De ce nu ar trebui să activați criptarea „compatibilă cu FIPS” pe Windows

  • Chris Hoffman

    @chrisbhoffman

  • Actualizat în iulie 12, 2017, 11:34 am EDT

Windows are o setare ascunsă care va permite doar criptarea „conformă cu FIPS” certificată de guvern. Poate suna ca o modalitate de a spori securitatea computerului, dar nu este. Nu ar trebui să activați această setare decât dacă lucrați în guvern sau trebuie să testați cum se va comporta software-ul pe computerele guvernamentale.

Această modificare se potrivește alături de alte mituri inutile de ajustare Windows. Am dat peste această setare în Windows sau am văzut-o menționată în altă parte, nu o activați. Dacă ați activat-o deja fără un motiv întemeiat, folosiți pașii de mai jos pentru a dezactiva „modul FIPS”.

Criptarea este conformă cu FIPS?

LEGATĂ: 10 Windows Tweaking Myths Demunked

FIPS înseamnă „Standarde de procesare a informațiilor federale”. Este un set de standarde guvernamentale care definesc modul în care anumite lucruri sunt utilizate în guvern – de exemplu, algoritmi de criptare. FIPS definește anumite metode de criptare specifice care pot fi utilizate, precum și metode pentru generarea cheilor de criptare. Este publicat de Institutul Național al Standarde și tehnologie, sau NIST.

Publicitate

Setarea din Windows este conformă cu standardul guvernului SUA FIPS 140. Când este activată, forțează Windows să utilizeze doar scheme de criptare validate de FIPS. și recomandă aplicațiilor să facă acest lucru, de asemenea.

„Modul FIPS” nu face Windows mai sigur. Blochează doar accesul la scheme de criptografie mai noi care nu au fost validate de FIPS. Asta înseamnă că nu va putea utiliza noi scheme de criptare sau modalități mai rapide de a utiliza aceleași scheme de criptare. Cu alte cuvinte, face computerul mai lent, mai puțin funcțional și, probabil, mai puțin sigur.

Cum se comportă Windows diferit dacă activați această setare

Microsoft explică ce face această setare într-un postare pe blog intitulată „De ce nu mai recomandăm” modul FIPS ”din nou”. Microsoft vă recomandă să utilizați modul FIPS numai dacă trebuie. De exemplu, dacă utilizați un computer al guvernului SUA, computerul respectiv ar trebui să aibă „modul FIPS” activat conform reglementărilor proprii ale guvernului. Nu există niciun caz real în care doriți să activați acest lucru pe propriul computer personal – cu excepția cazului în care ați testat cum se comportă software-ul dvs. pe computerele guvernului SUA cu această setare activată.

Această setare face două lucruri pentru Windows în sine. Forțează serviciile Windows și Windows să utilizeze doar criptografie validată de FIPS. De exemplu, Serviciul Schannel integrat în Windows nu va funcționa cu protocoale SSL 2.0 și 3.0 mai vechi și va necesita cel puțin TLS 1.0.

Publicitate

Cadrul Microsoft .NET va bloca, de asemenea, accesul la algoritmi care nu sunt validați de FIPS. Cadrul .NET oferă mai mulți algoritmi diferiți pentru majoritatea algoritmilor de criptografie și nu toți au fost chiar trimiși pentru validare. De exemplu, Microsoft observă că există trei versiuni diferite ale hashului SHA256 algoritm m în cadrul .NET. Cel mai rapid nu a fost trimis pentru validare, dar ar trebui să fie la fel de sigur. Așadar, activarea modului FIPS va rupe fie aplicațiile .NET care utilizează algoritmul mai eficient, fie îi obligă să utilizeze algoritmul mai puțin eficient și să fie mai lent.

În afară de aceste două lucruri, activarea modului FIPS recomandă aplicațiilor pe care le utilizați și criptare validată de FIPS. Dar nu forțează nimic altceva. Aplicațiile desktop tradiționale Windows pot alege să implementeze orice cod de criptare doresc – chiar și criptare oribil de vulnerabilă – sau deloc criptare. Modul FIPS nu face nimic altor aplicații decât dacă respectă această setare.

Cum să dezactivați modul FIPS (sau activați-l, dacă trebuie)

Nu ar trebui să activați această setare, cu excepția cazului în care utilizați un computer guvernamental și sunteți forțat. Dacă activați această setare, este posibil ca unele aplicații de consum să vă ceară să dezactivați modul FIPS pentru a putea funcționa corect.

Dacă trebuie să activați sau să dezactivați modul FIPS – poate că ați văzut un mesaj de eroare după l-ați activat, trebuie să testați cum se va comporta software-ul dvs. pe un computer cu modul FIPS activat sau folosiți un computer guvernamental și trebuie să îl activați – puteți face acest lucru în mai multe moduri. Modul FIPS poate fi activat numai atunci când este conectat la o anumită rețea sau printr-o setare la nivel de sistem care se va aplica întotdeauna.

Publicitate

Pentru a activa modul FIPS numai atunci când este conectat la o anumită rețea rețea, efectuați pașii următori:

  1. Deschideți fereastra Panoului de control.
  2. Faceți clic pe „Vizualizați starea și sarcinile rețelei” sub Rețea și Internet.
  3. Faceți clic pe „Modificați setările adaptorului.”
  4. Faceți clic dreapta pe rețeaua pentru care doriți să activați FIPS și selectați „Stare”.
  5. Faceți clic pe butonul „Proprietăți fără fir” din Wi-Fi Fereastra de stare.
  6. Faceți clic pe fila „Securitate” din fereastra de proprietăți a rețelei.
  7. Faceți clic pe butonul „Setări avansate”.
  8. Comutați opțiunea „Activați conformitatea standardelor federale de procesare a informațiilor (FIPS) pentru această rețea” în setările 802.11.

Această setare poate fi modificată și la nivel de sistem în editorul de politici de grup. Acest instrument este disponibil numai pentru versiunile Professional, Enterprise și Education ale versiunilor Windows, nu ale versiunii Home. Puteți utiliza editorul local de politici de grup pentru a schimba acest instrument numai dacă sunteți pe un computer care nu este conectat la un domeniu care gestionează setările politicii de grup ale computerului pentru dvs. Dacă computerul dvs. este conectat la un domeniu și setările politicii de grup sunt gestionate central de organizația dvs., nu îl veți putea schimba singur. Pentru a modifica această setare în Politica de grup:

  1. Apăsați tasta Windows + R pentru a deschide dialogul Executare.
  2. Tastați „gpedit.msc” în caseta de dialog Executare (fără ghilimele) și apăsați Enter.
  3. Navigați la „Configurare computer \ Setări Windows \ Setări securitate \ Politici locale \ Opțiuni de securitate” în Editorul de politici de grup.
  4. Localizați „Criptografia sistemului: Utilizați algoritmi compatibili cu FIPS pentru criptare, hash și semnare ”în panoul din dreapta și faceți dublu clic pe el.
  5. Setați setarea la„ Dezactivat ”și faceți clic pe„ OK ”.
  6. Reporniți computerul.

În versiunile principale de Windows, puteți activa sau dezactiva setarea FIPS printr-o setare de registry. Pentru a verifica dacă FIPS este activat sau dezactivat în registru, urmați următoarele pași:

  1. Apăsați tasta Windows + R pentru a deschide dialogul Run.
  2. Tastați „regedit” în caseta de dialog Run (fără ghilimele) și apăsați Enter.
  3. Navigați la „HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ ”.
  4. Uită-te la valoarea„ Enabled ”din panoul din dreapta. Dacă este setat la „0”, modul FIPS este dezactivat. Dacă este setat la „1”, modul FIPS este activat. Pentru a modifica setarea, faceți dublu clic pe valoarea „Enabled” și setați-o la „0” sau „1”.
  5. Reporniți computerul.

Mulțumesc @SwiftOnSecurity pe Twitter pentru că a inspirat această postare!

Chris Hoffman
Chris Hoffman este redactor șef al How-To Geek. A scris despre tehnologie timp de aproape un deceniu și a fost columnist PCWorld timp de doi ani. Chris a scris pentru The New York Times, a fost intervievat ca expert în tehnologie la posturi TV precum NBC 6 din Miami și a avut opera sa acoperită de știri precum BBC. Din 2011, Chris a scris peste 2.000 de articole care au fost citite de peste 500 de milioane de ori — și asta este „aici, la How-To Geek. Citește biografia completă”

Leave a Reply

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *