De ce nu ar trebui să activați criptarea "FIPS-compliant" pe Windows

Windows are o setare ascunsă care va permite numai criptarea conformă cu standardul "FIPS-compliant" certificată de guvern. Poate suna ca o modalitate de a spori securitatea PC-ului, dar nu este. Nu trebuie să activați această setare decât dacă lucrați în guvern sau trebuie să testați modul în care software-ul se va comporta pe PC-uri guvernamentale.

Acest tweak se potrivește chiar alături de alte mituri inutile de tweaking Windows. Dacă ați dat peste această setare în Windows sau ați văzut-o menționată în altă parte, nu o activați. Dacă ați activat-o deja fără motiv, utilizați pașii de mai jos pentru a dezactiva modul "FIPS".

Ce este criptarea compatibilă cu FIPS?

FIPS înseamnă standarde federale de procesare a informațiilor. Este un set de standarde guvernamentale care definesc modul în care anumite lucruri sunt folosite în guvern - de exemplu, algoritmi de criptare. FIPS definește anumite metode specifice de criptare care pot fi utilizate, precum și metode de generare a cheilor de criptare. Este publicat de Institutul Național de Standarde și Tehnologie sau NIST.

Setarea în Windows respectă standardul FIPS 140 al guvernului SUA.Atunci când este activată, Windows forțează să utilizeze numai scheme de criptare validate de FIPS și recomandă aplicațiilor să facă acest lucru, de asemenea. Modul

"FIPS" nu face Windows mai sigur. Acesta blochează accesul la schemele de criptografie mai noi care nu au fost validate de FIPS.Asta inseamna ca nu va putea folosi noile scheme de criptare sau metode mai rapide de utilizare a acelorasi scheme de criptare. Cu alte cuvinte, face ca computerul dvs. să fie mai lent, mai puțin funcțional și probabil sigur mai puțin sigur.

Modul în care Windows se comportă diferit dacă activați această setare

Microsoft explică ce face această setare într-un post pe blog intitulat "De ce nu recomandăm" modul FIPS "Anymore". Microsoft vă recomandă doar să utilizați modul FIPS dacă trebuie. De exemplu, dacă utilizați un computer guvernamental din SUA, computerul respectiv trebuie să aibă "modul FIPS" activat în conformitate cu reglementările proprii ale guvernului. Nu există nici un caz real în care doriți să activați acest lucru pe propriul calculator personal - cu excepția cazului în care ați testa modul în care software-ul dvs. se comportă pe computerele guvernamentale din SUA cu această setare activată.

Această setare face două lucruri în sine Windows.Își obligă serviciile Windows și Windows să utilizeze numai criptografia validată de FIPS.De exemplu, serviciul Schannel încorporat în Windows nu va funcționa cu protocoalele mai vechi SSL 2.0 și 3.0 și va necesita cel puțin TLS 1.0.

cadrul. NET al Microsoft va bloca, de asemenea, accesul la algoritmi care nu sunt validați de FIPS.Cadrul. NET oferă mai mulți algoritmi diferiți pentru majoritatea algoritmilor de criptografie și nu toți au fost supuși chiar validării. De exemplu, Microsoft constată că există trei versiuni diferite ale algoritmului de hash SHA256 în cadrul. NET.Cea mai rapidă nu a fost depusă pentru validare, dar ar trebui să fie la fel de sigură.Deci, activarea modului FIPS va sparge fie aplicațiile. NET care utilizează algoritmul mai eficient, fie le obligă să folosească algoritmul mai puțin eficient și să fie mai lent.

Pe lângă aceste două lucruri, activarea modului FIPS recomandă aplicațiilor că utilizează și criptarea validată de FIPS.Dar nu forțează nimic altceva. Aplicațiile desktop Windows tradiționale pot alege să implementeze orice cod de criptare pe care îl doresc - chiar și criptare în mod oribil vulnerabil - sau nici o criptare deloc. Modul FIPS nu face nimic pentru alte aplicații, cu excepția cazului în care respectă această setare.

