Perché non dovresti abilitare la crittografia “conforme a FIPS” su Windows

• Chris Hoffman

  @chrisbhoffman

• Aggiornamento luglio 12, 2017, 11:34 EDT

Windows ha un’impostazione nascosta che abiliterà solo la crittografia “conforme a FIPS” certificata dal governo. Potrebbe sembrare un modo per aumentare la sicurezza del tuo PC, ma non lo è. Non dovresti abilitare questa impostazione a meno che tu non lavori nel governo o hai bisogno di testare come si comporterà il software sui PC del governo.

Questo tweak si adatta perfettamente ad altri miti inutili di modifica di Windows. Se tu ti sei imbattuto in questa impostazione in Windows o l’hai vista menzionata altrove, non abilitarla. Se l’hai già abilitata senza una buona ragione, utilizza i passaggi seguenti per disabilitare la “modalità FIPS”.

Cosa La crittografia conforme a FIPS è?

CORRELATI: 10 Windows Tweaking Myths debunked

FIPS sta per “Federal Information Processing Standards”. È un insieme di standard governativi che definiscono il modo in cui determinati elementi vengono utilizzati nel governo, ad esempio gli algoritmi di crittografia. FIPS definisce alcuni metodi di crittografia specifici che possono essere utilizzati, nonché metodi per la generazione di chiavi di crittografia. È pubblicato dal National Institute of Standard e tecnologia, o NIST.

L’impostazione in Windows è conforme allo standard FIPS 140 del governo degli Stati Uniti. Quando è abilitata, forza Windows a utilizzare solo schemi di crittografia convalidati da FIPS e consiglia anche alle applicazioni di farlo.

“Modalità FIPS” non rende Windows più sicuro. Blocca semplicemente l’accesso a schemi di crittografia più recenti che non sono stati convalidati da FIPS. Ciò significa che non sarà in grado di utilizzare nuovi schemi di crittografia o metodi più rapidi per utilizzare gli stessi schemi di crittografia. In altre parole, rende il tuo computer più lento, meno funzionale e probabilmente meno sicuro.

Come si comporta Windows in modo diverso se si abilita questa impostazione

Microsoft spiega cosa fa questa impostazione in un post sul blog intitolato “Perché non consigliamo” Modalità FIPS “Anymore.” Microsoft consiglia di utilizzare la modalità FIPS solo se necessario. Ad esempio, se utilizzi un computer del governo degli Stati Uniti, tale computer dovrebbe avere la “modalità FIPS” abilitata in base alle normative del governo. Non esiste un caso reale in cui vorresti abilitarlo sul tuo personal computer, a meno che stavi testando il comportamento del tuo software sui computer del governo degli Stati Uniti con questa impostazione abilitata.

Questa impostazione fa due cose su Windows stesso. Forza Windows e i servizi Windows a utilizzare solo crittografia convalidata FIPS. Ad esempio, il Il servizio Schannel integrato in Windows non funzionerà con i precedenti protocolli SSL 2.0 e 3.0 e richiederà almeno TLS 1.0.

Anche il framework .NET di Microsoft bloccherà l’accesso a algoritmi che non sono convalidati FIPS. Il framework .NET offre diversi algoritmi per la maggior parte degli algoritmi di crittografia e non tutti sono stati nemmeno sottoposti a convalida. Ad esempio, Microsoft rileva che esistono tre diverse versioni dell’hash SHA256 algoritmo m nel framework .NET. Il più veloce non è stato inviato per la convalida, ma dovrebbe essere altrettanto sicuro. Pertanto, l’abilitazione della modalità FIPS interromperà le applicazioni .NET che utilizzano l’algoritmo più efficiente o le costringerà a utilizzare l’algoritmo meno efficiente e saranno più lente.

A parte queste due cose, l’abilitazione della modalità FIPS consiglia alle applicazioni che utilizzare solo la crittografia convalidata da FIPS. Ma non forza nient’altro. Le tradizionali applicazioni desktop Windows possono scegliere di implementare qualsiasi codice di crittografia desiderino, anche una crittografia orribilmente vulnerabile, o nessuna crittografia. La modalità FIPS non fa nulla ad altre applicazioni a meno che non obbediscano a questa impostazione.

Come disabilitare la modalità FIPS (o abilitarla, se necessario)

Non dovresti abilitare questa impostazione a meno che tu non stia utilizzando un computer governativo e sei costretto a farlo. Se abiliti questa impostazione, alcune applicazioni consumer potrebbero effettivamente chiederti di disabilitare la modalità FIPS in modo che possano funzionare correttamente.

Se devi abilitare o disabilitare la modalità FIPS, forse hai visto un messaggio di errore dopo l’hai abilitato, devi testare come si comporterà il tuo software su un computer con la modalità FIPS abilitata, oppure stai usando un computer governativo e devi abilitarlo – puoi farlo in diversi modi. La modalità FIPS può essere abilitata solo quando si è connessi a una rete specifica o tramite un’impostazione a livello di sistema che verrà sempre applicata.

Per abilitare la modalità FIPS solo quando si è connessi a una specifica rete, esegui le seguenti operazioni:

1. Apri la finestra del Pannello di controllo.
2. Fai clic su “Visualizza stato e attività della rete” in Rete e Internet.
3. Fai clic su “Modifica impostazioni adattatore”.
4. Fai clic con il pulsante destro del mouse sulla rete per cui desideri abilitare FIPS e seleziona “Stato”.
5. Fai clic sul pulsante “Proprietà wireless” nel Wi-Fi Finestra di stato.
6. Fai clic sulla scheda “Protezione” nella finestra delle proprietà di rete.
7. Fai clic sul pulsante “Impostazioni avanzate”.
8. Seleziona l’opzione “Abilita conformità FIPS (Federal Information Processing Standards) per questa rete” nelle impostazioni 802.11.

Questa impostazione può anche essere modificata a livello di sistema nell’editor dei criteri di gruppo. Questo strumento è disponibile solo nelle versioni Professional, Enterprise ed Education delle versioni Windows e non Home. Puoi utilizzare l’editor dei criteri di gruppo locale per modificare questo strumento solo se sei su un computer che non fa parte di un dominio che gestisce le impostazioni dei criteri di gruppo del tuo computer per te. Se il tuo computer fa parte di un dominio e le impostazioni dei criteri di gruppo sono gestite centralmente dalla tua organizzazione, non sarai in grado di modificarle da solo. Per modificare questa impostazione in Criteri di gruppo:

1. Premi il tasto Windows + R per aprire la finestra di dialogo Esegui.
2. Digita “gpedit.msc” nella finestra di dialogo Esegui (senza virgolette) e premere Invio.
3. Accedere a “Configurazione computer \ Impostazioni di Windows \ Impostazioni di protezione \ Criteri locali \ Opzioni di protezione” nell’Editor criteri di gruppo.
4. Individuare “Crittografia di sistema: Utilizza algoritmi conformi a FIPS per l’impostazione di crittografia, hash e firma “nel riquadro di destra e fai doppio clic su di essa.
5. Imposta l’impostazione su” Disabilitato “e fai clic su” OK “.
6. Riavvia il computer.

Nelle versioni Home di Windows, puoi comunque abilitare o disabilitare l’impostazione FIPS tramite un’impostazione del registro. Per verificare se FIPS è abilitato o disabilitato nel registro, segui quanto segue passaggi:

1. Premi il tasto Windows + R per aprire la finestra di dialogo Esegui.
2. Digita “regedit” nella finestra di dialogo Esegui (senza virgolette) e premi Invio.
3. Vai a “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ “.
4. Guarda il valore” Enabled “nel riquadro di destra. Se è impostata su “0”, la modalità FIPS è disabilitata. Se è impostata su “1”, la modalità FIPS è abilitata. Per modificare l’impostazione, fai doppio clic sul valore “Abilitato” e impostalo su “0” o “1”.
5. Riavvia il computer.

Grazie a @SwiftOnSecurity su Twitter per aver ispirato questo post!