2Aug

Zakaj ne bi smeli omogočiti šifriranja »FIPS-compliant« v operacijskem sistemu Windows

Windows ima skrito nastavitev, ki omogoča le šifriranje, skladno s standardom FIPS.Morda zveni kot način za povečanje varnosti vašega računalnika, vendar to ni. Te nastavitve ne bi smeli omogočiti, če ne delate v vladi ali morate preizkusiti, kako se bo programska oprema obnašala na vladnih osebnih računalnikih.

Ta poteg se prilega desno poleg drugih neuporabnih miz za spreminjanje sistema Windows.Če ste naleteli na to nastavitev v sistemu Windows ali videli, da je omenjeno drugje, ga ne omogočite.Če ste to že omogočili brez dobrega razloga, uporabite spodnja navodila, da onemogočite "način FIPS".

Kaj je šifriranje skladno z FIPS?

FIPS pomeni "zvezne standarde obdelave informacij". To je niz vladnih standardov, ki določajo, kako se v vladi uporabljajo določene stvari, na primer algoritmi za šifriranje. FIPS definira določene specifične metode šifriranja, ki jih je mogoče uporabiti, ter metode za generiranje ključev za šifriranje. Objavlja ga Nacionalni inštitut za standarde in tehnologijo ali NIST.

Nastavitev v operacijskem sistemu Windows ustreza standardu FIPS 140 ZDA.Ko je to omogočeno, Windows prisili, da uporablja samo sheme šifriranja, potrjena s FIPS, in svetuje tudi aplikacijam.

"FIPS način" Windows ne zagotavlja več varnosti. Pravkar blokira dostop do novejših kriptografskih shem, ki niso bile potrjene v FIPS.To pomeni, da ne bo mogel uporabiti novih shem šifriranja ali hitrejših načinov uporabe istih shem šifriranja. Z drugimi besedami, to naredi vaš računalnik počasnejši, manj funkcionalen in verjetno manj varen.

Kako se Windows drugače odziva, če omogočite to nastavitev

Microsoft razlaga, kaj ta nastavitev dejansko počne v objavi v spletnem dnevniku z naslovom "Zakaj ne priporočamo" Mode FIPS "Anymore". Microsoft priporoča, da uporabite samo način FIPS, če ga imate.Če na primer uporabljate računalniški računalnik v ZDA, mora ta računalnik omogočiti "način FIPS" v skladu z vladnimi predpisi. Ni resničnega primera, če želite to omogočiti na svojem osebnem računalniku - razen če ste preizkusili, kako se vaša programska oprema obnaša v računalniških računalnikih v ZDA, s tem omogočeno nastavitvijo.

Ta nastavitev naredi dve stvari v okolju Windows. Sile storitve Windows in Windows prisili k uporabi samo FIPS-potrjene kriptografije. Storitev Schannel, vgrajena v operacijski sistem Windows, na primer ne bo delovala s starejšimi SSL 2.0 in 3.0 protokoli in bo zahtevala vsaj TLS 1.0.

Okvir. NET. Microsoft tudi blokira dostop do algoritmov, ki niso validirani za FIPS.Okvir. NET ponuja več različnih algoritmov za večino kriptografskih algoritmov, vsi pa niso bili predloženi za validacijo. Kot primer Microsoft ugotavlja, da obstajajo tri različice SHA256 hashing algoritma v okviru. NET.Najhitrejši ni bil predložen za potrjevanje, ampak mora biti prav tako varen. Omogočanje FIPS načina bo tako zlomilo. NET aplikacije, ki uporabljajo bolj učinkovit algoritem ali jih prisili, da uporabljajo manj učinkovit algoritem in počasneje.

Poleg teh dveh stvari omogoči FIPS načinu priporočam aplikacijam, ki jih uporabljajo samo FIPS-potrjeno šifriranje. Toda to ne prisili nič drugega. Tradicionalne namizne aplikacije Windows se lahko odločijo za izvajanje katere koli šifrirane kode, ki jo želijo - celo grozljivo ranljivega šifriranja - ali sploh ne šifriranja. Način FIPS ne naredi ničesar v drugih aplikacijah, če ne izpolnjujejo te nastavitve.

Kako onemogočiti način FIPS( ali omogočiti, če ga imate)

To nastavitev ne bi smeli omogočiti, če uporabljate državni računalnik in ste prisiljeni.Če omogočite to nastavitev, lahko nekatere potrošniške aplikacije dejansko zahtevajo, da onemogočite način FIPS, da bodo lahko pravilno delovali.

Če morate omogočiti ali onemogočiti način FIPS-morda ste videli sporočilo o napaki, ko ste ga omogočili, morate preizkusiti, kako se bo vaša programska oprema obnašala v računalniku s FIPS načinom, ali če uporabljate državni računalnik inmorajo to omogočiti - to lahko storite na več načinov. FIPS način je mogoče omogočiti samo, če je priključen na določeno omrežje ali preko celotne sistemske nastavitve, ki se vedno uporablja.

Če želite omogočiti FIPS način le, če ste povezani v določeno omrežje, izvedite naslednje korake:

  1. Odprite okno nadzorne plošče.
  2. Kliknite »Prikaži stanje omrežja in opravila« v razdelku Omrežje in internet.
  3. Kliknite "Spremeni nastavitve za adapter."
  4. Z desno miškino tipko kliknite omrežje, za katerega želite omogočiti FIPS, in izberite "Status."
  5. Kliknite gumb "Lastnosti brezžične povezave" v oknu Wi-Fi Status.
  6. Kliknite jeziček "Varnost" v oknu omrežnih lastnosti.
  7. Kliknite gumb »Napredne nastavitve«.
  8. Vključite možnost »Omogoči skladnost z zveznimi standardi obdelave podatkov( FIPS) za to omrežje« pod nastavitvami 802.11.

To nastavitev lahko tudi spremenite v celotnem sistemu v urejevalniku pravilnika skupine. To orodje je na voljo samo v različicah Professional, Enterprise in Education različice Windows-not Home. Urejevalnik pravilnikov lokalnih skupin lahko uporabite samo, če želite spremeniti to orodje, če ste v računalniku, ki ni povezan z domeno, ki upravlja z nastavitvami pravilnika skupine računalnika za vas.Če je vaš računalnik združen z domeno in nastavitve pravilnika skupine centralno vodijo vaša organizacija, sami ne boste mogli spremeniti.Če želite spremeniti to nastavitev v pravilniku skupine:

  1. Pritisnite Windows Key + R, da odprete pogovorno okno Zaženi.
  2. V pogovorno okno Zaženi( brez ponudb) vnesite »gpedit.msc« in pritisnite Enter.
  3. Odprite »Konfiguracija računalnika« \ Nastavitve sistema Windows \ Varnostne nastavitve \ Lokalne pravilnike \ Varnostne možnosti «v urejevalniku pravilnika skupine.
  4. V desnem podoknu poiščite »Sistemska kriptografija: uporabite FIPS skladne algoritme za šifriranje, hashing in podpisovanje« in jo dvokliknite.
  5. Nastavite nastavitev na "Disabled" in kliknite "OK."
  6. Znova zaženite računalnik.

Na domačih različicah sistema Windows lahko še vedno omogočite ali onemogočite nastavitev FIPS prek nastavitve registra.Če želite preveriti, ali je FIPS v registru omogočeno ali onemogočeno, sledite naslednjim korakom:

  1. Pritisnite Windows Key + R, da odprete pogovorno okno Zaženi.
  2. Vnesite "regedit" v pogovorno okno Run( brez navodil) in pritisnite Enter.
  3. Pomaknite se do »HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \«.
  4. Oglejte si vrednost »Omogočeno« v desnem podoknu.Če je nastavljen na »0«, je način FIPS onemogočen.Če je nastavljen na "1", je način FIPS vključen.Če želite spremeniti nastavitev, dvokliknite vrednost »Omogočeno« in jo nastavite na »0« ali »1«.
  5. Znova zaženite računalnik.

Zahvaljujoč @SwiftOnSecurity na Cvrkutati za navdihujoč to objavo!