Γιατί δεν πρέπει να ενεργοποιήσετε την κρυπτογράφηση "συμβατό με FIPS" στα Windows

Τα Windows έχουν κρυφή ρύθμιση που θα επιτρέπει μόνο κρυπτογράφηση με πιστοποίηση "FIPS-compliant".Μπορεί να ακούγεται σαν ένας τρόπος για να ενισχύσετε την ασφάλεια του υπολογιστή σας, αλλά δεν είναι.Δεν θα πρέπει να ενεργοποιήσετε αυτήν τη ρύθμιση εκτός αν εργάζεστε στην κυβέρνηση ή χρειάζεται να ελέγξετε τον τρόπο συμπεριφοράς του λογισμικού σε κυβερνητικούς υπολογιστές.

Αυτό το τσίμπημα ταιριάζει ακριβώς μαζί με άλλα άχρηστα παράθυρα μικροαλλαγές tweaking.Αν έχετε σκοντάψει σε αυτήν τη ρύθμιση στα Windows ή το έχετε δει να αναφέρεται αλλού, μην το ενεργοποιήσετε.Εάν έχετε ήδη την ενεργοποιήσει χωρίς καλό λόγο, χρησιμοποιήστε τα παρακάτω βήματα για να απενεργοποιήσετε τη λειτουργία "FIPS".

Τι είναι η κρυπτογράφηση συμβατή με το FIPS;

FIPS σημαίνει "Ομοσπονδιακά πρότυπα επεξεργασίας πληροφοριών". Πρόκειται για ένα σύνολο κυβερνητικών προτύπων που καθορίζουν τον τρόπο με τον οποίο χρησιμοποιούνται ορισμένα πράγματα στην κυβέρνηση - για παράδειγμα, αλγόριθμοι κρυπτογράφησης.Το FIPS ορίζει ορισμένες συγκεκριμένες μεθόδους κρυπτογράφησης που μπορούν να χρησιμοποιηθούν, καθώς και μέθοδοι για τη δημιουργία κλειδιών κρυπτογράφησης.Δημοσιεύεται από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας ή το NIST.

Η ρύθμιση στα Windows συμμορφώνεται με το πρότυπο FIPS 140 της κυβέρνησης των ΗΠΑ.Όταν είναι ενεργοποιημένη, αναγκάζει τα Windows να χρησιμοποιούν μόνο επικυρωμένα συστήματα FIPS και συμβουλεύει τις εφαρμογές να το κάνουν και αυτό.Το "FIPS mode"

δεν καθιστά τα Windows ασφαλέστερα.Απλώς αποκλείει την πρόσβαση σε νεότερα κρυπτογραφικά σχήματα που δεν έχουν επικυρωθεί από το FIPS.Αυτό σημαίνει ότι δεν θα είναι σε θέση να χρησιμοποιήσει νέα προγράμματα κρυπτογράφησης ή ταχύτερους τρόπους χρήσης των ίδιων συστημάτων κρυπτογράφησης.Με άλλα λόγια, κάνει τον υπολογιστή σας πιο αργό, λιγότερο λειτουργικό και αναμφισβήτητα λιγότερο ασφαλή.

Πώς επηρεάζουν τα Windows διαφορετικά εάν ενεργοποιήσετε αυτήν τη ρύθμιση

Η Microsoft εξηγεί τι ακριβώς κάνει αυτή η ρύθμιση σε μια δημοσίευση ιστολογίου με τίτλο "Γιατί δεν συστήνουμε" τη λειτουργία FIPS "Anymore". Η Microsoft σας συνιστά μόνο να χρησιμοποιήσετε τη λειτουργία FIPS αν χρειαστεί.Για παράδειγμα, εάν χρησιμοποιείτε υπολογιστή κυβερνήτη των Η.Π.Α., ο υπολογιστής αυτός πρέπει να έχει ενεργοποιημένη τη λειτουργία "FIPS" σύμφωνα με τους κανονισμούς της κυβέρνησης.Δεν υπάρχει πραγματική περίπτωση όπου θα θέλατε να ενεργοποιήσετε αυτό στον προσωπικό σας υπολογιστή - εκτός και αν δοκιμάσατε πώς συμπεριφέρεται το λογισμικό σας σε κυβερνητικούς υπολογιστές των Η.Π.Α. με ενεργοποιημένη αυτή τη ρύθμιση.

