Warum Sie die „FIPS-kompatible“ Verschlüsselung unter Windows nicht aktivieren sollten

• Chris Hoffman

  @chrisbhoffman

• Aktualisiert im Juli 12, 2017, 11:34 Uhr EDT

Windows verfügt über eine versteckte Einstellung, die nur staatlich zertifizierte „FIPS-konforme“ Verschlüsselung ermöglicht. Dies scheint eine Möglichkeit zu sein, die Sicherheit Ihres PCs zu erhöhen. Dies ist jedoch nicht der Fall. Sie sollten diese Einstellung nur aktivieren, wenn Sie in der Regierung arbeiten oder testen müssen, wie sich Software auf Regierungs-PCs verhält.

Diese Optimierung passt genau zu anderen nutzlosen Windows-Optimierungsmythen Wenn Sie in Windows über diese Einstellung gestolpert sind oder sie an anderer Stelle erwähnt haben, aktivieren Sie sie nicht. Wenn Sie sie bereits ohne triftigen Grund aktiviert haben, führen Sie die folgenden Schritte aus, um den „FIPS-Modus“ zu deaktivieren.

Was Ist FIPS-kompatible Verschlüsselung?

VERBINDUNG: 10 entlarvte Windows-Optimierungsmythen

FIPS steht für „Federal Information Processing Standards“. Es handelt sich um eine Reihe von Regierungsstandards, die definieren, wie bestimmte Dinge in der Regierung verwendet werden – zum Beispiel Verschlüsselungsalgorithmen. FIPS definiert bestimmte spezifische Verschlüsselungsmethoden, die verwendet werden können, sowie Methoden zum Generieren von Verschlüsselungsschlüsseln. Es wird vom National Institute of veröffentlicht Standards and Technology oder NIST.

Die Einstellung in Windows entspricht dem FIPS 140-Standard der US-Regierung. Wenn diese Option aktiviert ist, wird Windows gezwungen, nur FIPS-validierte Verschlüsselungsschemata zu verwenden und rät auch Anwendungen, dies zu tun.

„FIPS-Modus“ macht Windows nicht sicherer. Es blockiert lediglich den Zugriff auf neuere Kryptografieschemata, die nicht FIPS-validiert wurden. Dies bedeutet, dass keine neuen Verschlüsselungsschemata oder schnellere Methoden zur Verwendung derselben Verschlüsselungsschemata verwendet werden können. Mit anderen Worten, es macht Ihren Computer langsamer, weniger funktionsfähig und wahrscheinlich weniger sicher.

Wie Windows sich anders verhält, wenn Sie diese Einstellung aktivieren

Microsoft erklärt, was diese Einstellung in a tatsächlich tut Blog-Beitrag mit dem Titel „Warum wir den FIPS-Modus nicht mehr empfehlen“. Microsoft empfiehlt, den FIPS-Modus nur dann zu verwenden, wenn dies erforderlich ist. Wenn Sie beispielsweise einen Computer der US-Regierung verwenden, sollte auf diesem Computer der „FIPS-Modus“ gemäß den Vorschriften der Regierung aktiviert sein. Es gibt keinen wirklichen Fall, in dem Sie dies auf Ihrem eigenen PC aktivieren möchten – es sei denn Sie haben getestet, wie sich Ihre Software auf Computern der US-Regierung mit aktivierter Einstellung verhält.

Diese Einstellung hat zwei Auswirkungen auf Windows selbst. Sie zwingt Windows- und Windows-Dienste, nur FIPS-validierte Kryptografie zu verwenden Der in Windows integrierte Schannel-Dienst funktioniert nicht mit älteren SSL 2.0- und 3.0-Protokollen und erfordert stattdessen mindestens TLS 1.0.

Das .NET-Framework von Microsoft blockiert auch den Zugriff auf Algorithmen, die nicht FIPS-validiert sind. Das .NET Framework bietet verschiedene Algorithmen für die meisten Kryptografiealgorithmen, und nicht alle wurden sogar zur Validierung eingereicht. Microsoft stellt beispielsweise fest, dass es drei verschiedene Versionen des SHA256-Hashing gibt Algorithmus m im .NET Framework. Der schnellste wurde nicht zur Validierung eingereicht, sollte aber genauso sicher sein. Wenn Sie den FIPS-Modus aktivieren, werden entweder .NET-Anwendungen, die den effizienteren Algorithmus verwenden, unterbrochen oder gezwungen, den weniger effizienten Algorithmus zu verwenden und langsamer zu sein.

Abgesehen von diesen beiden Dingen empfiehlt das Aktivieren des FIPS-Modus den Anwendungen, die sie verwenden Verwenden Sie auch nur FIPS-validierte Verschlüsselung. Aber es erzwingt nichts anderes. Herkömmliche Windows-Desktopanwendungen können wählen, ob sie einen beliebigen Verschlüsselungscode implementieren möchten – selbst eine schrecklich anfällige Verschlüsselung – oder überhaupt keine Verschlüsselung. Der FIPS-Modus hat keine Auswirkungen auf andere Anwendungen, es sei denn, sie befolgen diese Einstellung.

