2Aug

Warum sollten Sie die FIPS-kompatible Verschlüsselung unter Windows nicht aktivieren?

Windows hat eine versteckte Einstellung, die nur von der Regierung zertifizierte "FIPS-konforme" Verschlüsselung ermöglicht. Es klingt vielleicht nach einer Möglichkeit, die Sicherheit Ihres PCs zu erhöhen, ist es aber nicht. Sie sollten diese Einstellung nicht aktivieren, es sei denn, Sie arbeiten in der Regierung oder müssen testen, wie sich Software auf Regierungs-PCs verhält.

Dieser Tweak passt genau neben anderen nutzlosen Windows-Tweaking-Mythen. Wenn Sie in Windows über diese Einstellung gestolpert sind oder sie an anderer Stelle erwähnt haben, aktivieren Sie sie nicht. Wenn Sie es bereits ohne einen guten Grund aktiviert haben, verwenden Sie die folgenden Schritte, um den "FIPS-Modus" zu deaktivieren.

Was ist FIPS-kompatible Verschlüsselung?

FIPS steht für "Federal Information Processing Standards". Es ist eine Reihe von Regierungsstandards, die definieren, wie bestimmte Dinge in der Regierung verwendet werden - zum Beispiel Verschlüsselungsalgorithmen. FIPS definiert bestimmte spezifische Verschlüsselungsmethoden, die verwendet werden können, sowie Methoden zum Generieren von Verschlüsselungsschlüsseln. Es wird vom National Institute of Standards and Technology( NIST) veröffentlicht.

Die Einstellung in Windows entspricht dem FIPS 140-Standard der US-Regierung. Wenn es aktiviert ist, zwingt es Windows, nur FIPS-validierte Verschlüsselungsschemas zu verwenden, und rät Anwendungen dazu.

"FIPS-Modus" macht Windows nicht sicherer. Es blockiert nur den Zugriff auf neuere Kryptographieschemata, die nicht FIPS-validiert wurden. Das bedeutet, dass neue Verschlüsselungsschemata oder schnellere Methoden zur Verwendung derselben Verschlüsselungsschemata nicht verwendet werden können. Mit anderen Worten, es macht Ihren Computer langsamer, weniger funktional und wohl weniger sicher.

Wie sich Windows anders verhält, wenn Sie diese Einstellung aktivieren

Microsoft erläutert, was diese Einstellung tatsächlich in einem Blogpost mit dem Titel "Warum wir nicht empfehlen" FIPS-Modus "Anymore" empfiehlt. Microsoft empfiehlt Ihnen nur, den FIPS-Modus zu verwenden. Wenn Sie beispielsweise einen Computer der US-Regierung verwenden, sollte dieser Computer den "FIPS-Modus" gemäß den eigenen Vorschriften der Regierung aktiviert haben. Es gibt keinen wirklichen Fall, in dem Sie dies auf Ihrem eigenen Computer aktivieren möchten - es sei denn, Sie testen, wie sich Ihre Software auf Computern der US-Regierung verhält, wenn diese Einstellung aktiviert ist.

Diese Einstellung macht zwei Dinge für Windows selbst. Es zwingt Windows- und Windows-Dienste, nur FIPS-validierte Kryptografie zu verwenden. Beispielsweise funktioniert der in Windows integrierte Schannel-Dienst nicht mit älteren SSL 2.0- und 3.0-Protokollen und erfordert stattdessen mindestens TLS 1.0.

Microsoft. NET Framework blockiert auch den Zugriff auf Algorithmen, die nicht FIPS-validiert sind. Das. NET-Framework bietet verschiedene Algorithmen für die meisten Kryptografiealgorithmen, von denen nicht alle zur Validierung eingereicht wurden. Als ein Beispiel stellt Microsoft fest, dass es im. NET-Framework drei verschiedene Versionen des Hash-Algorithmus SHA256 gibt. Der schnellste wurde nicht zur Validierung eingereicht, sollte aber genauso sicher sein. Wenn Sie also den FIPS-Modus aktivieren, werden entweder. NET-Anwendungen durchbrochen, die den effizienteren Algorithmus verwenden, oder sie werden gezwungen, den weniger effizienten Algorithmus zu verwenden und langsamer zu arbeiten.

Abgesehen von diesen beiden Dingen empfiehlt die Aktivierung des FIPS-Modus den Anwendungen, dass sie nur die FIPS-validierte Verschlüsselung verwenden. Aber es zwingt nichts anderes. Herkömmliche Windows-Desktop-Anwendungen können beliebige Verschlüsselungscodes implementieren, die sie möchten - sogar eine entsetzlich verwundbare Verschlüsselung - oder gar keine Verschlüsselung. Der FIPS-Modus führt nur dann zu anderen Anwendungen, wenn er diese Einstellung beachtet.