Αυτή η ρύθμιση κάνει δύο πράγματα στα ίδια τα Windows.Αναγκάζει τις υπηρεσίες Windows και Windows να χρησιμοποιούν μόνο επικυρωμένη κρυπτογράφηση FIPS.Για παράδειγμα, η υπηρεσία Schannel ενσωματωμένη στα Windows δεν θα λειτουργήσει με παλαιότερα πρωτόκολλα SSL 2.0 και 3.0 και θα απαιτήσει τουλάχιστον TLS 1.0.

Το πλαίσιο. NET της Microsoft θα εμποδίσει επίσης την πρόσβαση σε αλγόριθμους που δεν έχουν επικυρωθεί από το FIPS.Το. NET Framework προσφέρει πολλούς διαφορετικούς αλγορίθμους για τους περισσότερους αλγόριθμους κρυπτογράφησης και δεν έχουν υποβληθεί όλες για επικύρωση.Για παράδειγμα, η Microsoft σημειώνει ότι υπάρχουν τρεις διαφορετικές εκδόσεις του αλγόριθμου κατακερματισμού SHA256 στο πλαίσιο. NET.Η ταχύτερη δεν έχει υποβληθεί για επικύρωση, αλλά πρέπει να είναι εξίσου ασφαλής.Έτσι, επιτρέποντας τη λειτουργία FIPS είτε θα διακόψουν εφαρμογές. NET που χρησιμοποιούν τον πιο αποδοτικό αλγόριθμο είτε θα τους αναγκάσουν να χρησιμοποιήσουν τον λιγότερο αποδοτικό αλγόριθμο και να είναι πιο αργά.

Εκτός από αυτά τα δύο πράγματα, η ενεργοποίηση του τρόπου λειτουργίας FIPS συνιστά στις εφαρμογές να χρησιμοποιούν και μόνο επικυρωμένη κρυπτογράφηση FIPS.Αλλά δεν ισχύει τίποτα άλλο.Οι παραδοσιακές εφαρμογές επιφάνειας εργασίας των Windows μπορούν να επιλέξουν να εφαρμόσουν οποιονδήποτε κωδικό κρυπτογράφησης που επιθυμούν - ακόμη και φρικτή κρυπτογράφηση - ή καμία κρυπτογράφηση καθόλου.Η λειτουργία FIPS δεν κάνει τίποτα σε άλλες εφαρμογές, εκτός αν τηρούν αυτή τη ρύθμιση.

Πώς να απενεργοποιήσετε τη λειτουργία FIPS( ή να την ενεργοποιήσετε, εάν πρέπει)

Δεν πρέπει να ενεργοποιήσετε αυτήν τη ρύθμιση, εκτός εάν χρησιμοποιείτε κυβερνητικό υπολογιστή και είστε αναγκασμένοι.Εάν ενεργοποιήσετε αυτήν τη ρύθμιση, ορισμένες εφαρμογές καταναλωτών ενδέχεται να σας ζητήσουν να απενεργοποιήσετε τη λειτουργία FIPS, ώστε να μπορούν να λειτουργούν σωστά.

Εάν πρέπει να ενεργοποιήσετε ή να απενεργοποιήσετε τη λειτουργία FIPS - ίσως έχετε δει ένα μήνυμα σφάλματος αφού την έχετε ενεργοποιήσει, πρέπει να ελέγξετε πώς το λογισμικό σας θα συμπεριφέρεται σε έναν υπολογιστή με ενεργοποιημένη τη λειτουργία FIPS ή αν χρησιμοποιείτε κυβερνητικό υπολογιστή καιπρέπει να το ενεργοποιήσετε - μπορείτε να το κάνετε με διάφορους τρόπους.Η λειτουργία FIPS μπορεί να ενεργοποιηθεί μόνο όταν είναι συνδεδεμένη σε ένα συγκεκριμένο δίκτυο ή μέσω μιας ρύθμισης σε όλο το σύστημα που θα ισχύει πάντα.