Deaktivieren des FIPS-Modus (oder Aktivieren, falls erforderlich)

Sie sollten ihn nicht aktivieren Diese Einstellung gilt nur, wenn Sie einen Regierungscomputer verwenden und dazu gezwungen sind. Wenn Sie diese Einstellung aktivieren, werden Sie von einigen Consumer-Anwendungen möglicherweise aufgefordert, den FIPS-Modus zu deaktivieren, damit sie ordnungsgemäß funktionieren.

Wenn Sie den FIPS-Modus aktivieren oder deaktivieren müssen, wird möglicherweise eine Fehlermeldung angezeigt Wenn Sie es aktiviert haben, müssen Sie testen, wie sich Ihre Software auf einem Computer mit aktiviertem FIPS-Modus verhält, oder Sie verwenden einen Regierungscomputer und müssen ihn aktivieren. Sie können dies auf verschiedene Arten tun. Der FIPS-Modus kann nur aktiviert werden, wenn eine Verbindung zu einem bestimmten Netzwerk besteht, oder über eine systemweite Einstellung, die immer gilt.

Zum Aktivieren des FIPS-Modus nur, wenn eine Verbindung zu einem bestimmten Netzwerk besteht Führen Sie die folgenden Schritte aus:

1. Öffnen Sie das Systemsteuerungsfenster.
2. Klicken Sie unter Netzwerk und Internet auf „Netzwerkstatus und Aufgaben anzeigen“.
3. Klicken Sie auf „Adaptereinstellungen ändern“.
4. Klicken Sie mit der rechten Maustaste auf das Netzwerk, für das Sie FIPS aktivieren möchten, und wählen Sie „Status“.
5. Klicken Sie im WLAN auf die Schaltfläche „Wireless-Eigenschaften“ Statusfenster.
6. Klicken Sie im Fenster mit den Netzwerkeigenschaften auf die Registerkarte „Sicherheit“.
7. Klicken Sie auf die Schaltfläche „Erweiterte Einstellungen“.
8. Aktivieren Sie die Option „FIPS-Konformität (Federal Information Processing Standards) für dieses Netzwerk aktivieren“ unter 802.11-Einstellungen.

Diese Einstellung kann auch systemweit im Gruppenrichtlinien-Editor geändert werden. Dieses Tool ist nur für Professional-, Enterprise- und Education-Versionen von Windows verfügbar, nicht für Home-Versionen. Sie können dieses Tool nur mit dem lokalen Gruppenrichtlinien-Editor ändern, wenn Sie sich auf einem Computer befinden, der keiner Domäne angehört, die die Gruppenrichtlinieneinstellungen Ihres Computers für Sie verwaltet. Wenn Ihr Computer einer Domäne angehört und die Gruppenrichtlinieneinstellungen zentral von Ihrer Organisation verwaltet werden, können Sie sie nicht selbst ändern. So ändern Sie diese Einstellung in Gruppenrichtlinien:

1. Drücken Sie die Windows-Taste + R, um das Dialogfeld „Ausführen“ zu öffnen.
2. Geben Sie „gpedit.msc“ in das Dialogfeld „Ausführen“ ein (ohne das Anführungszeichen) und drücken Sie die Eingabetaste.
3. Navigieren Sie im Gruppenrichtlinien-Editor zu „Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Sicherheitsoptionen“.
4. Suchen Sie die Option „Systemkryptografie: Verwenden Sie FIPS-kompatible Algorithmen zum Verschlüsseln, Hashing und Signieren im rechten Bereich und doppelklicken Sie darauf.
5. Setzen Sie die Einstellung auf „Deaktiviert“ und klicken Sie auf „OK“.
6. Starten Sie den Computer neu.

Unter Windows-Startversionen können Sie die FIPS-Einstellung weiterhin über eine Registrierungseinstellung aktivieren oder deaktivieren. Gehen Sie wie folgt vor, um zu überprüfen, ob FIPS in der Registrierung aktiviert oder deaktiviert ist Schritte:

1. Drücken Sie die Windows-Taste + R, um das Dialogfeld „Ausführen“ zu öffnen.
2. Geben Sie „regedit“ in das Dialogfeld „Ausführen“ (ohne Anführungszeichen) ein und drücken Sie die Eingabetaste.
3. Navigieren Sie zu „HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ Fip sAlgorithmPolicy \ ”.
4. Sehen Sie sich den Wert“ Enabled „im rechten Bereich an. Wenn „0“ eingestellt ist, ist der FIPS-Modus deaktiviert. Wenn „1“ eingestellt ist, ist der FIPS-Modus aktiviert. Um die Einstellung zu ändern, doppelklicken Sie auf den Wert „Aktiviert“ und setzen Sie ihn entweder auf „0“ oder „1“.
5. Starten Sie den Computer neu.

Dank an @SwiftOnSecurity auf Twitter für die Inspiration dieses Beitrags!