Cum să dezactivați modul FIPS( sau activați-l, dacă trebuie)

Nu trebuie să activați această setare decât dacă folosiți un computer guvernamental și sunteți forțat să.Dacă activați această setare, unele aplicații pentru consumatori vă pot cere să dezactivați modul FIPS pentru ca acestea să funcționeze corect.

Dacă trebuie să activați sau să dezactivați modul FIPS - poate că ați văzut un mesaj de eroare după ce l-ați activat, trebuie să testați modul în care software-ul dvs. se va comporta pe un computer cu modul FIPS activat sau dacă utilizați un computer guvernamentaltrebuie să o activați - puteți face acest lucru în mai multe moduri. Modul FIPS poate fi activat numai atunci când este conectat la o anumită rețea sau printr-o setare la nivel de sistem care se va aplica întotdeauna.

Pentru a activa modul FIPS numai când este conectat la o anumită rețea, efectuați pașii următori:

1. Deschideți fereastra Panoului de control.
2. Faceți clic pe "Vizualizați starea și sarcinile rețelei" din Rețea și Internet.
3. Faceți clic pe "Modificați setările adaptorului".
4. Faceți clic dreapta pe rețeaua pe care doriți să activați FIPS pentru și selectați "Status".
5. Faceți clic pe butonul "Proprietăți wireless" din fereastra Status Wi-Fi.
6. Faceți clic pe fila "Securitate" din fereastra de proprietăți a rețelei.
7. Faceți clic pe butonul "Setări avansate".
8. Comutați opțiunea "Acceptarea standardelor federale de procesare a informațiilor( FIPS) pentru această rețea" la setările 802.11.

Această setare poate fi de asemenea modificată în întregul sistem în editorul de politici de grup. Acest instrument este disponibil numai în versiunile Professional, Enterprise și Education pentru versiunile Windows-non Home. Puteți utiliza doar editorul de politici locale pentru grupuri pentru a schimba acest instrument dacă vă aflați pe un computer care nu este alăturat unui domeniu care vă gestionează setările de politică de grup ale computerului. Dacă computerul dvs. este asociat cu un domeniu și setările politicii de grup sunt gestionate centralizat de organizația dvs., nu veți putea să-l modificați singur. Pentru a schimba această setare în Politica de grup:

1. Apăsați tasta Windows + R pentru a deschide caseta de dialog Executare.
2. Tastați "gpedit.msc" în caseta de dialog Run( fără citate) și apăsați Enter.
3. Navigați la "Configurația computerului \ Setări Windows \ Setări de securitate \ Politici locale \ Opțiuni de securitate" din Editorul politicilor de grup.
4. Localizați "Criptografia de sistem: utilizați algoritmi compatibili cu FIPS pentru criptare, hashing și semnare" în panoul din dreapta și faceți dublu clic pe el.
5. Setați setarea la "Dezactivat" și faceți clic pe "OK".
6. Reporniți computerul.

În versiunile de bază Windows, puteți activa sau dezactiva setarea FIPS printr-o setare de registry. Pentru a verifica dacă FIPS este activat sau dezactivat în registry, urmați pașii următori:

1. Apăsați tasta Windows + R pentru a deschide caseta de dialog Run.
2. Introduceți "regedit" în caseta de dialog Run( fără ghilimele) și apăsați Enter.
3. Navigați la "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy".
4. Uitați-vă la valoarea "Enabled" din panoul din dreapta. Dacă este setat la "0", modul FIPS este dezactivat. Dacă este setat la "1", modul FIPS este activat. Pentru a schimba setarea, faceți dublu clic pe valoarea "Enabled" și setați-o fie la "0", fie la "1".
5. Reporniți computerul.

Vă mulțumim pentru @SwiftOnSecurity pe Twitter pentru a inspira acest post!