Για να ενεργοποιήσετε τη λειτουργία FIPS μόνο όταν είστε συνδεδεμένοι σε ένα συγκεκριμένο δίκτυο, ακολουθήστε τα παρακάτω βήματα:

1. Ανοίξτε το παράθυρο του πίνακα ελέγχου.
2. Κάντε κλικ στην επιλογή "Προβολή κατάστασης δικτύου και εργασιών" στο Δίκτυο και στο Internet.
3. Κάντε κλικ στο κουμπί "Αλλαγή ρυθμίσεων προσαρμογέα".
4. Κάντε δεξί κλικ στο δίκτυο που θέλετε να ενεργοποιήσετε το FIPS για και επιλέξτε "Κατάσταση".
5. Κάντε κλικ στο κουμπί "Wireless Properties" στο παράθυρο Κατάσταση Wi-Fi.
6. Κάντε κλικ στην καρτέλα "Ασφάλεια" στο παράθυρο ιδιοτήτων δικτύου.
7. Κάντε κλικ στο κουμπί "Ρυθμίσεις για προχωρημένους".
8. Αλλάξτε την επιλογή "Ενεργοποίηση συμμόρφωσης FIPS( Standard Federal Processing Standards) για τις ρυθμίσεις αυτού του δικτύου" στις ρυθμίσεις 802.11.

Αυτή η ρύθμιση μπορεί επίσης να αλλάξει σε όλο το σύστημα στον επεξεργαστή πολιτικής ομάδας.Αυτό το εργαλείο είναι διαθέσιμο μόνο σε εκδόσεις Επαγγελματικών, Επιχείρησης και Εκπαίδευσης των Windows, όχι σε εκδόσεις Home.Μπορείτε να χρησιμοποιήσετε τον τοπικό επεξεργαστή πολιτικής ομάδων για να αλλάξετε αυτό το εργαλείο, αν βρίσκεστε σε έναν υπολογιστή που δεν είναι συνδεδεμένος σε έναν τομέα ο οποίος διαχειρίζεται τις ρυθμίσεις πολιτικής ομάδας του υπολογιστή σας για εσάς.Αν ο υπολογιστής σας είναι συνδεδεμένος με έναν τομέα και οι ρυθμίσεις πολιτικής ομάδας είναι κεντρικά οργανωμένες από τον οργανισμό σας, δεν θα μπορείτε να το αλλάξετε μόνοι σας.Για να αλλάξετε αυτήν τη ρύθμιση στην Πολιτική ομάδας:

1. Πατήστε το πλήκτρο Windows + R για να ανοίξετε το παράθυρο διαλόγου Εκτέλεση.
2. Πληκτρολογήστε "gpedit.msc" στο παράθυρο διαλόγου "Εκτέλεση"( χωρίς τα εισαγωγικά) και πατήστε Enter.
3. Μεταβείτε στην ενότητα "Ρυθμίσεις υπολογιστή \ Ρυθμίσεις Windows \ Ρυθμίσεις ασφαλείας \ Τοπικές πολιτικές \ Επιλογές ασφαλείας" στον επεξεργαστή πολιτικής ομάδας.
4. Εντοπίστε το "Κρυπτογραφία συστήματος: Χρησιμοποιήστε αλγόριθμους συμβατούς με FIPS για κρυπτογράφηση, αντιστοίχιση και υπογραφή" στο δεξί παράθυρο και κάντε διπλό κλικ σε αυτό.
5. Ρυθμίστε τη ρύθμιση σε "Disabled" και κάντε κλικ στο "OK".
6. Επανεκκινήστε τον υπολογιστή.

Στις εσωτερικές εκδόσεις των Windows, μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε τη ρύθμιση FIPS μέσω μιας ρύθμισης μητρώου.Για να ελέγξετε αν το FIPS είναι ενεργοποιημένο ή απενεργοποιημένο στο μητρώο, ακολουθήστε τα παρακάτω βήματα:

1. Πατήστε το πλήκτρο Windows + R για να ανοίξετε το παράθυρο διαλόγου Εκτέλεση.
2. Πληκτρολογήστε "regedit" στο παράθυρο διαλόγου "Εκτέλεση"( χωρίς τα εισαγωγικά) και πατήστε Enter.
3. Περιηγηθείτε στο "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Δείτε την τιμή "Ενεργοποιημένο" στο δεξιό τμήμα του παραθύρου.Εάν έχει οριστεί σε "0", η λειτουργία FIPS είναι απενεργοποιημένη.Αν έχει οριστεί σε "1", η λειτουργία FIPS είναι ενεργοποιημένη.Για να αλλάξετε τη ρύθμιση, κάντε διπλό κλικ στην τιμή "Enabled" και ορίστε την είτε στο "0" είτε στο "1".
5. Επανεκκινήστε τον υπολογιστή.

Χάρη στο @SwiftOnSecurity στο Twitter για την εμπνευσμένη αυτή τη θέση!