2Aug

Zašto ne biste trebali omogućiti šifriranje "FIPS sukladno" u sustavu Windows

Windows ima skrivenu postavku koja će omogućiti samo šifriranje s "FIPS-certificiranim" državnim certifikatom. Internet svibanj zvuči kao način za pojačati svoje računalo sigurnosti, ali to nije. Ne biste trebali omogućiti ovu postavku osim ako ne radite u vladi ili trebate testirati kako će se softver ponašati na državnim računalima.

Ovaj ugađanje se uklapa u desno pored ostalih beskorisnih Windows mitinga. Ako ste naišli na ovu postavku u sustavu Windows ili ste ga vidjeli negdje drugdje, nemojte je omogućiti. Ako ste ga već omogućili bez dobrog razloga, upotrijebite korake u nastavku da biste onemogućili "FIPS način rada".

Što je FIPS kodno šifriranje?

FIPS označava "Federal Information Processing Standards". To je skup vladinih standarda koji određuju kako se određene stvari koriste u vladi - na primjer, algoritmi za enkripciju. FIPS definira određene metode šifriranja koje se mogu koristiti, kao i metode za generiranje ključeva za enkripciju. Objavio ga je Nacionalni institut za standarde i tehnologiju, ili NIST.

instagram story viewer

Postavka u sustavu Windows sukladna je FIPS 140 standardu američke vlade. Kada je omogućen, prisiljava Windows da koristi samo FIPS sheme šifriranja i savjetuje aplikacijama da to učine.

"FIPS mod" ne čini Windows sigurnijim. Ona samo blokira pristup novijim shemama kriptografije koji nisu validirani s FIPSom. To znači da neće moći koristiti nove sheme enkripcije ili brže načine korištenja istih shema enkripcije. Drugim riječima, čini vaše računalo sporije, manje funkcionalno i vjerojatno manje siguran.

Kako se Windows ponaša drugačije ako omogućite tu postavku

Microsoft objašnjava što ova postavka zapravo čini u postu na blogu "Zašto ne preporučujemo" FIPS modus "Više". Microsoft preporučuje da upotrijebite FIPS mod ako to morate. Na primjer, ako upotrebljavate računalo američke vlade, računalo bi trebalo omogućiti "FIPS način" prema vlastitim propisima. Nema stvarnog slučaja gdje biste to željeli omogućiti na osobnom računalu - osim ako niste ispitivali kako se vaš softver ponaša na državnim računalima SAD-a s ovom postavom omogućenom.

Ova postavka čini dvije stvari samom Windowsu. To prisiljava Windows i Windows usluge da koriste samo FIPS-ovjereni kriptografija. Na primjer, usluga Schannel ugrađena u sustav Windows neće raditi sa starijim SSL 2.0 i 3.0 protokolima, a umjesto toga će zahtijevati barem TLS 1.0.

Microsoftov. NET okvir također će blokirati pristup algoritmima koji nisu FIPS potvrđeni..NET okvir nudi nekoliko različitih algoritama za većinu kriptografskih algoritama, a nisu svi njih čak i poslani na provjeru valjanosti. Kao primjer, Microsoft primjećuje da postoje tri različite inačice SHA256 hashing algoritma u. NET okviru. Najbrži se nije poslao za provjeru valjanosti, ali trebao bi biti jednako siguran. Dakle, omogućavanje FIPS modusa ili će razbiti. NET aplikacije koje koriste učinkovitije algoritam ili ih prisiliti da koriste manje učinkovito algoritam i biti sporije.

Osim ovih dviju stvari, omogućavanje FIPS modu preporučuje aplikacijama da koriste samo FIPS-ovjerenu enkripciju. Ali ništa ne tjera ništa. Tradicionalne aplikacije za stolna računala u sustavu Windows mogu odabrati primjenu koda za šifriranje koje žele - čak i užasno ranjive enkripcije - ili bez šifriranja. FIPS mod ne čini ništa drugoj aplikaciji osim ako se ne pridržavaju ove postavke.

Kako onemogućiti FIPS mod( ili omogućiti, ako imate)

Ne biste trebali omogućiti ovu postavku osim ako koristite državno računalo i prisiljeni. Ako omogućite tu postavku, neke potrošačke aplikacije možda će vas tražiti da onemogućite FIPS način rada kako biste mogli ispravno funkcionirati.

Ako trebate omogućiti ili onemogućiti FIPS mod - možda ste vidjeli poruku o pogrešci nakon što ste ga omogućili, morate testirati kako će se vaš softver ponašati na računalu s omogućenim FIPS načinom rada ili ako koristite državno računalo iMorate ga omogućiti - to možete učiniti na nekoliko načina. FIPS mod može se omogućiti samo kada je povezan s određenom mrežom ili putem postavki na razini sustava koja će se uvijek primjenjivati.

Da biste omogućili FIPS mod samo kada ste spojeni na određenu mrežu, učinite sljedeće:

  1. Otvorite prozor upravljačke ploče.
  2. Kliknite "Prikaz statusa mreže i zadataka" u odjeljku Mreža i internet.
  3. Kliknite "Promjena postavki prilagodnika".
  4. Desnom tipkom miša kliknite mrežu koju želite omogućiti FIPS i odaberite "Status".
  5. Kliknite gumb "Wireless Properties" u prozoru Wi-Fi Status.
  6. Kliknite karticu "Sigurnost" u prozoru mrežnih svojstava.
  7. Kliknite gumb "Napredne postavke".
  8. Uključite opciju "Omogući usklađivanje federalnih standarda obrade informacija( FIPS) s ovom mrežom" pod postavkama 802.11.

Ova postavka se također može promijeniti u cijelom sustavu u uređivaču pravila grupe. Ovaj je alat dostupan samo na verzijama sustava Windows, a ne za kućnu inačicu Profesionalno, Enterprise i Obrazovanje. Koristite lokalni urednik pravila grupe za promjenu ovog alata ako ste na računalu koje nije pridruženo domeni koja upravlja postavkama pravila grupe vašeg računala za vas. Ako je vaše računalo povezano s domenom, a postavke pravila grupe centralno se upravlja vašom organizacijom, nećete ga moći sami promijeniti. Da biste promijenili tu postavku u Pravilima grupe:

  1. Pritisnite Windows tipku + R da biste otvorili dijaloški okvir Run.
  2. Upišite "gpedit.msc" u dijaloški okvir Run( bez navodnika) i pritisnite Enter.
  3. Prijeđite na "Computer Configuration \ Postavke sustava Windows \ Security Settings \ Local Policies \ Security Options" u Editoru za pravila grupe.
  4. Pronađite "sustav kriptografije: Koristite FIPS kompatibilne algoritme za šifriranje, hashing i potpisivanje" postavke u desnom oknu i dvaput kliknite na njega.
  5. Postavite postavku na "Disabled" i kliknite "OK".
  6. Ponovo pokrenite računalo.

Na kućnim verzijama sustava Windows još uvijek možete omogućiti ili onemogućiti postavku FIPS putem postavke registra. Da biste provjerili je li FIPS omogućen ili onemogućen u registru, slijedite ove korake:

  1. Pritisnite Windows tipku + R da biste otvorili dijaloški okvir Run.
  2. Upišite "regedit" u dijaloški okvir Run( bez navodnika) i pritisnite Enter.
  3. Idite na "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
  4. Pogledajte vrijednost "Omogućeno" u desnom oknu. Ako je postavljen na "0", onemogućen je način FIPS.Ako je postavljeno na "1", omogućen je FIPS mod. Da biste promijenili postavku, dvokliknite vrijednost "Enabled" i postavite ga na "0" ili "1".
  5. Ponovno pokrenite računalo.

Zahvaljujući @SwiftOnSecurity na Twitteru za nadahnuće ovog posta!