Windows에서 “FIPS 호환”암호화를 활성화하면 안되는 이유

• Chris Hoffman

  @chrisbhoffman

• 7 월 업데이트 2017 년 12 월 12 일 오전 11:34 EDT

Windows에는 정부 인증 “FIPS 준수”암호화 만 활성화하는 숨겨진 설정이 있습니다. PC 보안을 강화하는 방법처럼 들릴 수 있습니다. 정부에서 일하거나 정부 PC에서 소프트웨어가 어떻게 작동하는지 테스트해야하는 경우가 아니면이 설정을 활성화하지 마십시오.

이 조정은 다른 쓸모없는 Windows 조정 신화와 잘 어울립니다. Windows에서이 설정을 우연히 발견했거나 다른 곳에서 언급 한 경우 활성화하지 마십시오. 정당한 이유없이 이미 활성화 한 경우 아래 단계를 사용하여 “FIPS 모드”를 비활성화하십시오.

What FIPS 호환 암호화입니까?

관련 : 10 가지 Windows Tweaking 신화에 대한 이해

FIPS는 “연방 정보 처리 표준”을 의미합니다. 이는 정부에서 특정 항목이 사용되는 방식을 정의하는 일련의 정부 표준입니다 (예 : 암호화 알고리즘). FIPS는 사용할 수있는 특정 암호화 방법과 암호화 키 생성 방법을 정의합니다. 표준 및 기술 또는 NIST.

Windows의 설정은 미국 정부의 FIPS 140 표준을 준수합니다. 사용하도록 설정하면 Windows에서 FIPS 검증 암호화 체계 만 사용하도록합니다. 그리고 응용 프로그램에도 그렇게하도록 조언합니다.

“FIPS 모드”는 Windows를 더 안전하게 만들 수 없습니다. FIPS 검증을 거치지 않은 최신 암호화 체계에 대한 액세스 만 차단합니다. 즉, 새로운 암호화 체계를 사용하거나 동일한 암호화 체계를 사용하는 더 빠른 방법을 사용할 수 없습니다. 즉, 컴퓨터 속도가 느려지고 기능이 떨어지며 보안 수준이 떨어집니다.

이 설정을 사용하면 Windows가 다르게 작동하는 방식

Microsoft는이 설정이 실제로 수행하는 작업을 설명합니다. “FIPS 모드”를 더 이상 권장하지 않는 이유 “라는 제목의 블로그 게시물. Microsoft는 필요한 경우에만 FIPS 모드를 사용하는 것이 좋습니다. 예를 들어 미국 정부 컴퓨터를 사용하는 경우 해당 컴퓨터는 정부 자체 규정에 따라 “FIPS 모드”를 활성화해야합니다. 개인용 컴퓨터에서이 기능을 활성화하려는 실제 사례는 없습니다. 이 설정을 사용하도록 설정 한 상태에서 미국 정부 컴퓨터에서 소프트웨어가 어떻게 작동하는지 테스트했습니다.

이 설정은 Windows 자체에 두 가지 작업을 수행합니다. Windows 및 Windows 서비스가 FIPS 검증 암호화 만 사용하도록합니다. 예를 들어, Windows에 내장 된 Schannel 서비스는 이전 SSL 2.0 및 3.0 프로토콜에서 작동하지 않으며 대신 최소 TLS 1.0이 필요합니다.

Microsoft의 .NET 프레임 워크도 다음에 대한 액세스를 차단합니다. FIPS 검증되지 않은 알고리즘. .NET 프레임 워크는 대부분의 암호화 알고리즘에 대해 여러 가지 다른 알고리즘을 제공하며 모두 검증을 위해 제출 된 것도 아닙니다. 예를 들어 Microsoft는 SHA256 해싱의 세 가지 버전이 있음을 언급합니다. 알고리즘 .NET 프레임 워크에서 m. 가장 빠른 것은 검증을 위해 제출되지 않았지만 마찬가지로 안전해야합니다. 따라서 FIPS 모드를 활성화하면보다 효율적인 알고리즘을 사용하는 .NET 응용 프로그램이 중단되거나 덜 효율적인 알고리즘을 사용하여 속도가 느려집니다.

이 두 가지를 제외하고 FIPS 모드를 활성화하면 응용 프로그램에 권장됩니다. FIPS 검증 암호화 만 사용하십시오. 하지만 다른 것은 강요하지 않습니다. 기존의 Windows 데스크톱 응용 프로그램은 원하는 암호화 코드 (심지어 끔찍하게 취약한 암호화)를 구현하거나 전혀 암호화하지 않도록 선택할 수 있습니다. FIPS 모드는이 설정을 따르지 않는 한 다른 응용 프로그램에 아무 작업도 수행하지 않습니다.

FIPS 모드를 비활성화하는 방법 (또는 필요한 경우 활성화)

활성화해서는 안됩니다. 정부 컴퓨터를 사용하지 않고 강제로 사용하지 않는 한이 설정. 이 설정을 활성화하면 일부 소비자 응용 프로그램이 실제로 FIPS 모드를 비활성화하여 제대로 작동 할 수 있도록 요청할 수 있습니다.

FIPS 모드를 활성화 또는 비활성화해야하는 경우 다음 오류 메시지가 표시 될 수 있습니다. 활성화 한 경우 FIPS 모드가 활성화 된 컴퓨터에서 소프트웨어가 어떻게 작동하는지 테스트해야합니다. 또는 정부 컴퓨터를 사용 중이고 활성화해야합니다. 여러 가지 방법으로 수행 할 수 있습니다. FIPS 모드는 특정 네트워크에 연결된 경우에만 활성화하거나 항상 적용되는 시스템 전체 설정을 통해 활성화 할 수 있습니다.

특정 네트워크에 연결된 경우에만 FIPS 모드를 활성화하려면 다음 단계를 수행하십시오.

1. 제어판 창을 엽니 다.
2. 네트워크 및 인터넷에서 “네트워크 상태 및 작업보기”를 클릭합니다.
3. “어댑터 설정 변경”을 클릭합니다.
4. FIPS를 활성화 할 네트워크를 마우스 오른쪽 버튼으로 클릭하고 “상태”를 선택합니다.
5. Wi-Fi에서 “무선 속성”버튼을 클릭합니다. 상태 창.
6. 네트워크 속성 창에서 “보안”탭을 클릭합니다.
7. “고급 설정”버튼을 클릭합니다.
8. 802.11 설정에서 “이 네트워크에 대해 FIPS (Federal Information Processing Standards) 준수 활성화”옵션을 전환합니다.

이 설정은 그룹 정책 편집기에서 시스템 전체에서 변경할 수도 있습니다. 이 도구는 Home 버전이 아닌 Professional, Enterprise 및 Education 버전의 Windows에서만 사용할 수 있습니다. 컴퓨터의 그룹 정책 설정을 관리하는 도메인에 가입되지 않은 컴퓨터를 사용하는 경우에만 로컬 그룹 정책 편집기를 사용하여이 도구를 변경할 수 있습니다. 컴퓨터가 도메인에 가입되어 있고 그룹 정책 설정이 조직에서 중앙에서 관리되는 경우 직접 변경할 수 없습니다. 그룹 정책에서이 설정을 변경하려면 :

1. Windows 키 + R을 눌러 실행 대화 상자를 엽니 다.
2. 실행 대화 상자에 “gpedit.msc”를 입력합니다 ( 따옴표)를 입력하고 Enter 키를 누릅니다.
3. 그룹 정책 편집기에서 “컴퓨터 구성 \ Windows 설정 \ 보안 설정 \ 로컬 정책 \ 보안 옵션”으로 이동합니다.
4. “시스템 암호화 : 암호화, 해싱 및 서명에 FIPS 호환 알고리즘을 사용하십시오.”설정을 오른쪽 창에서 두 번 클릭합니다.
5. 설정을 “사용 안 함”으로 설정하고 “확인”을 클릭합니다.
6. 컴퓨터를 다시 시작합니다.

Windows Home 버전에서는 레지스트리 설정을 통해 FIPS 설정을 활성화 또는 비활성화 할 수 있습니다. 레지스트리에서 FIPS가 활성화되었는지 비활성화되었는지 확인하려면 다음을 따르십시오. 단계 :

1. Windows 키 + R을 눌러 실행 대화 상자를 엽니 다.
2. 실행 대화 상자에 “regedit”를 따옴표없이 입력하고 Enter 키를 누릅니다.

   li>

3. “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \”.
4. 오른쪽 창에서 “사용”값을 확인합니다. “0”으로 설정하면 FIPS 모드가 비활성화되고 “1”로 설정하면 FIPS 모드가 활성화됩니다. 설정을 변경하려면 “사용”값을 두 번 클릭하고 “0”또는 “1”로 설정하십시오.
5. 컴퓨터를 다시 시작하십시오.

감사합니다. Twitter에서 @SwiftOnSecurity가이 게시물에 영감을주었습니다!