Proč byste neměli povolit šifrování vyhovující standardu FIPS v systému Windows

  • Chris Hoffman

    @chrisbhoffman

  • Aktualizováno v červenci 12. 2017, 11:34 EDT

Windows mají skryté nastavení, které umožní pouze vládní certifikované „FIPS kompatibilní“ šifrování. Může to znít jako způsob, jak zvýšit zabezpečení vašeho PC, ale není. Toto nastavení byste neměli aktivovat, pokud nepracujete ve vládě nebo pokud nepotřebujete otestovat, jak se software bude chovat na vládních počítačích.

Tato vylepšení se hodí vedle dalších zbytečných mýtů o Windows. Pokud Narazili jsme na toto nastavení v systému Windows nebo jste jej viděli zmíněno jinde, nepovolujte jej. Pokud jste jej již aktivovali bez dobrého důvodu, deaktivujte „režim FIPS“ pomocí níže uvedených kroků.

Co Je šifrování vyhovující standardu FIPS?

SOUVISEJÍCÍ: Odhalení 10 mýtů Windows Tweaking

FIPS znamená „Federal Information Processing Standards“. Jedná se o soubor vládních standardů, které definují, jak se ve vládě používají určité věci – například šifrovací algoritmy. FIPS definuje určité konkrétní šifrovací metody, které lze použít, a také metody generování šifrovacích klíčů. Publikuje jej National Institute of Standards and Technology, or NIST.

Advertising

Nastavení v systému Windows je v souladu s americkým standardem FIPS 140. Je-li povoleno, vynutí systém Windows používat pouze šifrovací schémata ověřená FIPS. a radí také aplikacím.

„Režim FIPS“ nezvyšuje zabezpečení systému Windows. Blokuje pouze přístup k novějším kryptografickým schématům, která nebyla ověřena FIPS. To znamená, že nebude moci používat nová šifrovací schémata ani rychlejší způsoby použití stejných šifrovacích schémat. Jinými slovy, váš počítač je pomalejší, méně funkční a pravděpodobně méně bezpečný.

Jak se Windows chová odlišně, pokud toto nastavení povolíte

Společnost Microsoft vysvětluje, co toto nastavení ve skutečnosti příspěvek na blogu s názvem „Proč už nedoporučujeme“ Režim FIPS ”.“ Společnost Microsoft doporučuje používat režim FIPS pouze v případě, že je to nutné. Pokud například používáte vládní počítač v USA, má mít tento počítač povolen „režim FIPS“ podle vlastních vládních předpisů. Neexistuje žádný skutečný případ, kdy byste to chtěli povolit na svém osobním počítači – pokud testovali jste, jak se váš software chová na amerických vládních počítačích se zapnutým tímto nastavením.

Toto nastavení dělá dvě věci samotnému Windows. Vynucuje Windows a služby Windows, aby používaly pouze kryptografii ověřenou FIPS. Například Služba Schannel zabudovaná do systému Windows nebude fungovat se staršími protokoly SSL 2.0 a 3.0 a bude místo toho vyžadovat alespoň TLS 1.0.

Reklama

Rozhraní .NET společnosti Microsoft také zablokuje přístup k algoritmy, které nejsou ověřeny FIPS. Rozhraní .NET nabízí několik různých algoritmů pro většinu kryptografických algoritmů a ne všechny z nich byly dokonce odeslány k ověření. Microsoft například uvádí, že existují tři různé verze hashování SHA256. algoritmus mv rámci .NET. Ten nejrychlejší nebyl odeslán k ověření, ale měl by být stejně bezpečný. Povolení režimu FIPS tedy přeruší aplikace .NET, které používají efektivnější algoritmus, nebo je donutí používat méně efektivní algoritmus a bude pomalejší.

Kromě těchto dvou věcí povolení režimu FIPS doporučuje aplikacím, které používají také používejte pouze šifrování ověřené pomocí FIPS. Ale nic jiného to nevynucuje. Tradiční desktopové aplikace pro Windows se mohou rozhodnout implementovat libovolný šifrovací kód, který chtějí – dokonce i děsivě zranitelné šifrování – nebo vůbec žádné šifrování. Režim FIPS nedělá nic jiným aplikacím, pokud nedodrží toto nastavení.

