2Aug

Dlaczego nie należy włączać szyfrowania "zgodnego z FIPS" w systemie Windows

Windows ma ukryte ustawienie, które umożliwi tylko certyfikowane przez rząd szyfrowanie "zgodne z FIPS".To może brzmieć jak sposób na zwiększenie bezpieczeństwa twojego komputera, ale tak nie jest. Nie należy włączać tego ustawienia, chyba że pracujesz w administracji rządowej lub musisz sprawdzić, jak oprogramowanie będzie się zachowywać na komputerach rządowych.

Ta modyfikacja pasuje dokładnie do innych, bezużytecznych masek do podkręcania systemu Windows. Jeśli natknąłeś się na to ustawienie w systemie Windows lub zobaczyłeś je w innym miejscu, nie włączaj go. Jeśli masz już włączony bez ważnego powodu, wykonaj poniższe kroki, aby wyłączyć "tryb FIPS".

Co to jest szyfrowanie zgodne z FIPS?

FIPS oznacza "Federalne standardy przetwarzania informacji". Jest to zestaw standardów rządowych definiujących, w jaki sposób pewne rzeczy są używane w rządzie - na przykład algorytmy szyfrowania. FIPS definiuje pewne określone metody szyfrowania, które mogą być używane, a także metody generowania kluczy szyfrujących. Jest publikowany przez National Institute of Standards and Technology, lub NIST.

Ustawienie w Windows jest zgodne ze standardem FIPS 140 rządu USA.Gdy jest włączony, zmusza system Windows do korzystania tylko ze schematów szyfrowania zatwierdzonych przez FIPS i doradza również aplikacjom, aby to zrobiły.

"Tryb FIPS" nie czyni systemu Windows bezpieczniejszym. Po prostu blokuje dostęp do nowszych schematów kryptografii, które nie zostały zatwierdzone przez FIPS.Oznacza to, że nie będzie mógł korzystać z nowych schematów szyfrowania lub szybszych sposobów korzystania z tych samych schematów szyfrowania. Innymi słowy, czyni komputer wolniejszym, mniej funkcjonalnym i prawdopodobnie mniej bezpiecznym .

Sposób działania systemu Windows w inny sposób Po włączeniu tego ustawienia

Firma Microsoft wyjaśnia, co to ustawienie właściwie robi w poście na blogu zatytułowanym "Dlaczego nie zalecamy" Tryb FIPS "." Firma Microsoft zaleca tylko stosowanie trybu FIPS, jeśli jest to konieczne. Na przykład, jeśli korzystasz z komputera rządu USA, komputer ten ma mieć włączony tryb "FIPS" zgodnie z własnymi przepisami rządowymi. Nie ma prawdziwego przypadku, gdybyś chciał włączyć to na swoim własnym komputerze - chyba że testujesz, jak twoje oprogramowanie zachowuje się na amerykańskich komputerach rządowych z włączonym tym ustawieniem.

To ustawienie powoduje dwie rzeczy dla samego systemu Windows. Zmusza usługi Windows i Windows do korzystania tylko z kryptografii zatwierdzonej przez FIPS.Na przykład usługa Schannel wbudowana w system Windows nie będzie działać ze starszymi protokołami SSL 2.0 i 3.0 i będzie wymagać co najmniej wersji TLS 1.0.

Platforma Microsoft. NET blokuje również dostęp do algorytmów, które nie są sprawdzane przez FIPS.Platforma. NET oferuje kilka różnych algorytmów dla większości algorytmów kryptograficznych i nie wszystkie z nich zostały zgłoszone do walidacji. Na przykład Microsoft zauważa, że ​​istnieją trzy różne wersje algorytmu mieszającego SHA256 w środowisku. NET.Najszybszy nie został przesłany do sprawdzenia poprawności, ale powinien być równie bezpieczny. Włączenie trybu FIPS spowoduje przerwanie aplikacji. NET korzystających z bardziej wydajnego algorytmu lub zmusi je do korzystania z mniej wydajnego algorytmu i będzie wolniejsze.

Oprócz tych dwóch rzeczy, włączenie trybu FIPS zaleca także aplikacjom, w których używają tylko szyfrowania zatwierdzonego przez FIPS.Ale to nie wymusza niczego innego. Tradycyjne aplikacje pulpitu Windows mogą wybrać dowolny kod szyfrowania, który chce - nawet strasznie podatne na szyfrowanie - lub w ogóle nie szyfrować.Tryb FIPS nie robi nic dla innych aplikacji, chyba że stosują się do tego ustawienia.

Jak wyłączyć tryb FIPS( lub włączyć go, jeśli musisz)

Nie powinieneś włączać tego ustawienia, chyba że używasz komputera rządowego i jesteś do tego zmuszony. Jeśli włączysz to ustawienie, niektóre aplikacje konsumenckie mogą poprosić o wyłączenie trybu FIPS, aby mogły działać poprawnie.

Jeśli musisz włączyć lub wyłączyć tryb FIPS - być może po wyświetleniu komunikatu o błędzie pojawił się komunikat o błędzie, musisz sprawdzić, jak będzie działać na komputerze z włączonym trybem FIPS lub korzystasz z komputera rządowego imusisz go włączyć - możesz to zrobić na kilka sposobów. Tryb FIPS można włączyć tylko po podłączeniu do określonej sieci lub przy użyciu ogólnosystemowego ustawienia, które będzie zawsze obowiązywało.

Aby włączyć tryb FIPS tylko po podłączeniu do określonej sieci, wykonaj następujące czynności:

  1. Otwórz okno Panelu sterowania.
  2. Kliknij "Wyświetl stan sieci i zadania" w obszarze Sieć i Internet.
  3. Kliknij "Zmień ustawienia adaptera".
  4. Kliknij prawym przyciskiem myszy sieć, dla której chcesz włączyć FIPS, i wybierz "Status".
  5. Kliknij przycisk "Właściwości sieci bezprzewodowej" w oknie Stan Wi-Fi.
  6. Kliknij zakładkę "Zabezpieczenia" w oknie właściwości sieci.
  7. Kliknij przycisk "Ustawienia zaawansowane".
  8. Przełącz opcję "Włącz zgodność z federacyjnymi standardami przetwarzania informacji( FIPS) dla tej sieci" w ustawieniach 802.11.

To ustawienie można również zmienić w całym systemie w edytorze zasad grupy. To narzędzie jest dostępne tylko w wersjach systemu Windows - nie w wersji domowej - Professional, Enterprise i Education. Do zmiany tego narzędzia można użyć tylko lokalnego edytora zasad grupy, jeśli znajdujesz się na komputerze, który nie jest przyłączony do domeny zarządzającej ustawieniami zasad grupy komputera. Jeśli komputer jest połączony z domeną, a ustawienia zasad grupy są centralnie zarządzane przez organizację, nie można jej zmienić samodzielnie. Aby zmienić to ustawienie w zasadach grupy:

  1. Naciśnij Klawisz Windows + R, aby otworzyć okno dialogowe Uruchom.
  2. Wpisz "gpedit.msc" w oknie dialogowym Uruchom( bez cudzysłowów) i naciśnij Enter.
  3. Przejdź do "Konfiguracja komputera \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Zasady lokalne \ Opcje bezpieczeństwa" w Edytorze zasad grupy.
  4. Zlokalizuj "Kryptografię systemu: Użyj algorytmu zgodnego z FIPS dla szyfrowania, mieszania i podpisywania" w prawym okienku i kliknij go dwukrotnie.
  5. Ustaw ustawienie na "Wyłączone" i kliknij "OK".
  6. Uruchom ponownie komputer.

W domowych wersjach systemu Windows nadal można włączyć lub wyłączyć ustawienie FIPS za pomocą ustawienia rejestru. Aby sprawdzić, czy funkcja FIPS jest włączona lub wyłączona w rejestrze, wykonaj następujące kroki:

  1. Naciśnij Klawisz Windows + R, aby otworzyć okno dialogowe Uruchom.
  2. Wpisz "regedit" w oknie dialogowym Uruchom( bez cudzysłowów) i naciśnij Enter.
  3. Przejdź do "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
  4. Spójrz na wartość "Enabled" w prawym panelu. Jeśli jest ustawiony na "0", tryb FIPS jest wyłączony. Jeśli jest ustawiony na "1", tryb FIPS jest włączony. Aby zmienić ustawienie, kliknij dwukrotnie wartość "Enabled" i ustaw ją na "0" lub "1".
  5. Uruchom ponownie komputer.

Dzięki @SwiftOnSecurity na Twitterze inspirujesz ten post!