So deaktivieren Sie den FIPS-Modus( oder aktivieren Sie ihn ggf.)

Sie sollten diese Einstellung nur aktivieren, wenn Sie einen Regierungscomputer verwenden und dazu gezwungen werden. Wenn Sie diese Einstellung aktivieren, werden Sie möglicherweise von einigen Benutzeranwendungen aufgefordert, den FIPS-Modus zu deaktivieren, damit sie ordnungsgemäß funktionieren.

Wenn Sie den FIPS-Modus aktivieren oder deaktivieren müssen - vielleicht haben Sie nach der Aktivierung eine Fehlermeldung angezeigt, müssen Sie testen, wie sich Ihre Software auf einem Computer mit aktiviertem FIPS-Modus verhält, oder Sie verwenden einen Regierungscomputer undmuss es aktivieren - Sie können dies auf verschiedene Arten tun. Der FIPS-Modus kann nur aktiviert werden, wenn eine Verbindung zu einem bestimmten Netzwerk besteht, oder über eine systemweite Einstellung, die immer angewendet wird.

Führen Sie die folgenden Schritte aus, um den FIPS-Modus nur zu aktivieren, wenn Sie mit einem bestimmten Netzwerk verbunden sind:

  1. Öffnen Sie das Fenster der Systemsteuerung.
  2. Klicken Sie unter Netzwerk und Internet auf "Netzwerkstatus und -aufgaben anzeigen".
  3. Klicken Sie auf "Adaptereinstellungen ändern".
  4. Klicken Sie mit der rechten Maustaste auf das Netzwerk, für das Sie FIPS aktivieren möchten, und wählen Sie "Status".
  5. Klicken Sie im Wi-Fi-Statusfenster auf die Schaltfläche "Drahtlose Eigenschaften".
  6. Klicken Sie im Fenster Netzwerkeigenschaften auf die Registerkarte "Sicherheit".
  7. Klicken Sie auf die Schaltfläche "Erweiterte Einstellungen".
  8. Aktivieren Sie die Option "FIPS( Federal Information Processing Standards) für dieses Netzwerk aktivieren" unter 802.11-Einstellungen.

Diese Einstellung kann auch im Gruppenrichtlinieneditor systemweit geändert werden. Dieses Tool ist nur in Professional-, Enterprise- und Education-Versionen von Windows-Nicht-Home-Versionen verfügbar. Sie können den lokalen Gruppenrichtlinieneditor nur verwenden, um dieses Tool zu ändern, wenn Sie sich auf einem Computer befinden, der nicht Mitglied einer Domäne ist, die die Gruppenrichtlinieneinstellungen Ihres Computers für Sie verwaltet. Wenn Ihr Computer einer Domäne angehört und die Gruppenrichtlinieneinstellungen von Ihrer Organisation zentral verwaltet werden, können Sie diese nicht selbst ändern. So ändern Sie diese Einstellung in der Gruppenrichtlinie:

  1. Drücken Sie Windows-Taste + R, um das Dialogfeld Ausführen zu öffnen.
  2. Geben Sie "gpedit.msc" in das Dialogfeld Ausführen( ohne Anführungszeichen) ein und drücken Sie die Eingabetaste.
  3. Navigieren Sie im Gruppenrichtlinien-Editor zu "Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Sicherheitsoptionen".
  4. Suchen Sie die Einstellung "Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signieren verwenden" im rechten Fensterbereich und doppelklicken Sie darauf.
  5. Setzen Sie die Einstellung auf "Deaktiviert" und klicken Sie auf "OK".
  6. Starten Sie den Computer neu.

In den Home-Versionen von Windows können Sie die FIPS-Einstellung weiterhin über eine Registrierungseinstellung aktivieren oder deaktivieren. Gehen Sie folgendermaßen vor, um zu überprüfen, ob FIPS in der Registrierung aktiviert oder deaktiviert ist:

  1. Drücken Sie Windows-Taste + R, um das Dialogfeld Ausführen zu öffnen.
  2. Geben Sie "regedit" in das Dialogfeld Ausführen( ohne Anführungszeichen) ein und drücken Sie die Eingabetaste.
  3. Navigieren Sie zu "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
  4. Sehen Sie sich den Wert "Aktiviert" im rechten Bereich an. Wenn es auf "0" gesetzt ist, ist der FIPS-Modus deaktiviert. Wenn es auf "1" eingestellt ist, ist der FIPS-Modus aktiviert. Um die Einstellung zu ändern, doppelklicken Sie auf den Wert "Enabled" und setzen Sie ihn auf "0" oder "1".
  5. Starten Sie den Computer neu.

Danke an @SwiftOnSecurity auf Twitter für diesen Beitrag!