Dlaczego nie należy włączać szyfrowania „zgodnego z FIPS” w systemie Windows

• Chris Hoffman

  @chrisbhoffman

• Zaktualizowano lipiec 12, 2017, 11:34 am EDT

Windows ma ukryte ustawienie, które umożliwia tylko certyfikowane przez rząd szyfrowanie „zgodne ze standardem FIPS”. Może to brzmieć jak sposób na zwiększenie bezpieczeństwa komputera, ale tak nie jest. Nie należy włączać tego ustawienia, chyba że pracujesz w rządzie lub musisz przetestować, jak oprogramowanie będzie się zachowywać na rządowych komputerach.

Ta poprawka pasuje do innych bezużytecznych mitów dotyczących ulepszania systemu Windows. natknąłem się na to ustawienie w systemie Windows lub widziałem o nim wzmiankę w innym miejscu, nie włączaj go. Jeśli już je włączyłeś bez dobrego powodu, wykonaj poniższe czynności, aby wyłączyć „tryb FIPS”.

Co Czy szyfrowanie zgodne z FIPS?

ZWIĄZANE: 10 obalonych mitów dotyczących ulepszania systemu Windows

FIPS to skrót od „Federal Information Processing Standards”. Jest to zestaw rządowych standardów, które definiują, w jaki sposób pewne rzeczy są używane w rządzie – na przykład algorytmy szyfrowania. FIPS definiuje określone metody szyfrowania, które mogą być używane, a także metody generowania kluczy szyfrowania. Został opublikowany przez National Institute of Standards and Technology lub NIST.

Ustawienie w systemie Windows jest zgodne ze standardem FIPS 140 rządu Stanów Zjednoczonych. Gdy jest włączone, zmusza system Windows do używania wyłącznie schematów szyfrowania zatwierdzonych przez FIPS i radzi również aplikacjom, aby to robiły.

„Tryb FIPS” nie zwiększa bezpieczeństwa systemu Windows. Po prostu blokuje dostęp do nowszych schematów kryptograficznych, które nie zostały zatwierdzone przez FIPS. Oznacza to, że nie będzie mógł używać nowych schematów szyfrowania ani szybszych sposobów korzystania z tych samych schematów szyfrowania. Innymi słowy, sprawia, że komputer jest wolniejszy, mniej funkcjonalny i prawdopodobnie mniej bezpieczny.

Jak system Windows zachowuje się inaczej, jeśli włączysz to ustawienie

Microsoft wyjaśnia, co to ustawienie faktycznie robi w post na blogu zatytułowany „Dlaczego już nie zalecamy” trybu FIPS ”.” Firma Microsoft zaleca używanie trybu FIPS tylko wtedy, gdy jest to konieczne. Na przykład, jeśli używasz komputera rządowego Stanów Zjednoczonych, komputer ten powinien mieć włączony „tryb FIPS” zgodnie z własnymi przepisami rządu. Nie ma prawdziwego przypadku, w którym chciałbyś włączyć to na swoim komputerze osobistym – chyba że testowałeś, jak Twoje oprogramowanie zachowuje się na komputerach rządu Stanów Zjednoczonych z włączonym tym ustawieniem.

To ustawienie robi dwie rzeczy w samym systemie Windows. Zmusza Windows i usługi Windows do używania tylko kryptografii zatwierdzonej przez FIPS. Na przykład Usługa Schannel wbudowana w system Windows nie będzie działać ze starszymi protokołami SSL 2.0 i 3.0, a zamiast tego będzie wymagać co najmniej TLS 1.0.

Platforma .NET firmy Microsoft będzie również blokować dostęp do algorytmy, które nie są sprawdzane przez FIPS. Platforma .NET oferuje kilka różnych algorytmów dla większości algorytmów kryptograficznych i nie wszystkie z nich zostały nawet przesłane do walidacji. Na przykład Microsoft zauważa, że istnieją trzy różne wersje algorytmu SHA256 algorytm mw środowisku .NET. Najszybsza nie została przesłana do weryfikacji, ale powinna być równie bezpieczna. Zatem włączenie trybu FIPS albo zepsuje aplikacje .NET, które używają bardziej wydajnego algorytmu, albo zmusi je do korzystania z mniej wydajnego algorytmu i będą wolniejsze.

Oprócz tych dwóch rzeczy, włączenie trybu FIPS zaleca aplikacjom, że używaj również tylko szyfrowania zatwierdzonego przez FIPS. Ale to nie wymusza niczego innego. Tradycyjne aplikacje Windows na komputery stacjonarne mogą zdecydować się na zaimplementowanie dowolnego kodu szyfrującego, jaki chcą – nawet niezwykle podatnego na ataki szyfrowania – lub w ogóle go nie stosować. Tryb FIPS nie robi nic innym aplikacjom, chyba że przestrzegają tego ustawienia.

Jak wyłączyć tryb FIPS (lub włączyć go, jeśli musisz)

Nie należy włączać to ustawienie, chyba że używasz komputera rządowego i jesteś do tego zmuszony. Jeśli włączysz to ustawienie, niektóre aplikacje konsumenckie mogą w rzeczywistości prosić o wyłączenie trybu FIPS, aby działały poprawnie.

Jeśli musisz włączyć lub wyłączyć tryb FIPS – być może po wyświetleniu komunikatu o błędzie jeśli go włączyłeś, musisz przetestować, jak oprogramowanie będzie się zachowywać na komputerze z włączonym trybem FIPS lub używasz komputera rządowego i musisz go włączyć – możesz to zrobić na kilka sposobów. Tryb FIPS można włączyć tylko po podłączeniu do określonej sieci lub za pośrednictwem ustawienia systemowego, które będzie zawsze obowiązywać.

Aby włączyć tryb FIPS tylko po podłączeniu do określonego sieci, wykonaj następujące czynności:

1. Otwórz okno Panelu sterowania.
2. Kliknij „Wyświetl stan sieci i zadania” w obszarze Sieć i Internet.
3. Kliknij „Zmień ustawienia karty”.
4. Kliknij prawym przyciskiem myszy sieć, dla której chcesz włączyć FIPS, i wybierz „Stan”.
5. Kliknij przycisk „Właściwości sieci bezprzewodowej” w sieci Wi-Fi Okno stanu.
6. Kliknij kartę „Zabezpieczenia” w oknie właściwości sieci.
7. Kliknij przycisk „Ustawienia zaawansowane”.
8. Przełącz opcję „Włącz zgodność z Federal Information Processing Standards (FIPS) dla tej sieci” w ustawieniach 802.11.

To ustawienie można również zmienić w całym systemie w edytorze zasad grupy. To narzędzie jest dostępne tylko w wersjach Professional, Enterprise i Education systemu Windows, a nie w wersjach Home. Możesz użyć lokalnego edytora zasad grupy do zmiany tego narzędzia tylko wtedy, gdy jesteś na komputerze, który nie jest przyłączony do domeny, która zarządza ustawieniami zasad grupy w Twoim imieniu. Jeśli komputer jest przyłączony do domeny, a ustawienia zasad grupy są centralnie zarządzane przez organizację, nie będzie można ich zmienić samodzielnie. Aby zmienić to ustawienie w zasadach grupy:

1. Naciśnij klawisz Windows + R, aby otworzyć okno dialogowe Uruchom.
2. Wpisz „gpedit.msc” w oknie dialogowym Uruchom (bez cudzysłowy) i naciśnij klawisz Enter.
3. Przejdź do „Konfiguracja komputera \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Zasady lokalne \ Opcje zabezpieczeń” w Edytorze zasad grupy.
4. Zlokalizuj „Kryptografia systemu: Użyj zgodnych ze standardem FIPS algorytmów do szyfrowania, mieszania i podpisywania ”w prawym okienku i kliknij je dwukrotnie.
5. Ustaw ustawienie na„ Wyłączone ”i kliknij„ OK ”.
6. Uruchom ponownie komputer.

W domowych wersjach systemu Windows nadal możesz włączać lub wyłączać ustawienie FIPS za pomocą ustawień rejestru. Aby sprawdzić, czy FIPS jest włączony lub wyłączony w rejestrze, wykonaj następujące czynności kroki:

1. Naciśnij klawisz Windows + R, aby otworzyć okno dialogowe Uruchom.
2. Wpisz „regedit” w oknie dialogowym Uruchom (bez cudzysłowów) i naciśnij Enter.
3. Przejdź do „HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ ”.
4. Spójrz na wartość„ Enabled ”w prawym panelu. Jeśli jest ustawiony na „0”, tryb FIPS jest wyłączony. Jeśli jest ustawiony na „1”, tryb FIPS jest włączony. Aby zmienić to ustawienie, kliknij dwukrotnie wartość „Włączone” i ustaw ją na „0” lub „1”.
5. Uruchom ponownie komputer.

Dzięki @SwiftOnSecurity na Twitterze za inspirację do tego posta!