıklı bir blog yazısında "FIPS Modu" veya "Ötesi Değil" başlıklı bölümde bu ayarın gerçekten ne yaptığını açıklıyor. Gerekli olması durumunda Microsoft, yalnızca FIPS modunu kullanmanızı önerir.Örneğin, bir ABD devlet bilgisayarı kullanıyorsanız, bu bilgisayarın hükümetin kendi düzenlemelerine göre etkinleştirilmiş "FIPS modu" olması gerekiyor. Kendi bilgisayarınızda bunu etkinleştirmek istediğiniz gerçek bir durum yok - bu ayarın etkin olduğu ABD hükümet bilgisayarlarında yazılımınızın nasıl davrandığını sınamıyorsanız.

Bu ayar, Windows'un kendisine iki şeyi yapar. Windows ve Windows servislerini yalnızca FIPS onaylı şifrelemeyi kullanmaya zorlar.Örneğin, Windows'a yerleştirilen Schannel hizmeti eski SSL 2.0 ve 3.0 protokolleriyle çalışmaz ve bunun yerine en az TLS 1.0 gerektirir.

Microsoft'un. NET çerçevesi, FIPS doğrulamayan algoritmalara erişimi de engelleyecektir..NET framework çoğu şifreleme algoritması için birkaç farklı algoritma sunmaktadır ve hepsi doğrulama için gönderilmemiştir.Örnek olarak Microsoft,. NET çerçevesinde SHA256 karma algoritmasının üç farklı sürümü bulunduğunu belirtmektedir. En hızlısı doğrulama için gönderilmedi, ancak aynı şekilde güvenli olmalıdır. Bu nedenle FIPS modunu etkinleştirmek, daha etkili algoritmayı kullanan. NET uygulamalarını kırar veya daha az etkili algoritmayı kullanmaya ve daha yavaş olmaya zorlar.

Bu iki şeyden ayrı olarak, FIPS modunu etkinleştirmek, uygulamalara yalnızca FIPS onaylı şifreleme kullandıklarını önerir. Ancak başka bir şey zorlamaz. Geleneksel Windows masaüstü uygulamaları, istedikleri şifreleme kodunu( korkunç derecede savunmasız şifreleme bile) uygulamayı seçebilir veya hiç şifreleme yapmayabilir. FIPS modu, bu ayara uymadıkça diğer uygulamalara hiçbir şey yapmaz.

FIPS Modunu Devre Dışı Bırakma( veya Bunu Yaparsanız Etkinleştir)

Bir hükümet bilgisayarı kullanmadığınız sürece bu ayarı etkinleştirmemeniz gerekir. Bu ayarı etkinleştirirseniz, bazı tüketici uygulamaları, FIPS modunu devre dışı bırakmanızı isteyebilir, böylece düzgün çalışabilirler.

FIPS modunu etkinleştirmeniz veya devre dışı bırakmanız gerekirse, belki de etkinleştirdikten sonra bir hata mesajı gördünüz, yazılımınızın FIPS modu etkinleştirilmiş bir bilgisayarda nasıl davrandığını test etmeniz veya bir devlet bilgisayar kullanıyorsunuz demektir.bunu etkinleştirmek zorundasınız - bunu çeşitli şekillerde yapabilirsiniz. FIPS modu yalnızca belirli bir ağa bağlandığında veya her zaman geçerli olacak bir sistem genelinde ayarla etkinleştirilebilir.

Yalnızca belirli bir ağa bağlandığında FIPS modunu etkinleştirmek için aşağıdaki adımları uygulayın:

1. Denetim Masası penceresini açın.
2. Ağ ve Internet altındaki "Ağ durumunu ve görevlerini göster" i tıklayın.
3. "Adaptör ayarlarını değiştir" i tıklayın.
4. FIPS'i etkinleştirmek istediğiniz ağa sağ tıklayın ve "Durum" u seçin.
5. Wi-Fi Durum penceresindeki "Kablosuz Özellikler" düğmesini tıklayın.
6. Ağ özellikleri penceresindeki "Güvenlik" sekmesini tıklayın.
7. "Gelişmiş ayarlar" düğmesini tıklayın.
8. 802.11 ayarları altındaki "Bu ağ için Federal Bilgi İşleme Standartlarını( FIPS) uygunluğunu etkinleştir" seçeneğini devre dışı bırakın.

Bu ayar, grup ilkesi düzenleyicisinde sistem genelinde de değiştirilebilir. Bu araç yalnızca Windows'un değil, Ev sürümlerinin Profesyonel, Kurumsal ve Eğitim sürümlerinde kullanılabilir. Bilgisayarınızın grup ilkesi ayarlarını sizin için yöneten bir etki alanına katılamayan bir bilgisayardaysanız bu aracı yalnızca yerel grup ilkesi düzenleyicisini kullanabilirsiniz. Bilgisayarınız bir etki alanına katıldığında ve grup ilkesi ayarları kuruluşunuz tarafından merkezi olarak yönetilirse, bunu kendiniz değiştiremezsiniz. Bu ayarı Grup İlkesi'nde değiştirmek için:

1. Çalıştır iletişim kutusunu açmak için Windows Tuşu + R tuşlarına basın.
2. Çalıştır iletişim kutusuna( tırnak işaretleri olmadan) "gpedit.msc" yazıp Enter tuşuna basın.
3. Grup İlkesi Düzenleyicisi'nde "Bilgisayar Yapılandırması \ Windows Ayarları \ Güvenlik Ayarları \ Yerel İlkeler \ Güvenlik Seçenekleri" seçeneğine gidin.
4. Sağ bölmede "Sistem şifrelemesi: Şifreleme, karma ve imzalama için FIPS uyumlu algoritmaları kullanın" ayarını bulun ve çift tıklatın.
5. Ayarı "Devre dışı" olarak ayarlayın ve "Tamam" ı tıklayın.
6. Bilgisayarı yeniden başlatın.

Windows'un Ev sürümlerinde, yine de bir kayıt defteri ayarı aracılığıyla FIPS ayarını etkinleştirebilir veya devre dışı bırakabilirsiniz. Kayıt defterinde FIPS'in etkin veya devre dışı olup olmadığını kontrol etmek için aşağıdaki adımları izleyin:

1. Çalıştır iletişim kutusunu açmak için Windows Tuşu + R tuşlarına basın.
2. Çalıştır iletişim kutusuna "tırnak işaretleri olmadan" "regedit" yazın ve Enter tuşuna basın.
3. "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \" adresine gidin.
4. Sağ bölmedeki "Etkin" değerine bakın."0" olarak ayarlanırsa, FIPS modu devre dışı bırakılır."1" olarak ayarlanırsa, FIPS modu etkinleştirilir. Ayarı değiştirmek için "Etkin" değerini çift tıklayın ve "0" veya "1" olarak ayarlayın.
5. Bilgisayarı yeniden başlatın.

Bu yazıya ilham kaynağı sağlayan heyecan @SwiftOnSecurity'ye teşekkürler!