Proč byste neměli povolit šifrování "FIPS-compliant" v systému Windows

Systém Windows má skryté nastavení, které umožní pouze šifrování certifikované standardem "FIPS".Může to vypadat jako způsob, jak zvýšit zabezpečení počítače, ale není.Toto nastavení byste neměli povolit, pokud nebudete pracovat ve vládě nebo nebudete muset testovat, jak se software bude chovat na vládních počítačích.

Toto vyladění se hodí přímo vedle dalších zbytečných Windows mýtů.Pokud jste narazili na toto nastavení v systému Windows nebo jste ho viděli jinde, neumožňujte jej. Pokud jste ji již bez řádného důvodu povolili, použijte níže uvedené kroky k vypnutí režimu "FIPS".

Co je to šifrování kompatibilní s FIPS?

FIPS znamená "Federální standardy pro zpracování informací". Je to soubor vládních standardů, které definují, jak se ve vládě používají určité věci - například šifrovací algoritmy. FIPS definuje určité specifické metody šifrování, které lze použít, stejně jako metody generování šifrovacích klíčů.Je publikován Národním institutem pro standardy a technologie nebo NIST.

Nastavení v systému Windows odpovídá standardu FIPS 140 americké vlády. Je-li tato možnost povolena, přinutí systém Windows používat pouze šifrovací schémata ověřená FIPS a také doporučuje aplikacím, aby tak učinily.

"Režim FIPS" nezvyšuje bezpečnost systému Windows. Pouze blokuje přístup k novějším kryptografickým schématům, které nebyly ověřeny FIPS.To znamená, že nebude moci používat nové šifrovací schémata nebo rychlejší způsoby použití stejných šifrovacích schémat. Jinými slovy, je váš počítač pomalejší, méně funkční a pravděpodobně méně bezpečné.

Jak se Windows chová jinak Pokud povolíte toto nastavení

Společnost Microsoft vysvětluje, co toto nastavení ve skutečnosti dělá v blogovém příspěvku nazvaném "Proč neodpovídáme" režim FIPS "Anymore". Společnost Microsoft doporučuje pouze použít režim FIPS, pokud je to nutné.Pokud používáte například počítač s vládou USA, předpokládá se, že tento počítač má režim "FIPS" podle vlastních předpisů.Neexistuje žádný skutečný případ, kdy byste to chtěli povolit na svém osobním počítači - pokud testujete, jak se váš software chová na počítačích s vládou USA s povoleným nastavením.

Toto nastavení dělá dvě věci na samotný systém Windows. To nutí služby Windows a Windows používat pouze FIPS-ověřená kryptografie. Například služba Schannel zabudovaná do systému Windows nebude fungovat se staršími protokoly SSL 2.0 a 3.0 a místo toho bude vyžadovat alespoň TLS 1.0.

Microsoft. NET Framework také zablokuje přístup k algoritmům, které nejsou ověřovány FIPS..NET rámec nabízí několik různých algoritmů pro většinu kryptografických algoritmů a ne všechny byly dokonce předloženy k ověření.Jako příklad uvádí, že existují tři různé verze algoritmu hash SHA256 v rámci. NET.Nejrychlejší nebylo předloženo k ověření, ale mělo by být stejně bezpečné.Takže umožnění režimu FIPS buď přeruší aplikace. NET, které používají efektivnější algoritmus, nebo je přinutit k použití méně efektivního algoritmu a bude pomalejší.

Kromě těchto dvou skutečností umožňuje režim FIPS doporučit aplikacím, které používají pouze šifrování ověřené FIPS.Ale nic jiného nijak nenutí.Tradiční desktopové aplikace Windows se mohou rozhodnout implementovat libovolný šifrovací kód, který chtějí - dokonce i strašně zranitelné šifrování - nebo vůbec žádné šifrování.Režim FIPS neprovádí nic jiného aplikacím, pokud neuposlechnou toto nastavení.

Jak zakázat režim FIPS( nebo povolit, pokud máte)

Toto nastavení byste neměli povolit, pokud nepoužíváte vládní počítač a jste nuceni. Pokud povolíte toto nastavení, některé aplikace pro spotřebitele mohou skutečně požádat o vypnutí režimu FIPS, aby mohly fungovat správně.

Pokud potřebujete zapnout nebo vypnout režim FIPS - možná jste viděli chybovou zprávu poté, co jste ji aktivovali, je třeba vyzkoušet, jak se software bude chovat v počítači s povoleným režimem FIPS, nebo používáte vládní počítač amusíte to povolit - můžete to udělat několika způsoby. Režim FIPS může být aktivován pouze v případě, že je připojen k určité síti, nebo přes systémové nastavení, které se vždy použije.

Chcete-li povolit režim FIPS pouze při připojení k určité síti, proveďte následující kroky:

1. Otevřete okno ovládacího panelu.
2. Klepněte na položku Zobrazit stav sítě a úkoly v části Síť a Internet.
3. Klepněte na tlačítko "Změnit nastavení adaptéru".
4. Klepněte pravým tlačítkem myši na síť, kterou chcete povolit FIPS, a vyberte položku "Status".
5. Klepněte na tlačítko "Wireless Properties" v okně Status Wi-Fi.
6. Klepněte na kartu Zabezpečení v okně vlastností sítě.
7. Klepněte na tlačítko "Pokročilé nastavení".
8. V nastavení 802.11 přepněte možnost "Povolení souladu s normami federálního zpracování informací( FIPS) pro tuto síť".

Toto nastavení lze také změnit v editoru zásad skupin. Tento nástroj je k dispozici pouze ve verzích Windows, nikoliv doma, v profesionálních, podnikových a vzdělávacích programech. Pomocí editoru místní skupiny zásad můžete změnit tento nástroj pouze v počítači, který není připojen k doméně, která pro vás spravuje nastavení zásad skupiny. Je-li počítač připojen k doméně a nastavení zásad skupiny je centrálně spravováno vaší organizací, nebudete ji moci sami měnit. Změna tohoto nastavení v zásadách skupiny:

1. Stisknutím klávesy Windows + R otevřete dialog Spustit.
2. Zadejte "gpedit.msc" do dialogového okna Spustit( bez uvozovek) a stiskněte klávesu Enter.
3. V Editoru zásad skupiny přejděte do části "Konfigurace počítače \ Nastavení systému Windows \ Nastavení zabezpečení \ Místní zásady \ Možnosti zabezpečení".
4. Vyhledejte v pravém podokně "Systémová kryptografie: použijte algoritmy FIPS kompatibilní pro šifrování, hashování a podepisování" a poklepejte na něj.
5. Nastavte nastavení na hodnotu "Disabled" a klepněte na tlačítko "OK".
6. Restartujte počítač.

V domácí verzi systému Windows můžete stále povolit nebo zakázat nastavení FIPS pomocí nastavení registru. Chcete-li zkontrolovat, zda je funkce FIPS povolena nebo zakázána v registru, postupujte takto:

1. Stisknutím klávesy Windows + R otevřete dialog Spustit.
2. Zadejte příkaz "regedit" do dialogového okna Spustit( bez uvozovek) a stiskněte klávesu Enter.
3. Přejděte na položku "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Podívejte se na hodnotu "Enabled" v pravém podokně.Je-li nastaven na hodnotu "0", režim FIPS je deaktivován. Je-li nastaven na hodnotu "1", režim FIPS je aktivován. Chcete-li změnit nastavení, poklepejte na hodnotu "Zapnuto" a nastavte jej na hodnotu "0" nebo "1".
5. Restartujte počítač.

Díky @SwiftOnSecurity na Twitteru pro inspiraci tohoto příspěvku!