Por que você não deve habilitar a criptografia “compatível com FIPS” no Windows

  • Chris Hoffman

    @chrisbhoffman

  • Atualizado em julho 12, 2017, 11h34 EDT

O Windows tem uma configuração oculta que permitirá apenas a criptografia “compatível com FIPS” certificada pelo governo. Pode parecer uma forma de aumentar a segurança do seu PC, mas não é. Você não deve habilitar essa configuração, a menos que trabalhe no governo ou precise testar como o software se comportará em PCs do governo.

Esse ajuste se encaixa bem ao lado de outros mitos de ajustes inúteis do Windows. encontrei esta configuração no Windows ou a vi mencionada em outro lugar, não ative-a. Se você já a ativou sem um bom motivo, use as etapas abaixo para desativar o “modo FIPS”.

O que A criptografia é compatível com FIPS?

RELACIONADA: 10 mitos de ajustes do Windows desmascarados

FIPS significa “Federal Information Processing Standards”. É um conjunto de padrões governamentais que definem como certas coisas são usadas no governo – por exemplo, algoritmos de criptografia. FIPS define certos métodos de criptografia específicos que podem ser usados, bem como métodos para gerar chaves de criptografia. É publicado pelo Instituto Nacional de Padrões e tecnologia ou NIST.

Anúncio

A configuração do Windows está em conformidade com o padrão FIPS 140 do governo dos EUA. Quando ativado, força o Windows a usar apenas esquemas de criptografia validados por FIPS e aconselha os aplicativos a fazerem isso também.

O “modo FIPS” não torna o Windows mais seguro. Ele apenas bloqueia o acesso a esquemas de criptografia mais recentes que não foram validados por FIPS. Isso significa que ele não poderá usar novos esquemas de criptografia ou maneiras mais rápidas de usar os mesmos esquemas de criptografia. Em outras palavras, torna seu computador mais lento, menos funcional e, sem dúvida, menos seguro.

Como o Windows se comporta de maneira diferente se você habilitar essa configuração

A Microsoft explica o que essa configuração realmente faz em um postagem do blog intitulada “Por que não estamos recomendando” Modo FIPS ”mais.” A Microsoft só recomenda usar o modo FIPS se for necessário. Por exemplo, se você estiver usando um computador do governo dos EUA, esse computador deve ter o “modo FIPS” habilitado de acordo com os próprios regulamentos do governo. Não há nenhum caso real em que você queira habilitar isso em seu computador pessoal – a menos você estava testando como seu software se comporta em computadores do governo dos EUA com esta configuração ativada.

Esta configuração faz duas coisas no próprio Windows. Força o Windows e os serviços do Windows a usarem apenas criptografia validada por FIPS. Por exemplo, o O serviço Schannel integrado ao Windows não funcionará com protocolos SSL 2.0 e 3.0 mais antigos e exigirá pelo menos TLS 1.0.

Anúncio

O framework .NET da Microsoft também bloqueará o acesso a algoritmos que não são validados por FIPS. O .NET framework oferece vários algoritmos diferentes para a maioria dos algoritmos de criptografia, e nem todos eles foram enviados para validação. Por exemplo, a Microsoft observa que existem três versões diferentes do hashing SHA256 algoritmo m na estrutura .NET. O mais rápido não foi enviado para validação, mas deve ser tão seguro. Portanto, ativar o modo FIPS interromperá os aplicativos .NET que usam o algoritmo mais eficiente ou os forçará a usar o algoritmo menos eficiente e será mais lento.

Além dessas duas coisas, ativar o modo FIPS recomenda aos aplicativos que eles use apenas criptografia validada por FIPS também. Mas não força mais nada. Os aplicativos de desktop tradicionais do Windows podem escolher implementar qualquer código de criptografia que desejarem – mesmo criptografia terrivelmente vulnerável – ou nenhuma criptografia. O modo FIPS não faz nada para outros aplicativos, a menos que obedeçam a esta configuração.

Como desabilitar o modo FIPS (ou habilitá-lo, se necessário)

Você não deve habilitar esta configuração, a menos que você esteja usando um computador do governo e seja forçado a isso. Se você habilitar esta configuração, alguns aplicativos de consumidor podem realmente pedir para desabilitar o modo FIPS para que possam funcionar corretamente.

Se você precisar habilitar ou desabilitar o modo FIPS, talvez você tenha visto uma mensagem de erro depois você o habilitou, você precisa testar como seu software se comportará em um computador com o modo FIPS habilitado, ou você está usando um computador do governo e precisa habilitá-lo – você pode fazer isso de várias maneiras. O modo FIPS pode ser habilitado apenas quando conectado a uma rede específica ou por meio de uma configuração de todo o sistema que sempre se aplicará.

Anúncio

Para habilitar o modo FIPS somente quando conectado a uma rede específica rede, execute as seguintes etapas:

  1. Abra a janela Painel de controle.
  2. Clique em “Exibir o status e as tarefas da rede” em Rede e Internet.
  3. Clique em “Alterar configurações do adaptador”.
  4. Clique com o botão direito na rede para a qual deseja habilitar FIPS e selecione “Status”.
  5. Clique no botão “Propriedades sem fio” no Wi-Fi Janela de status.
  6. Clique na guia “Segurança” na janela de propriedades da rede.
  7. Clique no botão “Configurações avançadas”.
  8. Alterne a opção “Ativar conformidade com os padrões de processamento de informações federais (FIPS) para esta rede” nas configurações 802.11.

Esta configuração também pode ser alterada em todo o sistema no editor de política de grupo. Esta ferramenta está disponível apenas nas versões Professional, Enterprise e Education do Windows – não nas versões Home. Você só pode usar o editor de política de grupo local para alterar essa ferramenta se estiver em um computador que não faz parte de um domínio que gerencia as configurações de política de grupo do seu computador para você. Se seu computador fizer parte de um domínio e as configurações de política de grupo forem gerenciadas centralmente por sua organização, você não poderá alterá-las sozinho. Para alterar esta configuração na Política de Grupo:

  1. Pressione a tecla Windows + R para abrir a caixa de diálogo Executar.
  2. Digite “gpedit.msc” na caixa de diálogo Executar (sem o aspas) e pressione Enter.
  3. Navegue até “Configuração do computador \ Configurações do Windows \ Configurações de segurança \ Políticas locais \ Opções de segurança” no Editor de políticas de grupo.
  4. Localize “Criptografia do sistema: Use algoritmos compatíveis com FIPS para criptografia, hash e assinatura ”configuração no painel direito e clique duas vezes nele.
  5. Defina a configuração como” Desativado “e clique em” OK “.
  6. Reinicie o computador.

Nas versões Home do Windows, você ainda pode habilitar ou desabilitar a configuração FIPS por meio de uma configuração de registro. Para verificar se FIPS está habilitado ou desabilitado no registro, siga o seguinte etapas:

  1. Pressione a tecla Windows + R para abrir a caixa de diálogo Executar.
  2. Digite “regedit” na caixa de diálogo Executar (sem as aspas) e pressione Enter.
  3. Navegue até “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ ”.
  4. Observe o valor” Ativado “no painel direito. Se estiver definido como “0”, o modo FIPS é desativado. Se estiver definido como “1”, o modo FIPS é ativado. Para alterar a configuração, clique duas vezes no valor “Ativado” e defina-o como “0” ou “1”.
  5. Reinicie o computador.

Obrigado a @SwiftOnSecurity no Twitter por inspirar esta postagem!

Chris Hoffman
Chris Hoffman é editor-chefe do How-To Geek. Ele escreve sobre tecnologia há quase uma década e foi colunista da PCWorld por dois anos. Chris escreveu para o New York Times, foi entrevistado como um especialista em tecnologia em estações de TV como a NBC 6 de Miami e teve seu trabalho coberto por veículos de notícias como a BBC. Desde 2011, Chris escreveu mais de 2.000 artigos que foram lidos mais de 500 milhões de vezes — e isso “só aqui no How-To Geek.Read Full Bio”

Leave a Reply

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *