Miért ne engedélyezné a “FIPS-kompatibilis” titkosítást Windows rendszeren

  • Chris Hoffman

    @chrisbhoffman

  • frissítve július 2017. december 12., 11:34 EDT

A Windows rendelkezik egy rejtett beállítással, amely csak a kormány által tanúsított “FIPS-kompatibilis” titkosítást teszi lehetővé. Úgy hangozhat, hogy növeli a számítógép biztonságát, de nem az. Csak akkor szabad engedélyeznie ezt a beállítást, ha kormányon dolgozik, vagy tesztelnie kell a szoftver viselkedését az állami számítógépeken.

Ez a csípés jól illeszkedik a többi haszontalan Windows-mítoszhoz. A Windows rendszerben megbotlott vagy máshol látta megemlíteni, ne engedélyezze. Ha már jó ok nélkül engedélyezte, akkor az alábbi lépésekkel tiltsa le a „FIPS mód” funkciót.

Mi A FIPS-kompatibilis titkosítás?

KAPCSOLÓDÓ: A Windows csípő mítoszainak 10 megsemmisítése

A FIPS a “szövetségi információfeldolgozási szabványokat” jelenti. Ez egy olyan kormányzati szabvány, amely meghatározza, hogy bizonyos dolgokat hogyan használnak a kormányzatban – például titkosítási algoritmusok. A FIPS meghatároz bizonyos használható titkosítási módszereket, valamint a titkosítási kulcsok előállításának módszereit. A National Institute of Szabványok és technológia, vagy NIST.

Reklám

A Windows beállítása megfelel az Egyesült Államok kormányának FIPS 140 szabványának. Ha engedélyezve van, akkor a Windows-t csak a FIPS által validált titkosítási sémák használatára kényszeríti. és ezt tanácsolja az alkalmazásoknak is.

A „FIPS mód” nem teszi biztonságosabbá a Windows rendszert. Csak blokkolja az újabb kriptográfiai sémákhoz való hozzáférést, amelyeket nem validáltak FIPS-ban. Ez azt jelenti, hogy nem lesz képes új titkosítási sémákat vagy gyorsabb módszereket használni ugyanazokra a titkosítási sémákra. Más szavakkal, lassabbá, kevésbé működőképessé és vitathatatlanul kevésbé biztonságosá teszi a számítógépet.

Hogyan viselkedik a Windows másképp, ha engedélyezi ezt a beállítást

A Microsoft elmagyarázza, hogy ez a beállítás valójában mit csinál blogbejegyzés “Miért nem ajánljuk a” FIPS módot “.” A Microsoft csak akkor javasolja, hogy használja a FIPS módot, ha szükséges. Például, ha amerikai kormányzati számítógépet használ, akkor a számítógépnek feltételezhetően engedélyeznie kell a „FIPS mód” funkciót a kormány saját szabályai szerint. Nincs olyan tény, hogy ezt saját személyi számítógépén szeretné engedélyezni – hacsak nem tesztelted, hogyan viselkedik a szoftver az Egyesült Államok kormányzati számítógépein, engedélyezve ezt a beállítást.

Ez a beállítás két dolgot végez magával a Windows-szal. Kényszeríti a Windows és a Windows szolgáltatásokat, hogy csak FIPS által validált kriptográfiát használjanak. Például A Windowsba épített Schannel szolgáltatás nem fog működni a régebbi SSL 2.0 és 3.0 protokollokkal, és legalább TLS 1.0-t igényel.

Reklám

A Microsoft .NET keretrendszere szintén blokkolja a hozzáférést a algoritmusok, amelyek nem FIPS-validáltak. A .NET-keretrendszer számos különböző algoritmust kínál a legtöbb kriptográfiai algoritmushoz, és még mindegyiket sem nyújtották be érvényesítésre. Például a Microsoft megjegyzi, hogy az SHA256 hash-nak három különböző változata létezik. algoritmus m a .NET keretrendszerben. A leggyorsabbat nem nyújtották be érvényesítésre, de ugyanolyan biztonságosnak kell lennie. Tehát a FIPS mód engedélyezése vagy megszakítja a hatékonyabb algoritmust használó .NET alkalmazásokat, vagy arra kényszeríti őket, hogy a kevésbé hatékony algoritmust használják és lassabbak legyenek.

Ezen a két dolgon kívül a FIPS mód engedélyezése azt ajánlja az alkalmazásoknak, hogy csak FIPS által hitelesített titkosítást használjon. De ez nem kényszerít mást. A hagyományos Windows asztali alkalmazások választhatnak bármilyen kívánt titkosítási kódot – akár borzalmasan sérülékeny titkosítást is -, vagy pedig egyáltalán nem. A FIPS mód nem tesz semmit más alkalmazásokkal, kivéve, ha betartják ezt a beállítást.

A FIPS mód letiltása (vagy engedélyezése, ha szükséges)

Nem szabad engedélyeznie ezt a beállítást, hacsak nem kormányzati számítógépet használ és kénytelen rá. Ha engedélyezi ezt a beállítást, egyes fogyasztói alkalmazások valóban megkérhetik a FIPS mód letiltására, hogy megfelelően működhessenek.

Ha engedélyezni vagy letiltani kell a FIPS módot – talán hibaüzenetet látott azután, hogy engedélyezte, tesztelnie kell, hogy a szoftver hogyan fog viselkedni egy olyan számítógépen, amelyen engedélyezve van a FIPS mód, vagy kormányzati számítógépet használ, és engedélyeznie kell – ezt többféleképpen is megteheti. A FIPS mód csak akkor engedélyezhető, ha egy adott hálózathoz csatlakozik, vagy egy rendszerszintű beállításon keresztül, amely mindig érvényes lesz.

Reklám

A FIPS mód engedélyezése csak akkor, ha csatlakozik egy adott hálózathoz. hálózaton hajtsa végre a következő lépéseket:

  1. Nyissa meg a Vezérlőpult ablakot.
  2. Kattintson a Hálózat és Internet részben a “Hálózati állapot és feladatok megtekintése” elemre.
  3. Kattintson az “Adapter beállításainak módosítása” elemre.
  4. Kattintson a jobb gombbal arra a hálózatra, amelynél engedélyezni szeretné a FIPS-t, és válassza az “Állapot” lehetőséget.
  5. Kattintson a “Vezeték nélküli tulajdonságok” gombra a Wi-Fi-n. Állapotablak.
  6. Kattintson a “Biztonság” fülre a hálózati tulajdonságok ablakban.
  7. Kattintson a “Speciális beállítások” gombra.
  8. Váltsa át a “Federal Information Processing Standards (FIPS) megfelelés engedélyezése ehhez a hálózathoz” beállítást a 802.11 beállítások alatt.

Ez a beállítás a csoportházirend-szerkesztőben rendszerszinten is megváltoztatható. Ez az eszköz csak a Windows professzionális, vállalati és oktatási verzióiban érhető el – nem a Home verzióban. Csak akkor használhatja a helyi csoportházirend-szerkesztőt ennek az eszköznek a megváltoztatására, ha olyan számítógépen tartózkodik, amely nem csatlakozik egy olyan tartományhoz, amely az Ön számítógépének csoportházirend-beállításait kezeli. Ha számítógépe csatlakozik egy tartományhoz, és a csoportházirend-beállításokat központilag kezeli a szervezete, akkor saját maga nem tudja megváltoztatni. A beállítás módosítása a csoportházirendben:

  1. A Futtatás párbeszédpanel megnyitásához nyomja meg a Windows billentyűt + R.
  2. Írja be a “gpedit.msc” parancsot a Futtatás párbeszédpanelbe (a idézetek), és nyomja meg az Enter billentyűt.
  3. Keresse meg a “Számítógép konfigurációja \ Windows beállítások \ biztonsági beállítások \ helyi házirendek \ biztonsági beállítások” elemet a csoportházirend-szerkesztőben.
  4. Keresse meg a “Rendszer kriptográfia: Használjon FIPS-kompatibilis algoritmusokat a jobb oldali ablaktábla titkosításához, hasításához és aláírásához ”, és kattintson rá duplán.
  5. Állítsa a beállítást„ Letiltva ”elemre, majd kattintson az„ OK ”gombra.
  6. Indítsa újra a számítógépet.

A Windows otthoni verzióiban továbbra is engedélyezheti vagy letilthatja a FIPS beállításokat a rendszerleíró adatbázis beállításain keresztül. Annak ellenőrzéséhez, hogy a FIPS be van-e kapcsolva a rendszerleíró adatbázisban, kövesse az alábbiakat. lépések:

  1. A Futtatás párbeszédpanel megnyitásához nyomja meg a Windows billentyűt + R.
  2. Írja be a “regedit” parancsot a Futtatás párbeszédpanelbe (idézőjelek nélkül), és nyomja meg az Enter billentyűt.
  3. Keresse meg a “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip” sAlgorithmPolicy \ ”.
  4. Nézze meg a jobb oldali ablaktábla„ Engedélyezve ”értékét. Ha “0” -ra van állítva, akkor a FIPS mód le van tiltva. Ha “1” -re van állítva, akkor a FIPS mód engedélyezett. A beállítás megváltoztatásához kattintson duplán az „Engedélyezett” értékre, és állítsa „0” vagy „1” értékre.
  5. Indítsa újra a számítógépet.

Köszönet @SwiftOnSecurity a Twitteren, hogy inspirálta ezt a bejegyzést!

Chris Hoffman
Chris Hoffman a How-To Geek főszerkesztője. Közel egy évtizede ír a technológiáról. és két évig a PCWorld rovatvezetője volt. Chris írt a The New York Times-nak, technológiai szakértőként interjút készített vele olyan TV-állomásokon, mint a Miami NBC 6, és munkáját olyan híradások ismertették, mint a BBC. 2011 óta Chris több mint 2000 cikket írt, amelyeket elolvastak több mint 500 milliószor — és ez csak itt a How-To Geeknél. Olvassa el a teljes életrajzot “

Leave a Reply

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük