Varför ska du inte aktivera ”FIPS-kompatibel” kryptering i Windows

  • Chris Hoffman

    @chrisbhoffman

  • Uppdaterad i juli 12, 2017, 11:34 EDT

Windows har en dold inställning som endast möjliggör statlig certifierad ”FIPS-kompatibel” kryptering. Det kan låta som ett sätt att öka datorns säkerhet, men det är det inte. Du bör inte aktivera den här inställningen om du inte arbetar i regeringen eller behöver testa hur programvaran kommer att fungera på statliga datorer.

Denna tweak passar bredvid andra värdelösa Windows-tweaking-myter. har snubblat över den här inställningen i Windows eller sett den nämns någon annanstans, aktivera den inte. Om du redan har aktiverat den utan goda skäl, använd stegen nedan för att inaktivera ”FIPS-läge”.

Vad Är FIPS-kompatibel kryptering?

RELATERAD: 10 Windows Tweaking Myths Debunked

FIPS står för ”Federal Information Processing Standards.” Det är en uppsättning statliga standarder som definierar hur vissa saker används i regeringen – till exempel krypteringsalgoritmer. FIPS definierar vissa specifika krypteringsmetoder som kan användas, liksom metoder för att generera krypteringsnycklar. Det publiceras av National Institute of Standarder och teknik, eller NIST.

Annons

Inställningen i Windows överensstämmer med den amerikanska regeringen FIPS 140. När den är aktiverad tvingar den Windows att bara använda FIPS-validerade krypteringsscheman och rekommenderar applikationer att göra det också.

”FIPS-läge” gör Windows inte säkrare. Det blockerar bara åtkomst till nyare kryptografischeman som inte har FIPS-validerats. Det betyder att det inte kommer att kunna använda nya krypteringsscheman eller snabbare sätt att använda samma krypteringsscheman. Med andra ord gör det din dator långsammare, mindre funktionell och utan tvekan mindre säker.

Hur Windows beter sig annorlunda om du aktiverar den här inställningen

Microsoft förklarar vad denna inställning faktiskt gör i en blogginlägg med titeln ”Varför vi inte rekommenderar” FIPS-läge ”längre.” Microsoft rekommenderar bara att du använder FIPS-läge om du måste. Om du till exempel använder en amerikansk regeringsdator, ska den datorn ha ”FIPS-läge” aktiverat enligt regeringens egna regler. Det finns inget verkligt fall där du vill aktivera detta på din egen persondator – såvida inte du testade hur din programvara beter sig på amerikanska datorer med den här inställningen aktiverad.

Den här inställningen gör två saker för Windows själv. Det tvingar Windows och Windows-tjänster att endast använda FIPS-validerad kryptografi. Till exempel Schannel-tjänster som är inbyggda i Windows fungerar inte med äldre SSL 2.0- och 3.0-protokoll och kräver minst TLS 1.0 istället.

Annons

Microsofts .NET-ramverk blockerar också åtkomst till .algoritmer som inte är FIPS-validerade. .NET-ramverket erbjuder flera olika algoritmer för de flesta kryptografialgoritmer, och inte alla har ens skickats in för validering. Som ett exempel noterar Microsoft att det finns tre olika versioner av SHA256-hashing algoritm m i .NET-ramverket. Den snabbaste har inte skickats in för validering, men den ska vara lika säker. Så att aktivera FIPS-läge kommer antingen att bryta .NET-applikationer som använder den mer effektiva algoritmen eller tvinga dem att använda den mindre effektiva algoritmen och vara långsammare.

Bortsett från dessa två saker rekommenderar vi att FIPS-läge rekommenderar applikationer att de använd endast FIPS-validerad kryptering. Men det tvingar inte något annat. Traditionella Windows-stationära applikationer kan välja att implementera vilken krypteringskod de vill ha – till och med fruktansvärt sårbar kryptering – eller ingen kryptering alls. FIPS-läge gör ingenting mot andra applikationer om de inte följer denna inställning.

Så här inaktiverar du FIPS-läge (eller aktiverar det om du måste)

Du bör inte aktivera den här inställningen om du inte använder en statlig dator och tvingas göra det. Om du aktiverar den här inställningen kan vissa konsumentapplikationer faktiskt be dig att inaktivera FIPS-läge så att de kan fungera korrekt.

Om du behöver aktivera eller inaktivera FIPS-läge – kanske du har sett ett felmeddelande efter du har aktiverat det, du måste testa hur din programvara kommer att fungera på en dator med FIPS-läge aktiverat, eller så använder du en statlig dator och måste aktivera det – du kan göra det på flera sätt. FIPS-läge kan endast aktiveras när det är anslutet till ett visst nätverk eller via en systemomfattande inställning som alltid kommer att gälla.

Annons

Aktivera endast FIPS-läge när det är anslutet till en viss nätverk, utför följande steg:

  1. Öppna kontrollpanelfönstret.
  2. Klicka på ”Visa nätverksstatus och uppgifter” under Nätverk och Internet.
  3. Klicka på ”Ändra adapterinställningar.”
  4. Högerklicka på det nätverk du vill aktivera FIPS för och välj ”Status”.
  5. Klicka på knappen ”Trådlösa egenskaper” i Wi-Fi Statusfönster.
  6. Klicka på fliken ”Säkerhet” i fönstret för nätverksegenskaper.
  7. Klicka på knappen ”Avancerade inställningar”.
  8. Växla alternativet ”Enable Federal Information Processing Standards (FIPS) compliance for this network” under 802.11-inställningar.

Denna inställning kan också ändras systemomfattande i grupppolicyredigeraren. Detta verktyg är endast tillgängligt i Professional-, Enterprise- och Education-versioner av Windows – inte Home-versioner. Du kan bara använda den lokala grupprincipredigeraren för att ändra det här verktyget om du är på en dator som inte är ansluten till en domän som hanterar datorns grupprincipinställningar åt dig. Om din dator är ansluten till en domän och grupprincipinställningarna hanteras centralt av din organisation kan du inte ändra den själv. För att ändra denna inställning i grupprincip:

  1. Tryck på Windows-tangenten + R för att öppna dialogrutan Kör.
  2. Skriv ”gpedit.msc” i dialogrutan Kör (utan citat) och tryck på Enter.
  3. Navigera till ”Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options” i grupprincipredigeraren.
  4. Leta reda på ”Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashing och signering ”i den högra rutan och dubbelklicka på den.
  5. Ställ in inställningen till” Inaktiverad ”och klicka på” OK ”.
  6. Starta om datorn.

På Windows-hemversioner kan du fortfarande aktivera eller inaktivera FIPS-inställningen via en registerinställning. Följ följande om du vill kontrollera om FIPS är aktiverat eller inaktiverat i registret. steg:

  1. Tryck på Windows-tangenten + R för att öppna dialogrutan Kör.
  2. Skriv ”regedit” i dialogrutan Kör (utan citat) och tryck på Enter.
  3. Navigera till ”HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ ”.
  4. Titta på” Enabled ”-värdet i den högra rutan. Om den är inställd på ”0” är FIPS-läge inaktiverat. Om det är inställt på ”1” är FIPS-läge aktiverat. För att ändra inställningen dubbelklickar du på ”Enabled” och ställer in antingen ”0” eller ”1”.
  5. Starta om datorn.

Tack till @SwiftOnSecurity på Twitter för att inspirera detta inlägg!

Chris Hoffman – Chris Hoffman är chefredaktör för How-To Geek. Han har skrivit om teknik i nästan ett decennium och var kolumnist i PCWorld i två år. Chris har skrivit för The New York Times, blivit intervjuad som en teknikexpert på TV-stationer som Miamis NBC 6 och har fått sitt arbete täckt av nyheter som BBC. Sedan 2011 har Chris skrivit över 2000 artiklar som har lästs. mer än 500 miljoner gånger — och det är bara här på How-To Geek.Read Full Bio ”

Leave a Reply

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *