2Aug

Prečo by ste nemali povoliť šifrovanie "FIPS-compliant" v systéme Windows

Windows má skryté nastavenie, ktoré povoľuje iba šifrovanie "FIPS-certified" certifikované vládou. Môže to znieť ako spôsob, ako zvýšiť bezpečnosť počítača, ale nie je. Toto nastavenie by ste nemali povoliť, pokiaľ nepracujete vo vláde alebo nepotrebujete testovať, ako sa softvér bude správať na vládnych počítačoch.

Toto vylepšenie sa hodí hneď vedľa ostatných zbytočných Windows mýtov. Ak ste narazili na toto nastavenie v systéme Windows alebo ho videli inde, nemali by ste ho povoliť.Ak ste ho už bez oprávneného dôvodu aktivovali, použite nižšie uvedené kroky na vypnutie režimu "FIPS".

Čo je šifrovanie v súlade s FIPS?

FIPS znamená "Federálne štandardy pre spracovanie informácií". Je to súbor vládnych noriem, ktoré určujú, ako sa vo vláde používajú určité veci - napríklad šifrovacie algoritmy. FIPS definuje určité špecifické metódy šifrovania, ktoré je možné použiť, ako aj metódy generovania šifrovacích kľúčov. Vydáva ho Národný inštitút noriem a technológií alebo NIST.

Nastavenie v systéme Windows je v súlade s normou americkej vlády FIPS 140.Keď je povolené, prinúti systém Windows používať iba schémy šifrovania, ktoré sú overené FIPS, a odporúča aplikáciám, aby tak urobili.

"Režim FIPS" nezabezpečuje väčšiu bezpečnosť systému Windows. Zablokuje prístup k novším schémam kryptografie, ktoré neboli overené FIPS.To znamená, že nebude môcť používať nové šifrovacie schémy alebo rýchlejšie spôsoby používania rovnakých šifrovacích schém. Inými slovami, robí váš počítač pomalší, menej funkčný a pravdepodobne menej bezpečný.

Ako sa Windows správa inak Ak povolíte toto nastavenie

Spoločnosť Microsoft vysvetľuje, čo toto nastavenie skutočne robí na blogovom blogu s názvom "Prečo neodporúčame" Režim FIPS "Anymore." Spoločnosť Microsoft odporúča používať režim FIPS len vtedy, keď to potrebujete. Napríklad, ak používate počítač s vládou USA, tento počítač by mal mať povolený režim "FIPS" podľa vlastných predpisov. Neexistuje žiadny skutočný prípad, kedy by ste to chceli povoliť vo vašom osobnom počítači - ak ste testovali, ako sa váš softvér správal na počítačoch s vládou USA s povoleným nastavením.

Toto nastavenie robí dve veci do samotného systému Windows. Núti služby Windows a Windows používať iba kryptografiu s validáciou FIPS.Napríklad služba Schannel zabudovaná do systému Windows nebude fungovať so staršími protokolmi SSL 2.0 a 3.0 a namiesto toho bude vyžadovať aspoň TLS 1.0.

Microsoft. NET Framework tiež zablokuje prístup k algoritmom, ktoré nie sú validované FIPS.Rámec. NET ponúka niekoľko rôznych algoritmov pre väčšinu kryptografických algoritmov a nie všetky boli dokonca predložené na validáciu. Napríklad spoločnosť Microsoft poznamenáva, že v rámci. NET existujú tri rôzne verzie algoritmu SHA256 hashing. Najrýchlejšie nebolo predložené na validáciu, ale malo by byť rovnako bezpečné.Takže umožnenie režimu FIPS buď rozbije. NET aplikácie, ktoré používajú efektívnejší algoritmus, alebo ich nútia používať menej efektívny algoritmus a byť pomalší.

Okrem týchto dvoch vecí umožňuje, aby režim FIPS odporúčal aplikáciám, ktoré používajú iba šifrovanie overené FIPS.Ale to nijako núti nič iné.Tradičné desktopové aplikácie Windows sa môžu rozhodnúť implementovať ľubovoľný šifrovací kód, ktorý chcú - dokonca aj strašne zraniteľné šifrovanie - alebo žiadne šifrovanie vôbec. Režim FIPS nerobí nič iným aplikáciám, ak nevyhovujú tomuto nastaveniu.

Ako zakázať režim FIPS( alebo ho povoľte, ak máte)

Toto nastavenie by ste nemali povoliť, ak nepoužívate vládny počítač a ste nútení.Ak povolíte toto nastavenie, niektoré spotrebiteľské aplikácie môžu skutočne požiadať o vypnutie režimu FIPS, aby mohli správne fungovať.

Ak potrebujete aktivovať alebo deaktivovať režim FIPS - možno ste po zapnutí zaplnili chybové hlásenie, musíte testovať, ako sa váš softvér bude správať v počítači so zapnutým režimom FIPS, alebo používate vládny počítač amusíte to povoliť - môžete to urobiť niekoľkými spôsobmi. Režim FIPS môže byť povolený iba vtedy, keď je pripojený k určitej sieti, alebo prostredníctvom nastavenia v celom systéme, ktoré bude vždy platiť.

Ak chcete povoliť režim FIPS iba vtedy, keď je pripojený k určitej sieti, vykonajte nasledujúce kroky:

  1. Otvorte okno ovládacieho panela.
  2. Kliknite na položku "Zobraziť sieťový stav a úlohy" v časti Sieť a internet.
  3. Kliknite na položku "Zmeniť nastavenia adaptéra".
  4. Kliknite pravým tlačidlom myši na sieť, ktorú chcete povoliť FIPS a vyberte položku "Status".
  5. Kliknite na tlačidlo "Wireless Properties" v okne Status Wi-Fi.
  6. Kliknite na kartu Zabezpečenie v okne vlastností siete.
  7. Kliknite na tlačidlo "Rozšírené nastavenia".
  8. Prepnite možnosť "Povolenie dodržiavania štandardov FIPS( Federal Information Processing Standards) pre túto sieť" v nastaveniach 802.11.

Toto nastavenie môže byť tiež zmenené v celom systéme v editore zásad skupiny. Tento nástroj je k dispozícii iba v verzii Windows, nie v domácnosti, v profesionálnych, podnikových a vzdelávacích verziách. Editor pravidiel lokálnej skupiny môžete použiť len na zmenu tohto nástroja, ak ste v počítači, ktorý nie je pripojený k doméne, ktorá pre vás spravuje nastavenia politiky skupiny. Ak je váš počítač pripojený k doméne a nastavenia zásad skupiny sú centrálne spravované vašou organizáciou, nebudete ju môcť zmeniť sami. Ak chcete zmeniť toto nastavenie v Zásadách skupiny:

  1. Stlačením klávesu Windows + R otvorte dialógové okno Spustiť.
  2. Zadajte reťazec "gpedit.msc" do dialógového okna Spustiť( bez úvodzoviek) a stlačte kláves Enter.
  3. Prejdite do "Konfigurácia počítača \ Nastavenia systému Windows \ Nastavenia zabezpečenia \ Miestne politiky \ Možnosti zabezpečenia" v editore Zásady skupiny.
  4. Vyhľadajte v pravom okne položku "Systémová kryptografia: použite algoritmy kompatibilné s FIPS na šifrovanie, hashovanie a podpisovanie" a dvakrát kliknite na ňu.
  5. Nastavte nastavenie na hodnotu "Disabled" a kliknite na "OK".
  6. Reštartujte počítač.

V domácich verziách systému Windows môžete stále povoliť alebo zakázať nastavenie FIPS prostredníctvom nastavenia databázy Registry. Ak chcete skontrolovať, či je služba FIPS povolená alebo zakázaná v registri, postupujte podľa nasledujúcich krokov:

  1. Stlačením klávesu Windows + R otvorte dialógové okno Spustiť.
  2. Zadajte reťazec "regedit" do dialógového okna Spustiť( bez úvodzoviek) a stlačte kláves Enter.
  3. Prejdite na položku "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
  4. Pozrite sa na hodnotu "Enabled" v pravej časti okna. Ak je nastavené na hodnotu "0", režim FIPS je deaktivovaný.Ak je nastavené na hodnotu "1", režim FIPS je zapnutý.Ak chcete zmeniť nastavenie, dvakrát kliknite na hodnotu "Enabled" a nastavte ju na hodnotu "0" alebo "1".
  5. Reštartujte počítač.

Vďaka @SwiftOnSecurity na Twitteri za inšpiráciu tohto príspevku!