Hvorfor du ikke bør aktivere «FIPS-kompatibel» kryptering i Windows

  • Chris Hoffman

    @chrisbhoffman

  • Oppdatert juli 12. 2017, 11:34 EDT

Windows har en skjult innstilling som bare muliggjør myndighetssertifisert «FIPS-kompatibel» kryptering. Det kan høres ut som en måte å øke PC-ens sikkerhet, men det er det ikke. Du bør ikke aktivere denne innstillingen med mindre du jobber i regjeringen eller trenger å teste hvordan programvaren vil oppføre seg på statlige PC-er.

Denne finjusteringen passer rett sammen med andre ubrukelige Windows-justeringsmyter. Hvis du har snublet over denne innstillingen i Windows eller sett den nevnt andre steder, ikke aktiver den. Hvis du allerede har aktivert den uten god grunn, bruk trinnene nedenfor for å deaktivere «FIPS-modus».

Hva Er FIPS-kompatibel kryptering?

RELATERT: 10 Windows Tweaking Myths Debunked

FIPS står for «Federal Information Processing Standards.» Det er et sett med statlige standarder som definerer hvordan visse ting brukes i myndighetene – for eksempel krypteringsalgoritmer. FIPS definerer bestemte spesifikke krypteringsmetoder som kan brukes, samt metoder for å generere krypteringsnøkler. Det er publisert av National Institute of Standarder og teknologi, eller NIST.

Annonse

Innstillingen i Windows er i samsvar med den amerikanske regjeringen FIPS 140. Når den er aktivert, tvinger den Windows til å bare bruke FIPS-validerte krypteringsplaner og råder applikasjoner til å gjøre det også.

«FIPS-modus» gjør ikke Windows sikrere. Det blokkerer bare tilgang til nyere kryptografisk ordninger som ikke er FIPS-validert. Det betyr at den ikke vil kunne bruke nye krypteringsordninger eller raskere måter å bruke de samme krypteringsskjemaene på. Med andre ord gjør det datamaskinen tregere, mindre funksjonell og uten tvil mindre sikker.

Hvordan Windows oppfører seg annerledes hvis du aktiverer denne innstillingen

Microsoft forklarer hva denne innstillingen faktisk gjør i en blogginnlegg med tittelen «Hvorfor anbefaler vi ikke» FIPS-modus «lenger.» Microsoft anbefaler bare at du bruker FIPS-modus hvis du må. For eksempel, hvis du bruker en amerikansk regjeringscomputer, skal datamaskinen ha «FIPS-modus» aktivert i henhold til myndighetens egne regler. Det er ingen reelle tilfeller der du vil aktivere dette på din egen personlige datamaskin – med mindre du testet hvordan programvaren din oppførte seg på amerikanske regjeringens datamaskiner med denne innstillingen aktivert.

Denne innstillingen gjør to ting mot Windows selv. Det tvinger Windows og Windows-tjenester til å bare bruke FIPS-validert kryptografi. For eksempel Schannel-tjenesten innebygd i Windows fungerer ikke med eldre SSL 2.0- og 3.0-protokoller, og vil kreve minst TLS 1.0 i stedet.

Annonse

Microsofts .NET-rammeverk vil også blokkere tilgang til algoritmer som ikke er FIPS-validerte. NET-rammeverket tilbyr flere forskjellige algoritmer for de fleste kryptografialgoritmer, og ikke alle har til og med blitt sendt inn for validering. Som et eksempel bemerker Microsoft at det er tre forskjellige versjoner av SHA256-hashing algoritme m i .NET-rammeverket. Den raskeste har ikke blitt sendt inn for validering, men skal være like sikker. Å aktivere FIPS-modus vil enten bryte .NET-applikasjoner som bruker den mer effektive algoritmen eller tvinge dem til å bruke den mindre effektive algoritmen og være tregere.

Bortsett fra disse to tingene, aktiverer FIPS-modus for applikasjoner at de bruk bare FIPS-validert kryptering. Men det tvinger ikke noe annet. Tradisjonelle Windows-skrivebordsprogrammer kan velge å implementere hvilken som helst krypteringskode de ønsker – til og med fryktelig sårbar kryptering – eller ingen kryptering i det hele tatt. FIPS-modus gjør ikke noe med andre applikasjoner med mindre de følger denne innstillingen.

Slik deaktiverer du FIPS-modus (eller aktiverer det hvis du må)

Du bør ikke aktivere denne innstillingen med mindre du bruker en offentlig datamaskin og er tvunget til å gjøre det. Hvis du aktiverer denne innstillingen, kan noen forbrukerapplikasjoner faktisk be deg om å deaktivere FIPS-modus slik at de kan fungere skikkelig.

Hvis du trenger å aktivere eller deaktivere FIPS-modus – kanskje du har sett en feilmelding etter du aktiverte den, må du teste hvordan programvaren din vil oppføre seg på en datamaskin med FIPS-modus aktivert, eller du bruker en offentlig datamaskin og må aktivere den – du kan gjøre det på flere måter. FIPS-modus kan bare aktiveres når den er koblet til et bestemt nettverk, eller via en systemomfattende innstilling som alltid vil gjelde.

Annonse

For å aktivere FIPS-modus bare når den er koblet til en bestemt nettverk, utfør følgende trinn:

  1. Åpne vinduet Kontrollpanel.
  2. Klikk på «Vis nettverksstatus og oppgaver» under Nettverk og Internett.
  3. Klikk på «Endre adapterinnstillinger.»
  4. Høyreklikk på nettverket du vil aktivere FIPS for, og velg «Status».
  5. Klikk på «Trådløse egenskaper» -knappen i Wi-Fi Statusvindu.
  6. Klikk på «Sikkerhet» -fanen i nettverksegenskapsvinduet.
  7. Klikk på knappen «Avanserte innstillinger».
  8. Bytt alternativet «Aktiver Federal Information Processing Standards (FIPS) compliance for dette nettverket» under 802.11-innstillinger.

Denne innstillingen kan også endres hele systemet i redigeringsprogrammet for gruppepolicy. Dette verktøyet er bare tilgjengelig i Professional-, Enterprise- og Education-versjoner av Windows – ikke Home-versjoner. Du kan bare bruke den lokale gruppepolicyredigereren til å endre dette verktøyet hvis du er på en datamaskin som ikke er tilknyttet et domene som administrerer datamaskinens gruppepolicyinnstillinger for deg. Hvis datamaskinen din er koblet til et domene og gruppepolicyinnstillingene administreres sentralt av organisasjonen din, vil du ikke kunne endre det selv. For å endre denne innstillingen i gruppepolicy:

  1. Trykk Windows-tasten + R for å åpne Kjør-dialogboksen.
  2. Skriv «gpedit.msc» i dialogboksen Kjør (uten anførselstegn) og trykk Enter.
  3. Naviger til «Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options» i Group Policy Editor.
  4. Finn «Systemkryptografi: Bruk FIPS-kompatible algoritmer for kryptering, hashing og signering ”i høyre rute og dobbeltklikk på den.
  5. Sett innstillingen til» Disabled «og klikk» OK «.
  6. Start datamaskinen på nytt.

På hjemmeversjoner av Windows kan du fortsatt aktivere eller deaktivere FIPS-innstillingen via en registerinnstilling. For å kontrollere om FIPS er aktivert eller deaktivert i registeret, følg følgende trinn:

  1. Trykk Windows-tasten + R for å åpne dialogboksen Kjør.
  2. Skriv «regedit» i dialogboksen Kjør (uten anførselstegn) og trykk Enter.
  3. Naviger til «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ ”.
  4. Se på» Enabled «-verdien i høyre rute. Hvis den er satt til «0», er FIPS-modus deaktivert. Hvis den er satt til «1», er FIPS-modus aktivert. For å endre innstillingen, dobbeltklikk på «Enabled» -verdien og sett den til enten «0» eller «1».
  5. Start datamaskinen på nytt.

Takk til @SwiftOnSecurity på Twitter for å inspirere dette innlegget!

Chris Hoffman
Chris Hoffman er sjefredaktør for How-To Geek. Han har skrevet om teknologi i nesten et tiår. og var en PCWorld-spaltist i to år. Chris har skrevet for The New York Times, blitt intervjuet som en teknologiekspert på TV-stasjoner som Miamis NBC 6, og hadde arbeidet dekket av nyheter som BBC. Siden 2011 har Chris skrevet over 2000 artikler som er blitt lest. mer enn 500 millioner ganger — og det er bare her på How-To Geek.Read Full Bio «

Leave a Reply

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *