Waarom u “FIPS-compatibele” versleuteling niet moet inschakelen op Windows

• Chris Hoffman

  @chrisbhoffman

• Bijgewerkt juli 12, 2017, 11:34 uur EDT

Windows heeft een verborgen instelling die alleen door de overheid gecertificeerde “FIPS-compatibele” codering mogelijk maakt. Het klinkt misschien als een manier om de beveiliging van uw pc te verbeteren, maar dat is het niet. Schakel deze instelling alleen in als u bij de overheid werkt of moet testen hoe software zich gedraagt op overheids-pc’s.

Deze aanpassing past precies naast andere nutteloze Windows-tweaking-mythen. ben deze instelling tegengekomen in Windows of heb gezien dat deze ergens anders wordt vermeld, schakel deze dan niet in. Als je deze al zonder een goede reden hebt ingeschakeld, gebruik dan de onderstaande stappen om de “FIPS-modus” uit te schakelen.

Wat Is FIPS-compatibele versleuteling?

GERELATEERD: 10 Windows Tweaking Myths ontkracht

FIPS staat voor “Federal Information Processing Standards.” Het is een reeks overheidsstandaarden die bepalen hoe bepaalde dingen in de overheid worden gebruikt, bijvoorbeeld versleutelingsalgoritmen. FIPS definieert bepaalde specifieke versleutelingsmethoden die kunnen worden gebruikt, evenals methoden voor het genereren van versleutelingssleutels. Het is gepubliceerd door het National Institute of Standards and Technology, of NIST.

De instelling in Windows voldoet aan de FIPS 140-standaard van de Amerikaanse overheid. Als deze is ingeschakeld, dwingt het Windows om alleen FIPS-gevalideerde versleutelingsschema’s te gebruiken en adviseert toepassingen dit ook te doen.

“FIPS-modus” maakt Windows niet veiliger. Het blokkeert gewoon de toegang tot nieuwere cryptografieschema’s die niet FIPS-gevalideerd zijn. Dat betekent dat het geen nieuwe versleutelingsschema’s kan gebruiken, of snellere manieren om dezelfde versleutelingsschema’s te gebruiken. Met andere woorden, het maakt uw computer langzamer, minder functioneel en aantoonbaar minder veilig.

Hoe Windows zich anders gedraagt als u deze instelling inschakelt

Microsoft legt uit wat deze instelling eigenlijk doet in een blogpost met de titel “Waarom we FIPS-modus niet aanbevelen” Anymore. ” Microsoft raadt u alleen aan om de FIPS-modus te gebruiken als het moet. Als u bijvoorbeeld een computer van de Amerikaanse overheid gebruikt, wordt verondersteld dat de ‘FIPS-modus’ op die computer is ingeschakeld volgens de eigen regelgeving van de overheid. Er is geen geval waarin u dit op uw eigen pc zou willen inschakelen, tenzij u testte hoe uw software zich gedraagt op computers van de Amerikaanse overheid terwijl deze instelling is ingeschakeld.

Deze instelling doet twee dingen met Windows zelf. Het dwingt Windows- en Windows-services om alleen FIPS-gevalideerde cryptografie te gebruiken. De De in Windows ingebouwde Schannel-service werkt niet met oudere SSL 2.0- en 3.0-protocollen en vereist in plaats daarvan ten minste TLS 1.0.

Het .NET-framework van Microsoft blokkeert ook de toegang tot algoritmen die niet FIPS-gevalideerd zijn. Het .NET-framework biedt verschillende algoritmen voor de meeste cryptografische algoritmen, en ze zijn niet allemaal ingediend voor validatie. Microsoft merkt bijvoorbeeld op dat er drie verschillende versies zijn van de SHA256-hashing algoritme m in het .NET-framework. De snelste is niet ter validatie ingediend, maar zou net zo veilig moeten zijn. Dus door de FIPS-modus in te schakelen, worden .NET-toepassingen die het efficiëntere algoritme gebruiken, verbroken of worden ze gedwongen het minder efficiënte algoritme te gebruiken en langzamer te zijn.

Afgezien van deze twee dingen, raadt het inschakelen van de FIPS-modus aan toepassingen aan gebruik ook alleen FIPS-gevalideerde versleuteling. Maar het dwingt niets anders. Traditionele Windows-desktoptoepassingen kunnen ervoor kiezen om elke gewenste coderingscode te implementeren – zelfs verschrikkelijk kwetsbare codering – of helemaal geen codering. FIPS-modus doet niets met andere applicaties, tenzij ze zich aan deze instelling houden.

Hoe FIPS-modus uit te schakelen (of in te schakelen, als dat moet)

Je zou niet moeten inschakelen deze instelling tenzij u een overheidscomputer gebruikt en daartoe wordt gedwongen. Als u deze instelling inschakelt, vragen sommige consumententoepassingen u mogelijk om de FIPS-modus uit te schakelen, zodat ze correct kunnen functioneren.

Als u de FIPS-modus moet in- of uitschakelen, heeft u misschien een foutmelding gezien na als je het hebt ingeschakeld, moet je testen hoe je software zich gedraagt op een computer met FIPS-modus ingeschakeld, of je gebruikt een overheidscomputer en moet het inschakelen – je kunt dit op verschillende manieren doen. De FIPS-modus kan alleen worden ingeschakeld als er verbinding is met een specifiek netwerk, of via een systeembrede instelling die altijd van toepassing is.

Om de FIPS-modus alleen in te schakelen bij verbinding met een specifiek netwerk, voert u de volgende stappen uit:

1. Open het Configuratiescherm.
2. Klik op “Netwerkstatus en taken weergeven” onder Netwerk en internet.
3. Klik op ‘Adapterinstellingen wijzigen’.
4. Klik met de rechtermuisknop op het netwerk waarvoor u FIPS wilt inschakelen en selecteer ‘Status’.
5. Klik op de knop ‘Draadloze eigenschappen’ in het Wi-Fi Statusvenster.
6. Klik op het tabblad “Beveiliging” in het venster met netwerkeigenschappen.
7. Klik op de knop “Geavanceerde instellingen”.
8. Schakel de optie “Federal Information Processing Standards (FIPS) -compatibiliteit voor dit netwerk inschakelen” onder 802.11-instellingen in.

Deze instelling kan ook systeembreed worden gewijzigd in de groepsbeleid-editor. Deze tool is alleen beschikbaar in de Professional-, Enterprise- en Education-versies van Windows, niet in Home-versies. U kunt de lokale groepsbeleid-editor alleen gebruiken om deze tool te wijzigen als u zich op een computer bevindt die geen lid is van een domein dat de groepsbeleidsinstellingen van uw computer voor u beheert. Als uw computer lid is van een domein en de instellingen voor groepsbeleid centraal worden beheerd door uw organisatie, kunt u deze niet zelf wijzigen. Om deze instelling in Groepsbeleid te wijzigen:

1. Druk op Windows-toets + R om het dialoogvenster Uitvoeren te openen.
2. Typ “gpedit.msc” in het dialoogvenster Uitvoeren (zonder de aanhalingstekens) en druk op Enter.
3. Navigeer naar “Computerconfiguratie \ Windows-instellingen \ Beveiligingsinstellingen \ Lokaal beleid \ Beveiligingsopties” in de Groepsbeleid-editor.
4. Zoek de “Systeemcryptografie: Gebruik FIPS-compatibele algoritmen voor codering, hashing en ondertekening ”in het rechterdeelvenster en dubbelklik erop.
5. Zet de instelling op ‘Uitgeschakeld’ en klik op ‘OK’.
6. Start de computer opnieuw op.

In Home-versies van Windows kunt u de FIPS-instelling nog steeds in- of uitschakelen via een registerinstelling. Om te controleren of FIPS is in- of uitgeschakeld in het register, volgt u het volgende stappen:

1. Druk op Windows-toets + R om het dialoogvenster Uitvoeren te openen.
2. Typ “regedit” in het dialoogvenster Uitvoeren (zonder de aanhalingstekens) en druk op Enter.
3. Navigeer naar “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ ”.
4. Kijk naar de waarde” Ingeschakeld “in het rechterdeelvenster. Als deze is ingesteld op “0”, is de FIPS-modus uitgeschakeld. Als deze is ingesteld op “1”, is de FIPS-modus ingeschakeld. Om de instelling te wijzigen, dubbelklikt u op de waarde “Ingeschakeld” en stelt u deze in op “0” of “1”.
5. Start de computer opnieuw op.

Met dank aan @SwiftOnSecurity op Twitter voor het inspireren van dit bericht!