Miért ne engedélyezné a “FIPS-kompatibilis” titkosítást Windows rendszeren

• Chris Hoffman

  @chrisbhoffman

• frissítve július 2017. december 12., 11:34 EDT

A Windows rendelkezik egy rejtett beállítással, amely csak a kormány által tanúsított “FIPS-kompatibilis” titkosítást teszi lehetővé. Úgy hangozhat, hogy növeli a számítógép biztonságát, de nem az. Csak akkor szabad engedélyeznie ezt a beállítást, ha kormányon dolgozik, vagy tesztelnie kell a szoftver viselkedését az állami számítógépeken.

Ez a csípés jól illeszkedik a többi haszontalan Windows-mítoszhoz. A Windows rendszerben megbotlott vagy máshol látta megemlíteni, ne engedélyezze. Ha már jó ok nélkül engedélyezte, akkor az alábbi lépésekkel tiltsa le a „FIPS mód” funkciót.

Mi A FIPS-kompatibilis titkosítás?

KAPCSOLÓDÓ: A Windows csípő mítoszainak 10 megsemmisítése

A FIPS a “szövetségi információfeldolgozási szabványokat” jelenti. Ez egy olyan kormányzati szabvány, amely meghatározza, hogy bizonyos dolgokat hogyan használnak a kormányzatban – például titkosítási algoritmusok. A FIPS meghatároz bizonyos használható titkosítási módszereket, valamint a titkosítási kulcsok előállításának módszereit. A National Institute of Szabványok és technológia, vagy NIST.

A Windows beállítása megfelel az Egyesült Államok kormányának FIPS 140 szabványának. Ha engedélyezve van, akkor a Windows-t csak a FIPS által validált titkosítási sémák használatára kényszeríti. és ezt tanácsolja az alkalmazásoknak is.

A „FIPS mód” nem teszi biztonságosabbá a Windows rendszert. Csak blokkolja az újabb kriptográfiai sémákhoz való hozzáférést, amelyeket nem validáltak FIPS-ban. Ez azt jelenti, hogy nem lesz képes új titkosítási sémákat vagy gyorsabb módszereket használni ugyanazokra a titkosítási sémákra. Más szavakkal, lassabbá, kevésbé működőképessé és vitathatatlanul kevésbé biztonságosá teszi a számítógépet.

Hogyan viselkedik a Windows másképp, ha engedélyezi ezt a beállítást

A Microsoft elmagyarázza, hogy ez a beállítás valójában mit csinál blogbejegyzés “Miért nem ajánljuk a” FIPS módot “.” A Microsoft csak akkor javasolja, hogy használja a FIPS módot, ha szükséges. Például, ha amerikai kormányzati számítógépet használ, akkor a számítógépnek feltételezhetően engedélyeznie kell a „FIPS mód” funkciót a kormány saját szabályai szerint. Nincs olyan tény, hogy ezt saját személyi számítógépén szeretné engedélyezni – hacsak nem tesztelted, hogyan viselkedik a szoftver az Egyesült Államok kormányzati számítógépein, engedélyezve ezt a beállítást.

Ez a beállítás két dolgot végez magával a Windows-szal. Kényszeríti a Windows és a Windows szolgáltatásokat, hogy csak FIPS által validált kriptográfiát használjanak. Például A Windowsba épített Schannel szolgáltatás nem fog működni a régebbi SSL 2.0 és 3.0 protokollokkal, és legalább TLS 1.0-t igényel.

A Microsoft .NET keretrendszere szintén blokkolja a hozzáférést a algoritmusok, amelyek nem FIPS-validáltak. A .NET-keretrendszer számos különböző algoritmust kínál a legtöbb kriptográfiai algoritmushoz, és még mindegyiket sem nyújtották be érvényesítésre. Például a Microsoft megjegyzi, hogy az SHA256 hash-nak három különböző változata létezik. algoritmus m a .NET keretrendszerben. A leggyorsabbat nem nyújtották be érvényesítésre, de ugyanolyan biztonságosnak kell lennie. Tehát a FIPS mód engedélyezése vagy megszakítja a hatékonyabb algoritmust használó .NET alkalmazásokat, vagy arra kényszeríti őket, hogy a kevésbé hatékony algoritmust használják és lassabbak legyenek.

Ezen a két dolgon kívül a FIPS mód engedélyezése azt ajánlja az alkalmazásoknak, hogy csak FIPS által hitelesített titkosítást használjon. De ez nem kényszerít mást. A hagyományos Windows asztali alkalmazások választhatnak bármilyen kívánt titkosítási kódot – akár borzalmasan sérülékeny titkosítást is -, vagy pedig egyáltalán nem. A FIPS mód nem tesz semmit más alkalmazásokkal, kivéve, ha betartják ezt a beállítást.

A FIPS mód letiltása (vagy engedélyezése, ha szükséges)

Nem szabad engedélyeznie ezt a beállítást, hacsak nem kormányzati számítógépet használ és kénytelen rá. Ha engedélyezi ezt a beállítást, egyes fogyasztói alkalmazások valóban megkérhetik a FIPS mód letiltására, hogy megfelelően működhessenek.

Ha engedélyezni vagy letiltani kell a FIPS módot – talán hibaüzenetet látott azután, hogy engedélyezte, tesztelnie kell, hogy a szoftver hogyan fog viselkedni egy olyan számítógépen, amelyen engedélyezve van a FIPS mód, vagy kormányzati számítógépet használ, és engedélyeznie kell – ezt többféleképpen is megteheti. A FIPS mód csak akkor engedélyezhető, ha egy adott hálózathoz csatlakozik, vagy egy rendszerszintű beállításon keresztül, amely mindig érvényes lesz.

A FIPS mód engedélyezése csak akkor, ha csatlakozik egy adott hálózathoz. hálózaton hajtsa végre a következő lépéseket:

1. Nyissa meg a Vezérlőpult ablakot.
2. Kattintson a Hálózat és Internet részben a “Hálózati állapot és feladatok megtekintése” elemre.
3. Kattintson az “Adapter beállításainak módosítása” elemre.
4. Kattintson a jobb gombbal arra a hálózatra, amelynél engedélyezni szeretné a FIPS-t, és válassza az “Állapot” lehetőséget.
5. Kattintson a “Vezeték nélküli tulajdonságok” gombra a Wi-Fi-n. Állapotablak.
6. Kattintson a “Biztonság” fülre a hálózati tulajdonságok ablakban.
7. Kattintson a “Speciális beállítások” gombra.
8. Váltsa át a “Federal Information Processing Standards (FIPS) megfelelés engedélyezése ehhez a hálózathoz” beállítást a 802.11 beállítások alatt.

Ez a beállítás a csoportházirend-szerkesztőben rendszerszinten is megváltoztatható. Ez az eszköz csak a Windows professzionális, vállalati és oktatási verzióiban érhető el – nem a Home verzióban. Csak akkor használhatja a helyi csoportházirend-szerkesztőt ennek az eszköznek a megváltoztatására, ha olyan számítógépen tartózkodik, amely nem csatlakozik egy olyan tartományhoz, amely az Ön számítógépének csoportházirend-beállításait kezeli. Ha számítógépe csatlakozik egy tartományhoz, és a csoportházirend-beállításokat központilag kezeli a szervezete, akkor saját maga nem tudja megváltoztatni. A beállítás módosítása a csoportházirendben:

1. A Futtatás párbeszédpanel megnyitásához nyomja meg a Windows billentyűt + R.
2. Írja be a “gpedit.msc” parancsot a Futtatás párbeszédpanelbe (a idézetek), és nyomja meg az Enter billentyűt.
3. Keresse meg a “Számítógép konfigurációja \ Windows beállítások \ biztonsági beállítások \ helyi házirendek \ biztonsági beállítások” elemet a csoportházirend-szerkesztőben.
4. Keresse meg a “Rendszer kriptográfia: Használjon FIPS-kompatibilis algoritmusokat a jobb oldali ablaktábla titkosításához, hasításához és aláírásához ”, és kattintson rá duplán.
5. Állítsa a beállítást„ Letiltva ”elemre, majd kattintson az„ OK ”gombra.
6. Indítsa újra a számítógépet.

A Windows otthoni verzióiban továbbra is engedélyezheti vagy letilthatja a FIPS beállításokat a rendszerleíró adatbázis beállításain keresztül. Annak ellenőrzéséhez, hogy a FIPS be van-e kapcsolva a rendszerleíró adatbázisban, kövesse az alábbiakat. lépések:

1. A Futtatás párbeszédpanel megnyitásához nyomja meg a Windows billentyűt + R.
2. Írja be a “regedit” parancsot a Futtatás párbeszédpanelbe (idézőjelek nélkül), és nyomja meg az Enter billentyűt.
3. Keresse meg a “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip” sAlgorithmPolicy \ ”.
4. Nézze meg a jobb oldali ablaktábla„ Engedélyezve ”értékét. Ha “0” -ra van állítva, akkor a FIPS mód le van tiltva. Ha “1” -re van állítva, akkor a FIPS mód engedélyezett. A beállítás megváltoztatásához kattintson duplán az „Engedélyezett” értékre, és állítsa „0” vagy „1” értékre.
5. Indítsa újra a számítógépet.

Köszönet @SwiftOnSecurity a Twitteren, hogy inspirálta ezt a bejegyzést!