Miksi sinun ei pitäisi sallia FIPS-yhteensopivaa salausta Windowsissa

• Chris Hoffman

  @chrisbhoffman

• Päivitetty heinäkuussa 12. 2017, klo 11.34 EDT

Windowsissa on piilotettu asetus, joka sallii vain valtion hyväksymän ”FIPS-yhteensopivan” salauksen. Se voi kuulostaa keinolta parantaa tietokoneen tietoturvaa, mutta se ei ole. Sinun ei pitäisi ottaa tätä asetusta käyttöön, ellet työskentele hallituksessa tai sinun on testattava ohjelmistojen käyttäytymistä valtion tietokoneissa.

Tämä säätö sopii aivan muiden hyödyttömien Windowsin säätämismyyttien rinnalle. ”Olet törmännyt tähän asetukseen Windowsissa tai nähnyt sen mainittavan muualla, älä ota sitä käyttöön. Jos olet jo ottanut sen käyttöön ilman syytä, poista FIPS-tila käytöstä noudattamalla seuraavia ohjeita.

Mitä Onko FIPS-yhteensopiva salaus?

RELATED: 10 Windows Tweaking Myths Debunked

FIPS tarkoittaa ”Federal Information Processing Standards”. Se on joukko julkisia standardeja, jotka määrittelevät, miten tiettyjä asioita käytetään hallituksessa – esimerkiksi salausalgoritmit. FIPS määrittelee tietyt käytettävät salausmenetelmät sekä menetelmät salausavainten luomiseksi. Sen on julkaissut National Institute of Standardit ja tekniikka tai NIST.

Windowsin asetus on Yhdysvaltojen hallituksen FIPS 140 -standardin mukainen. Kun se on käytössä, se pakottaa Windowsin käyttämään vain FIPS-validoituja salausjärjestelmiä ja neuvoo myös sovelluksia tekemään niin.

”FIPS-tila” ei tee Windowsista turvallisempaa. Se vain estää pääsyn uusempiin salaustekniikoihin, joita ei ole FIPS-vahvistettu. Tämä tarkoittaa, että se ei voi käyttää uusia salausmenetelmiä tai nopeampi tapa käyttää samoja salausjärjestelmiä. Toisin sanoen se tekee tietokoneestasi hitaamman, vähemmän toimivan ja epäilemättä vähemmän turvallisen.

Kuinka Windows käyttäytyy eri tavalla, jos otat tämän asetuksen käyttöön

Microsoft selittää, mitä tämä asetus todella tekee blogikirjoitus nimeltä ”Miksi emme suosittele FIPS-tilaa” enää. ” Microsoft suosittelee, että käytät FIPS-tilaa vain, jos sinun on. Esimerkiksi, jos käytät Yhdysvaltain valtion tietokonetta, kyseisen tietokoneen oletetaan olevan ”FIPS-tila” käytössä hallituksen omien määräysten mukaisesti. Ei ole todellista tapausta, jossa haluat ottaa tämän käyttöön omalla henkilökohtaisella tietokoneellasi – ellei testasit ohjelmistosi käyttäytymistä Yhdysvaltain valtion tietokoneissa, kun tämä asetus on käytössä.

Tämä asetus tekee kaksi asiaa itselleen Windowsille. Se pakottaa Windowsin ja Windows-palvelut käyttämään vain FIPS-validoitua salausta. Esimerkiksi Windowsin sisäänrakennettu Schannel-palvelu ei toimi vanhempien SSL 2.0 ja 3.0 -protokollien kanssa, ja se vaatii vähintään TLS 1.0: n.

Microsoftin .NET-kehys estää myös pääsyn algoritmit, joita ei ole FIPS-validoitu. .NET-kehys tarjoaa useita eri algoritmeja useimmille salauksen algoritmeille, eikä kaikkia niitä ole edes lähetetty vahvistettavaksi. Esimerkkinä Microsoft huomauttaa, että SHA256-hajautuksesta on olemassa kolme erilaista versiota. algoritmi m .NET-kehyksessä. Nopeinta ei ole lähetetty vahvistettavaksi, mutta sen on oltava yhtä turvallinen. Joten FIPS-tilan käyttöönotto joko rikkoo .NET-sovelluksia, jotka käyttävät tehokkaampaa algoritmia, tai pakottaa heidät käyttämään vähemmän tehokasta algoritmia ja ovat hitaampia.

Näiden kahden asian lisäksi FIPS-tilan käyttöönotto suosittelee sovelluksille, että he käytä vain FIPS-vahvistettua salausta. Mutta se ei pakota mitään muuta. Perinteiset Windows-työpöytäsovellukset voivat valita haluamansa salauskoodin – jopa kauhistuttavan haavoittuvan – tai ei lainkaan salausta. FIPS-tila ei tee mitään muille sovelluksille, elleivät ne noudata tätä asetusta.

FIPS-tilan poistaminen käytöstä (tai ottaminen käyttöön, jos sinun on)

Sinun ei pitäisi ottaa käyttöön tämä asetus, ellet käytä valtion tietokonetta ja pakko. Jos otat tämän asetuksen käyttöön, jotkut kuluttajasovellukset saattavat todella pyytää sinua poistamaan FIPS-tilan käytöstä, jotta ne voivat toimia oikein.

Jos haluat ottaa FIPS-tilan käyttöön tai poistaa sen käytöstä – olet ehkä nähnyt virheilmoituksen jälkeen otit sen käyttöön, sinun on testattava, miten ohjelmistosi käyttäytyy tietokoneessa, jossa FIPS-tila on käytössä, tai käytät valtion tietokonetta ja sinun on otettava se käyttöön – voit tehdä sen useilla tavoilla. FIPS-tila voidaan ottaa käyttöön vain, kun se on kytketty tiettyyn verkkoon, tai koko järjestelmän kattavan asetuksen kautta, joka on aina voimassa.

FIPS-tilan ottaminen käyttöön vain yhdistettynä tiettyyn verkkoon Suorita seuraavat vaiheet:

1. Avaa Ohjauspaneeli-ikkuna.
2. Napsauta Verkko ja Internet -kohdassa Näytä verkon tila ja tehtävät.
3. Napsauta ”Muuta sovittimen asetuksia”.
4. Napsauta hiiren kakkospainikkeella verkkoa, jonka haluat ottaa FIPS-käyttöön, ja valitse Tila.
5. Napsauta Wi-Fi-yhteyden painiketta ”Langattoman verkon ominaisuudet”. Tila-ikkuna.
6. Napsauta verkon ominaisuudet -ikkunan Suojaus-välilehteä.
7. Napsauta Lisäasetukset-painiketta.
8. Vaihda ”Ota käyttöön Federal Information Processing Standards (FIPS) -yhteensopivuus tälle verkolle” -vaihtoehto 802.11-asetuksissa.

Tätä asetusta voidaan muuttaa myös koko järjestelmässä ryhmäkäytäntöeditorissa. Tämä työkalu on käytettävissä vain Windowsin Professional-, Enterprise- ja Education-versioissa – ei Home-versioissa. Voit käyttää paikallista ryhmäkäytäntöeditoria tämän työkalun vaihtamiseen vain, jos olet tietokoneessa, jota ei ole yhdistetty toimialueeseen, joka hallinnoi tietokoneesi ryhmäkäytäntöasetuksia puolestasi. Jos tietokoneesi on liitetty toimialueeseen ja organisaatiosi hallinnoi ryhmäkäytäntöasetuksia keskitetysti, et voi muuttaa sitä itse. Tämän asetuksen muuttaminen ryhmäkäytännössä:

1. Avaa Suorita-valintaikkuna painamalla Windows-näppäintä + R.
2. Kirjoita Suorita-valintaikkunaan ”gpedit.msc” (ilman lainausmerkit) ja paina Enter.
3. Siirry ryhmäkäytäntöeditorissa kohtaan ”Tietokoneen kokoonpano \ Windows-asetukset \ Suojausasetukset \ Paikalliset käytännöt \ Suojausasetukset”.
4. Etsi ”Järjestelmän salaus: Käytä FIPS-yhteensopivia algoritmeja salaamiseen, hajauttamiseen ja allekirjoittamiseen ”oikeassa ruudussa ja kaksoisnapsauta sitä.
5. Määritä asetuksen arvoksi Ei käytössä ja valitse OK.
6. Käynnistä tietokone uudelleen.

Windowsin kotiversioissa voit silti ottaa FIPS-asetuksen käyttöön tai poistaa sen käytöstä rekisteriasetusten avulla. Voit tarkistaa, onko FIPS käytössä tai pois käytöstä rekisterissä, noudattamalla seuraavia ohjeita. vaiheet:

1. Avaa Suorita-valintaikkuna painamalla Windows-näppäintä + R.
2. Kirjoita Suorita-valintaikkunaan (ilman lainausmerkkejä) ”regedit” ja paina Enter-näppäintä.
3. Siirry kohtaan ”HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ ”.
4. Katso oikeassa ruudussa Käytössä-arvoa. Jos asetuksena on 0, FIPS-tila on poistettu käytöstä. Jos tilaksi on asetettu 1, FIPS-tila on käytössä. Muuta asetusta kaksoisnapsauttamalla Käytössä-arvoa ja asettamalla sen arvoksi ”0” tai ”1”.
5. Käynnistä tietokone uudelleen.

Kiitos @SwiftOnSecurity Twitterissä inspiroi tätä viestiä!