Hvorfor du ikke skal aktivere “FIPS-kompatibel” kryptering i Windows

  • Chris Hoffman

    @chrisbhoffman

  • Opdateret juli 12. 2017, 11:34 EDT

Windows har en skjult indstilling, der kun muliggør offentlig certificeret “FIPS-kompatibel” kryptering. Det kan lyde som en måde at øge din pc’s sikkerhed på, men det er det ikke. Du bør ikke aktivere denne indstilling, medmindre du arbejder i regeringen eller har brug for at teste, hvordan software fungerer på offentlige pc’er.

Denne tweak passer lige sammen med andre ubrugelige Windows-tweaking-myter. Hvis du har snuble over denne indstilling i Windows eller set den nævnt andetsteds, skal du ikke aktivere den. Hvis du allerede har aktiveret den uden en god grund, skal du bruge nedenstående trin til at deaktivere “FIPS-tilstand”.

Hvad Er FIPS-kompatibel kryptering?

RELATERET: 10 Windows Tweaking Myths Debunked

FIPS står for “Federal Information Processing Standards.” Det er et sæt statslige standarder, der definerer, hvordan bestemte ting bruges i regeringen – for eksempel krypteringsalgoritmer. FIPS definerer bestemte specifikke krypteringsmetoder, der kan bruges, samt metoder til generering af krypteringsnøgler. Det udgives af National Institute of Standarder og teknologi, eller NIST.

Annonce

Indstillingen i Windows overholder den amerikanske regering FIPS 140-standard. Når den er aktiveret, tvinger den Windows til kun at bruge FIPS-validerede krypteringsordninger og råder også applikationer til at gøre det.

“FIPS-tilstand” gør ikke Windows mere sikker. Det blokerer bare adgang til nyere kryptografisk ordninger, der ikke er FIPS-valideret. Det betyder, at det ikke vil være i stand til at bruge nye krypteringsordninger eller hurtigere måder at bruge de samme krypteringsordninger på. Med andre ord gør det din computer langsommere, mindre funktionel og uden tvivl mindre sikker.

Hvordan Windows opfører sig anderledes, hvis du aktiverer denne indstilling

Microsoft forklarer, hvad denne indstilling rent faktisk gør i en blogindlæg med titlen “Hvorfor vi ikke anbefaler” FIPS-tilstand “mere.” Microsoft anbefaler kun, at du bruger FIPS-tilstand, hvis du har brug for det. For eksempel, hvis du bruger en amerikansk regeringscomputer, skal computeren have “FIPS-tilstand” aktiveret i henhold til regeringens egne regler. Der er ingen reel sag, hvor du vil aktivere dette på din egen pc – medmindre du testede, hvordan din software opfører sig på amerikanske regeringscomputere, når denne indstilling er aktiveret.

Denne indstilling gør to ting for selve Windows. Det tvinger Windows og Windows-tjenester til kun at bruge FIPS-valideret kryptografi. For eksempel Schannel-tjeneste, der er indbygget i Windows, fungerer ikke med ældre SSL 2.0- og 3.0-protokoller og kræver i stedet mindst TLS 1.0.

Annonce

Microsofts .NET-framework blokerer også adgang til algoritmer, der ikke er FIPS-validerede. NET-rammen tilbyder flere forskellige algoritmer til de fleste kryptografialgoritmer, og ikke alle er endda sendt til validering. Som et eksempel bemærker Microsoft, at der er tre forskellige versioner af SHA256-hashing algoritme m i .NET-rammen. Den hurtigste er ikke sendt til validering, men skal være lige så sikker. Aktivering af FIPS-tilstand vil enten enten bryde .NET-applikationer, der bruger den mere effektive algoritme eller tvinge dem til at bruge den mindre effektive algoritme og være langsommere.

Bortset fra disse to ting, anbefales det at aktivere FIPS-tilstand til applikationer at de Brug kun FIPS-valideret kryptering. Men det tvinger ikke noget andet. Traditionelle Windows-skrivebordsprogrammer kan vælge at implementere enhver krypteringskode, de ønsker – selv forfærdeligt sårbar kryptering – eller slet ingen kryptering. FIPS-tilstand gør ikke noget til andre applikationer, medmindre de overholder denne indstilling.

Sådan deaktiveres FIPS-tilstand (eller aktiverer det, hvis du skal)

Du bør ikke aktivere denne indstilling, medmindre du bruger en offentlig computer og er tvunget til at. Hvis du aktiverer denne indstilling, kan nogle forbrugerapplikationer faktisk bede dig om at deaktivere FIPS-tilstand, så de kan fungere korrekt.

Hvis du har brug for at aktivere eller deaktivere FIPS-tilstand – måske har du set en fejlmeddelelse efter du har aktiveret det, skal du teste, hvordan din software opfører sig på en computer med FIPS-tilstand aktiveret, eller hvis du bruger en statscomputer og skal aktivere den – du kan gøre det på flere måder. FIPS-tilstand kan kun aktiveres, når den er tilsluttet et specifikt netværk eller via en systemomfattende indstilling, der altid gælder.

Annonce

Kun til at aktivere FIPS-tilstand, når den er tilsluttet en bestemt netværk, skal du udføre følgende trin:

  1. Åbn kontrolpanelvinduet.
  2. Klik på “Se netværksstatus og opgaver” under Netværk og internet.
  3. Klik på “Skift adapterindstillinger.”
  4. Højreklik på det netværk, du vil aktivere FIPS for, og vælg “Status”.
  5. Klik på knappen “Trådløse egenskaber” i Wi-Fi Statusvindue.
  6. Klik på fanen “Sikkerhed” i vinduet med netværksegenskaber.
  7. Klik på knappen “Avancerede indstillinger”.
  8. Skift “Enable Federal Information Processing Standards (FIPS) compliance for this network” under 802.11-indstillinger.

Denne indstilling kan også ændres hele systemet i gruppepolitisk editor. Dette værktøj er kun tilgængeligt i Professional-, Enterprise- og Education-versioner af Windows – ikke Home-versioner. Du kan kun bruge den lokale gruppepolitikredaktør til at ændre dette værktøj, hvis du er på en computer, der ikke er knyttet til et domæne, der administrerer din computers gruppepolitiske indstillinger for dig. Hvis din computer er knyttet til et domæne, og gruppepolitiske indstillinger administreres centralt af din organisation, kan du ikke ændre det selv. For at ændre denne indstilling i gruppepolitik:

  1. Tryk på Windows-tast + R for at åbne dialogboksen Kør.
  2. Skriv “gpedit.msc” i dialogboksen Kør (uden citater), og tryk på Enter.
  3. Naviger til “Computerkonfiguration \ Windows-indstillinger \ Sikkerhedsindstillinger \ Lokale politikker \ Sikkerhedsindstillinger” i Group Policy Editor.
  4. Find “Systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering ”i højre rude, og dobbeltklik på den.
  5. Indstil indstillingen til” Deaktiveret “, og klik på” OK “.
  6. Genstart computeren.

På hjemmeversioner af Windows kan du stadig aktivere eller deaktivere FIPS-indstillingen via en registreringsdatabaseindstilling. For at kontrollere, om FIPS er aktiveret eller deaktiveret i registreringsdatabasen, skal du følge følgende trin:

  1. Tryk på Windows-tast + R for at åbne dialogboksen Kør.
  2. Skriv “regedit” i dialogboksen Kør (uden anførselstegn), og tryk på Enter.
  3. Naviger til “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ ”.
  4. Se på” Aktiveret “-værdien i højre rude. Hvis den er indstillet til “0”, er FIPS-tilstand deaktiveret. Hvis den er indstillet til “1”, er FIPS-tilstand aktiveret. For at ændre indstillingen skal du dobbeltklikke på “Enabled” -værdien og indstille den til enten “0” eller “1”.
  5. Genstart computeren.

Tak til @SwiftOnSecurity på Twitter for at inspirere dette indlæg!

Chris Hoffman
Chris Hoffman er chefredaktør for How-To Geek. Han har skrevet om teknologi i næsten et årti og var en PCWorld-spaltist i to år. Chris har skrevet for The New York Times, er blevet interviewet som en teknologiekspert på tv-stationer som Miamis NBC 6 og har fået hans arbejde dækket af nyhedsudsendelser som BBC. Siden 2011 har Chris skrevet over 2.000 artikler, der er blevet læst mere end 500 millioner gange — og det er bare her på How-To Geek.Read Full Bio “

Leave a Reply

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *