Windowsで「FIPS準拠」の暗号化を有効にすべきではない理由

• Chris Hoffman

  @chrisbhoffman

• 7月更新2017年12月12日11:34 am EDT

Windowsには、政府認定の「FIPS準拠」暗号化のみを有効にする非表示の設定があります。これは、PCのセキュリティを強化する方法のように聞こえるかもしれません。政府で働いているか、政府のPCでソフトウェアがどのように動作するかをテストする必要がない限り、この設定を有効にしないでください。

この調整は、他の役に立たないWindows調整の神話とぴったり合います。 Windowsでこの設定に遭遇したか、他の場所で言及されているのを見た場合は、有効にしないでください。正当な理由なしにすでに有効にしている場合は、以下の手順を使用して「FIPSモード」を無効にしてください。

内容FIPS準拠の暗号化ですか？

関連：10のWindows Tweaking Myths Debunked

FIPSは、「連邦情報処理標準」の略です。これは、暗号化アルゴリズムなど、政府で特定のものがどのように使用されるかを定義する一連の政府標準です。FIPSは、使用できる特定の暗号化方法と、暗号化キーを生成する方法を定義します。これは、国立研究所によって公開されています。 Standards and Technology、またはNIST。

Windowsの設定は、米国政府のFIPS 140標準に準拠しています。有効にすると、WindowsはFIPSで検証された暗号化スキームのみを使用するようになります。また、アプリケーションにもそうするようにアドバイスします。

「FIPSモード」は、Windowsの安全性を高めるものではありません。 FIPSで検証されていない新しい暗号化スキームへのアクセスをブロックするだけです。つまり、新しい暗号化スキームを使用したり、同じ暗号化スキームをより高速に使用したりすることはできなくなります。つまり、コンピュータの速度が低下し、機能が低下し、ほぼ間違いなく安全性が低下します。

この設定を有効にした場合のWindowsの動作の違い

Microsoftは、この設定が実際にどのように機能するかを説明しています。 「なぜ「FIPSモード」を推奨しないのか」というタイトルのブログ投稿。マイクロソフトでは、必要な場合にのみFIPSモードを使用することをお勧めします。たとえば、米国政府のコンピューターを使用している場合、そのコンピューターでは政府独自の規制に従って「FIPSモード」が有効になっているはずです。自分のパーソナルコンピューターでこれを有効にする必要がある場合は、実際にはありません。この設定を有効にした状態で、米国政府のコンピューターでソフトウェアがどのように動作するかをテストしていました。

この設定は、Windows自体に対して2つのことを行います。これにより、WindowsおよびWindowsサービスはFIPSで検証された暗号化のみを使用するようになります。 Windowsに組み込まれているSchannelサービスは、古いSSL 2.0および3.0プロトコルでは機能せず、代わりに少なくともTLS1.0が必要になります。

Microsoftの.NETフレームワークは、 FIPSで検証されていないアルゴリズム。.NETフレームワークは、ほとんどの暗号化アルゴリズムに対していくつかの異なるアルゴリズムを提供し、それらのすべてが検証のために提出されているわけではありません。例として、Microsoftは、SHA256ハッシュには3つの異なるバージョンがあると述べています。アルゴリズム.NETFrameworkのm。最速のものは検証のために提出されていませんが、同じように安全である必要があります。したがって、FIPSモードを有効にすると、より効率的なアルゴリズムを使用する.NETアプリケーションが破損するか、効率の低いアルゴリズムを使用するように強制されて速度が低下します。

FIPSモードを有効にすると、アプリケーションに推奨されます。 FIPSで検証された暗号化のみを使用してください。しかし、それは他に何も強制しません。従来のWindowsデスクトップアプリケーションは、必要な暗号化コードを実装することを選択できます。恐ろしく脆弱な暗号化であっても、暗号化をまったく実装しないこともできます。 FIPSモードは、この設定に従わない限り、他のアプリケーションには何もしません。

FIPSモードを無効にする方法（または必要に応じて有効にする方法）

有効にしないでください政府のコンピューターを使用していて、強制されない限り、この設定。この設定を有効にすると、一部のコンシューマーアプリケーションは、正しく機能するためにFIPSモードを無効にするように実際に要求する場合があります。

FIPSモードを有効または無効にする必要がある場合は、後にエラーメッセージが表示されることがあります。有効にした場合、FIPSモードが有効になっているコンピューターでソフトウェアがどのように動作するかをテストする必要がある場合、または政府のコンピューターを使用していて有効にする必要がある場合は、いくつかの方法で行うことができます。 FIPSモードは、特定のネットワークに接続されている場合、または常に適用されるシステム全体の設定を介してのみ有効にできます。

特定のネットワークに接続されている場合にのみFIPSモードを有効にします。ネットワークの場合は、次の手順を実行します。

1. [コントロールパネル]ウィンドウを開きます。
2. [ネットワークとインターネット]の下の[ネットワークステータスとタスクの表示]をクリックします。
3. [アダプタ設定の変更]をクリックします。
4. FIPSを有効にするネットワークを右クリックし、[ステータス]を選択します。
5. Wi-Fiの[ワイヤレスプロパティ]ボタンをクリックします。ステータスウィンドウ。
6. ネットワークプロパティウィンドウの[セキュリティ]タブをクリックします。
7. [詳細設定]ボタンをクリックします。
8. 802.11設定で[このネットワークの連邦情報処理標準（FIPS）準拠を有効にする]オプションを切り替えます。

この設定は、グループポリシーエディターでシステム全体で変更することもできます。このツールは、WindowsのProfessional、Enterprise、およびEducationバージョンでのみ使用でき、Homeバージョンでは使用できません。ローカルグループポリシーエディターを使用してこのツールを変更できるのは、コンピューターのグループポリシー設定を管理しているドメインに参加していないコンピューターを使用している場合のみです。コンピューターがドメインに参加していて、グループポリシー設定が組織によって一元管理されている場合、自分で変更することはできません。グループポリシーでこの設定を変更するには：

1. Windowsキー+ Rを押して[実行]ダイアログを開きます。
2. [実行]ダイアログボックスに「gpedit.msc」と入力します（引用符）を選択し、Enterキーを押します。
3. グループポリシーエディターで[コンピューターの構成\ Windowsの設定\セキュリティの設定\ローカルポリシー\セキュリティのオプション]に移動します。
4. [システム暗号化：右ペインの[暗号化、ハッシュ、および署名にFIPS準拠のアルゴリズムを使用する]設定を使用して、ダブルクリックします。
5. 設定を[無効]に設定し、[OK]をクリックします。
6. コンピューターを再起動します。

ホームバージョンのWindowsでも、レジストリ設定を使用してFIPS設定を有効または無効にできます。レジストリでFIPSが有効か無効かを確認するには、次の手順に従います。手順：

1. Windowsキー+ Rを押して[ファイル名を指定して実行]ダイアログを開きます。
2. [ファイル名を指定して実行]ダイアログボックスに「regedit」と入力し（引用符なし）、Enterキーを押します。
3. “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fipに移動しますsAlgorithmPolicy \”。
4. 右ペインの「有効」の値を確認します。 「0」に設定すると、FIPSモードが無効になります。「1」に設定すると、FIPSモードが有効になります。設定を変更するには、「有効」の値をダブルクリックして、「0」または「1」のいずれかに設定します。
5. コンピュータを再起動します。

ありがとうございますこの投稿に刺激を与えてくれたTwitterの@SwiftOnSecurity！