Jak zakázat režim FIPS (nebo jej povolit, pokud je třeba)

Neměli byste povolit toto nastavení, pokud nepoužíváte vládní počítač a nejste k tomu nuceni. Pokud toto nastavení povolíte, mohou vás některé spotřebitelské aplikace ve skutečnosti požádat o deaktivaci režimu FIPS, aby mohly správně fungovat.

Pokud potřebujete povolit nebo zakázat režim FIPS – možná se vám po zobrazení chybové zprávy pokud jste jej povolili, musíte otestovat, jak se bude váš software chovat v počítači se zapnutým režimem FIPS, nebo používáte vládní počítač a musíte jej povolit – můžete tak učinit několika způsoby. Režim FIPS lze povolit pouze při připojení ke konkrétní síti nebo prostřednictvím celosystémového nastavení, které bude vždy platit.

Reklama

Chcete-li povolit režim FIPS pouze při připojení ke konkrétní síti sítě, proveďte následující kroky:

  1. Otevřete okno Ovládací panely.
  2. Klikněte na „Zobrazit stav sítě a úkoly“ v části Síť a internet.
  3. Klikněte na „Změnit nastavení adaptéru“.
  4. Klikněte pravým tlačítkem na síť, pro kterou chcete povolit FIPS, a vyberte „Stav“.
  5. Klikněte na tlačítko „Vlastnosti bezdrátového připojení“ v síti Wi-Fi. Stavové okno.
  6. Klikněte na kartu Zabezpečení v okně vlastností sítě.
  7. Klikněte na tlačítko „Pokročilá nastavení“.
  8. Přepněte možnost „Povolit kompatibilitu standardů FIPS (Federal Information Processing Standards) pro tuto síť“ v nastavení 802.11.

Toto nastavení lze také změnit v celém systému v editoru zásad skupiny. Tento nástroj je k dispozici pouze pro profesionální, podnikové a vzdělávací verze Windows – ne pro domácí verze. Editor místních zásad skupiny můžete použít ke změně tohoto nástroje, pouze pokud používáte počítač, který není připojen k doméně, která za vás spravuje nastavení zásad skupiny vašeho počítače. Pokud je váš počítač připojen k doméně a nastavení zásad skupiny je centrálně spravováno vaší organizací, sami to nebudete moci změnit. Chcete-li toto nastavení změnit v zásadách skupiny:

  1. Stisknutím klávesy Windows + R otevřete dialogové okno Spustit.
  2. Do dialogového okna Spustit zadejte „gpedit.msc“ (bez uvozovek) a stiskněte klávesu Enter.
  3. V Editoru zásad skupiny přejděte na „Konfigurace počítače \ Nastavení Windows \ Nastavení zabezpečení \ Místní zásady \ Možnosti zabezpečení“.
  4. Vyhledejte „Systémovou kryptografii: V pravém podokně použijte nastavení šifrování, hašování a podepisování podle standardů FIPS a poklepejte na něj.
  5. Nastavte možnost „Zakázáno“ a klikněte na „OK“.
  6. Restartujte počítač.

V domácích verzích systému Windows můžete nastavení FIPS stále povolit nebo zakázat pomocí nastavení registru. Chcete-li zkontrolovat, zda je FIPS v registru povolen nebo zakázán, postupujte podle následujících pokynů kroky:

  1. Stisknutím klávesy Windows + R otevřete dialogové okno Spustit.
  2. Do dialogového okna Spustit zadejte příkaz „regedit“ (bez uvozovek) a stiskněte klávesu Enter.
  3. Přejít na „HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ “.
  4. Podívejte se na hodnotu„ Povoleno “v pravém podokně. Pokud je nastaven na „0“, režim FIPS je deaktivován. Pokud je nastaven na „1“, je režim FIPS povolen. Chcete-li toto nastavení změnit, poklepejte na hodnotu „Povoleno“ a nastavte ji na „0“ nebo „1“.
  5. Restartujte počítač.

Díky @SwiftOnSecurity na Twitteru za inspiraci pro tento příspěvek!

Chris Hoffman
Chris Hoffman je šéfredaktorem How-To Geek. O technologii píše téměř deset let a byl dva roky redaktorem PCWorld. Chris napsal pro The New York Times, byl dotazován jako technologický expert na televizní stanice, jako je Miami NBC 6, a jeho práce byla pokryta zpravodajskými kanály, jako je BBC. Od roku 2011 napsal Chris více než 2 000 článků, které byly přečteny více než 500 milionůkrát — a to je právě tady na How-To Geek.Read Full Bio „

Leave a Reply

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *