Зашто не смијеш омогућити "ФИПС-цомплиант" шифрирање на Виндовсу

Виндовс има сакривену поставку која ће омогућити само шифрирање ФИПС-компатибилног сертификата за државу.Можда звучи као начин повећања сигурности вашег рачунара, али то није.Не бисте требали омогућити ову поставку осим ако радите у влади или требате тестирати како ће се софтвер понашати на владиним рачунарима.

Овај твеак се уклапа уз друге бескорисне Виндовс мијењане твеакинг.Ако сте налетели на ово подешавање у оперативном систему Виндовс или видели како је наведено другдје, немојте га омогућити.Ако сте то већ омогућили без доброг разлога, користите следеће кораке да бисте онемогућили "ФИПС моде".

Шта је ФИПС кодирање?

ФИПС означава "Федералне стандарде за обраду информација". То је сет владиних стандарда који дефинишу како се одређене ствари користе у влади - на примјер, алгоритми за шифровање.ФИПС дефинише одређене специфичне методе шифрирања које се могу користити, као и методе за генерисање кључева за шифровање.Објављује га Национални институт за стандарде и технологију, или НИСТ.

Подешавање у Виндовсу је у складу са америчком владом ФИПС 140 стандардом.Када је омогућено, Виндовс присиљавају само да користе шифроване шеме ФИПС-валидиране и савјетују апликације како би то учинили.

"ФИПС мод" не чини Виндовс безбеднијим.Он само блокира приступ новијим криптографским шемама које нису валидиране ФИПС-ом.То значи да неће моћи користити нове шифре шифрирања или брже начине кориштења истих шифрирања шифрирања.Другим ријечима, то чини ваш рачунар спорији, мање функционалан и вјероватно мање сигуран.

Како се Виндовс понаша другачије Ако омогућите ову поставку

Мицрософт објашњава шта ово подешавање заправо ради у посту у блогу под називом "Зашто ми не препоручујемо" ФИПС режим "Аниморе". Мицрософт препоручује да користите ФИПС мод ако је потребно.На примјер, ако користите рачунар америчке владе, тај рачунар би требао имати "ФИПС моде" омогућен према властитим прописима.Нема стварног случаја у којем желите да то омогућите на свом личном рачунару - осим ако нисте тестирали како се ваш софтвер понаша на рачунарима САД-а са овим подешавањем.

Ова поставка има две ствари за сам Виндовс.Он присиљује Виндовс и Виндовс услуге да користе само ФИПС потврђену криптографију.На пример, услуга Сцханнел уграђена у Виндовс неће радити са старијим ССЛ 2.0 и 3.0 протоколима, а умјесто тога ће захтијевати најмање ТЛС 1.0.

Мицрософт'с. НЕТ Фрамеворк такође блокира приступ алгоритмима који нису валидирани за ФИПС..НЕТ оквир нуди неколико различитих алгоритама за већину криптографских алгоритама, а сви нису чак ни поднесени за валидацију.Као пример, Мицрософт напомиње да постоје три различите верзије СХА256 хасхинг алгоритма у. НЕТ окружењу.Најбржа није достављена на валидацију, али би требала бити исто толико сигурна.Дакле, омогућавање ФИПС режима ће или прекинути. НЕТ апликације које користе ефикаснији алгоритам или их приморавају да користе мање ефикасан алгоритам и буду спорије.

Поред ове две ствари, омогућавајући ФИПС режиму препоручује апликацијама да користе и ФИПС валидирано шифровање.Али то не приморава ништа друго.Традиционалне Виндовс десктоп апликације могу да одлуче да имплементирају било који шифриран код који желе - чак и страшно угрожена енкрипција - или уопште не шифрирање.ФИПС режим не чини ништа другим апликацијама осим ако се не придржавају овог подешавања.

Како онемогућити мод ФИПС( или га омогућити, ако га имате)

Не бисте требали омогућити ову поставку осим ако користите државни рачунар и нисте приморани.Ако омогућите ову поставку, неке потрошачке апликације могу у ствари затражити да онемогућите ФИПС режим како би могли правилно функционирати.

Ако вам је потребно омогућити или онемогућити ФИПС режим - можда сте видели поруку о грешци након што сте је омогућили, морате провјерити како ће се ваш софтвер понашати на рачунару помоћу ФИПС режима, или користите државни рачунар иморају то омогућити - можете то учинити на неколико начина.ФИПС режим се може омогућити само када је повезан са одређеном мрежом, или преко опције за систем који се увек примјењује.

Да бисте омогућили ФИПС режим само када сте повезани на одређену мрежу, урадите следеће кораке:

1. Отворите прозор Цонтрол Панел.
2. Кликните на "Преглед мреже статуса и задатака" у оквиру мреже и Интернета.
3. Кликните на "Промени поставке адаптера."
4. Кликните десним тастером миша на мрежу за коју желите да омогућите ФИПС и изаберите "Статус."
5. Кликните на дугме "Вирелесс Пропертиес" у прозору Ви-Фи Статус.
6. Кликните на картицу "Безбедност" у прозору својстава мреже.
7. Кликните на дугме "Напредне поставке".
8. Пребаците опцију "Омогућите усклађеност стандарда за обраду информација( ФИПС) за ову мрежу" под поставкама 802.11.

Ова поставка се такође може променити на цијелом нивоу система у уређивачу смерница групе.Овај алат је доступан само на верзијама Профессионал, Ентерприсе и Едуцатион верзије Виндовс-не Хоме верзија.Можете да користите само уредјај смерница локалне групе да бисте променили ову алатку ако сте на рачунару који није повезан са доменом која управља корисничким подешавањима групе рачунара за вас.Ако се ваш рачунар придружи домену и поставке политике групе централно управља ваша организација, нећете моћи сами да га мијењате.Да промените ово подешавање у смерницама групе:

1. Притисните Виндовс Кеи + Р да бисте отворили дијалог Покрени.
2. Укуцајте "гпедит.мсц" у дијалог Рун( без наводника) и притисните Ентер.
3. Пређите на "Конфигурација рачунара \ поставке Виндовса \ Сецурити Сеттингс \ Лоцал Полициес \ Сецурити Оптионс" у Едитор Гроуп Полици.
4. Пронађите "Системска криптографија: Користите ФИПС усклађене алгоритме за шифрирање, исхање и потписивање" поставке у десном окну и двапут кликните на њега.
5. Подесите поставку на "Дисаблед" и кликните на "ОК."
6. Поново покрените рачунар.

На кућним верзијама Виндовс-а, и даље можете омогућити или онемогућити поставку ФИПС преко поставке регистратора.Да бисте проверили да ли је ФИПС омогућено или онемогућено у регистратору, пратите следеће кораке:

1. Притисните Виндовс Кеи + Р да бисте отворили дијалог Покрени.
2. Укуцајте "регедит" у дијалог Рун( без наводника) и притисните Ентер.
3. Пређите на "ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Систем \ ЦуррентЦонтролСет \ Цонтрол \ Лса \ ФипсАлгоритхмПолици \".
4. Погледајте десно "Енаблед" вредност у десном окну.Ако је постављено на "0", ФИПС режим је онемогућен.Ако је постављено на "1", ФИПС мод је омогућен.Да бисте променили поставку, двапут кликните на опцију "Омогућено" и подесите је на "0" или "1".
5. Поново покрените рачунар.

Захваљујући @СвифтОнСецурити на Твиттер-у за инспирисање овог поста!