2Aug

Miks te ei tohiks lubada FIPS-iga ühilduvat krüpteerimist Windowsis

-l Windowsil on peidetud seade, mis võimaldab ainult riiklikult sertifitseeritud "FIPS-ühilduvat" krüptimist. See võib tunduda arvuti turvalisuse suurendamise viisina, kuid see pole nii. Seda sätet ei tohiks lubada, kui te ei tööta valitsuses ega peate kontrollima, kuidas tarkvara käitub valitsuse arvutitel.

See näpunäide sobib kohe teiste mõttetute Windowsi müüteid tutistades. Kui olete Windowsis selle seadistusega komistanud või näinud seda mujal mainitud, ärge seda lubage. Kui olete selle juba ilma põhjuseta juba lubanud, kasutage FIPS-režiimi keelamiseks allpool toodud juhiseid.

Mis on FIPS-ühilduv krüpteering?

FIPS tähistab "Federal Information Processing Standards"( Federal Information Processing Standards). See on valitsuse standardite kogum, mis määratlevad, kuidas teatud määral kasutatakse valitsuses, näiteks krüpteerimisalgoritme. FIPS määratleb teatud konkreetsed krüpteerimismeetodid, mida saab kasutada, samuti krüptimise võtmete genereerimise meetodid. Seda avaldab National Institute of Standards and Technology või NIST.

Windowsi seade vastab USA valitsuse FIPS 140 standardile. Kui see on lubatud, siis nõuab see, et Windows kasutab ainult FIPS-kinnitatud krüpteerimisskeeme ja soovitab rakendustel seda teha.

"FIPS režiim" ei muuda Windowsi turvalisemaks. See lihtsalt blokeerib juurdepääsu uuematele krüptograafia skeemidele, mis ei ole FIPS-valideeritud. See tähendab, et ta ei saa kasutada uusi krüpteerimisskeeme ega kiiremaid samu krüpteerimisskeeme. Teisisõnu, see muudab teie arvuti aeglasemaks, vähem funktsionaalseks ja väidetavalt vähem turvaline.

Kuidas Windows käitub erinevalt, kui lubate selle seadistuse

Microsoft selgitab, mida see seade tegelikult blogipostituses "Miks me ei soovita" FIPS Mode "enam" soovitab. Soovitame teil kasutada FIPS-i režiimi ainult siis, kui teil seda vaja on. Näiteks kui kasutate USA valitsuse arvutit, peaks see arvutis olema lubatud FIPS-režiim vastavalt valitsuse enda eeskirjadele. Puudub tõeline juhtum, kus soovite seda oma personaalarvutis lubada, kui te ei katsetanud, kuidas teie tarkvara käitub USA valitsuse arvutitega, millel on see seade lubatud.

See seade teeb Windowsile ise kaks asju. See sunnib Windowsi ja Windowsi teenuseid kasutama ainult FIPS-valideeritud krüptograafiat. Näiteks Windowsi sisse ehitatud Schanneli teenus ei tööta vanemate SSL 2.0- ja 3.0-protokollidega ja selle jaoks on vaja vähemalt TLS 1.0.

Microsoft. NET-raamistik blokeerib ka juurdepääsu algoritmidele, mis ei ole FIPS-valideeritud..NET-raamistik pakub enamus krüptograafia algoritme mitut erinevat algoritmi, ja kõik need pole isegi kinnitamiseks esitatud. Näiteks märgib Microsoft, et. NET raamistikus on kolm erinevat SHA256 räsimisalgoritmi versiooni. Kiireimat ei ole kinnitamiseks esitatud, kuid see peaks olema sama turvaline. Nii võimaldab FIPS-režiim kas katkestada. NET-rakendusi, mis kasutavad tõhusamat algoritmi või sunnivad neid kasutama vähem efektiivset algoritmi ja olema aeglasemad.

Peale nende kahe asja, võimaldades FIPS-i režiimis soovitada rakendusi, mida nad kasutavad ka ainult FIPS poolt kinnitatud krüpteerimiseks. Kuid see ei pane midagi muud. Traditsioonilised Windowsi töölauarakendused saavad valida soovitud krüpteerimis-koodi - isegi teravalt haavatavaks krüpteerimiseks või üldse krüpteerimata. FIPS-režiim ei tee teistele rakendustele midagi muud, kui nad ei järgi seda sätet.

Kuidas FIPS-režiimi keelata( või lubada, kui seda on vaja)

Sa ei tohiks seda sätet lubada, kui te ei kasuta valitsemissüsteemi arvutit ja on sunnitud seda tegema. Kui lubate selle seade, võivad mõni tarbijarakendus tegelikult paluda teil FIPS-režiimi keelata, et need saaksid korralikult toimida.

Kui peate FIPS-i režiimi lubama või keelama - võib-olla olete pärast selle lubamist veateate näinud, peate proovima, kuidas teie tarkvara käitub arvutis, kui FIPS-režiim on lubatud või kui kasutate valitsuse arvutit japeavad seda lubama - seda saate teha mitmel viisil. FIPS-režiimi saab lubada ainult siis, kui see on ühendatud kindlale võrgule või alati kogu süsteemi hõlmava seadistuse kaudu.

FIPS-režiimi lubamiseks ainult siis, kui see on ühendatud kindlale võrgule, toimige järgmiselt:

  1. Avage juhtpaneeli aken.
  2. Klõpsake jaotise Võrk ja Internet all võrgu olek ja ülesanded.
  3. Klõpsake nuppu "Muuda adapteri seadeid".
  4. Paremklõpsake võrku, kuhu soovite FIPSi lubada, ja valige "Olek".
  5. Klõpsake Wi-Fi oleku aknas nuppu "Wireless Properties".
  6. Klõpsake vahekaardil "Turvalisus" võrguvariantide aknas.
  7. Klõpsake nuppu "Täpsemad seaded".
  8. Lülitage sisse valik "Enable Federal Information Processing Standards( FIPS) vastavus sellele võrgule" 802.11 seadistustes.

Seda sätet saab grupipoliitika redaktoris muuta kogu süsteemi ulatuses. See tööriist on saadaval ainult Windowsi, mitte kodumaise versioonide professionaalsetes, ettevõtlus- ja haridusversioonides. Selle tööriista muutmiseks võite kasutada kohaliku grupipoliitika toimetajat ainult siis, kui olete arvutis, mis ei ole ühendatud domeeniga, mis haldab teie arvuti grupipoliitika seadeid. Kui teie arvuti on domeeniga ühendatud ja teie grupi eeskirjade seadeid haldab teie organisatsiooni tsentraalselt, ei saa te seda ise muuta. Selle seade muutmine rühmapoliitikas:

  1. Vajuta Windowsi klahvi + R, et avada dialoogiaken.
  2. Tippige "gpedit.msc" dialoogiaknasse Run( ilma hinnapakkumisteta) ja vajutage sisestusklahvi.
  3. Liikuge rühmapoliitika redaktori valikule "Arvuti konfiguratsioon \ Windowsi seaded \ Turvaseaded \ Kohalikud poliitikad \ Turvalisusvalikud".
  4. Leidke parempoolses paanis seade "Süsteem krüptograafia: kasuta FIPS-i ühilduvate algoritmide krüptimiseks, räsi ja allkirjastamiseks" ja topeltklõpsake seda.
  5. Määrake säte "Disabled" ja klõpsake "OK".
  6. Taaskäivitage arvuti.

Windowsi põhiversioonidel saate FIPSi sätte veel registrisätte abil lubada või keelata. Et kontrollida, kas FIPS on registris lubatud või keelatud, järgige järgmisi samme:

  1. Vajutage Windowsi klahvi + R, et avada dialoogiaken.
  2. Tippige "regedit" dialoogiaknasse Run( ilma jutumärkideta) ja vajutage sisestusklahvi.
  3. Liikuge "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
  4. Vaadake parema paani väärtust "Enabled".Kui see on seatud väärtuseks "0", on FIPS-režiim keelatud. Kui see on seatud "1", on FIPS režiim lubatud. Seadistuse muutmiseks topeltklõpsake väärtust "Enabled" ja määrake see kas "0" või "1".
  5. Taaskäivitage arvuti.

Tänu @SwiftOnSecurity Twitterile selle postituse inspireerimise eest!