Główna » jak » Dlaczego nie należy włączać szyfrowania zgodnego z FIPS w systemie Windows

    Dlaczego nie należy włączać szyfrowania zgodnego z FIPS w systemie Windows

    System Windows ma ukryte ustawienie, które umożliwia tylko certyfikowane przez rząd szyfrowanie "zgodne z FIPS". To może brzmieć jak sposób na zwiększenie bezpieczeństwa twojego komputera, ale tak nie jest. Nie należy włączać tego ustawienia, chyba że pracujesz w administracji rządowej lub musisz sprawdzić, jak oprogramowanie będzie zachowywać się na komputerach rządowych.

    Ta modyfikacja pasuje dokładnie do innych, bezużytecznych masek pod Windows. Jeśli natknąłeś się na to ustawienie w systemie Windows lub zobaczyłeś je w innym miejscu, nie włączaj go. Jeśli masz już włączony bez ważnego powodu, wykonaj poniższe kroki, aby wyłączyć "tryb FIPS".

    Co to jest szyfrowanie zgodne z FIPS?

    FIPS oznacza "Federalne standardy przetwarzania informacji". Jest to zbiór standardów rządowych określających, w jaki sposób pewne rzeczy są używane w rządzie - na przykład algorytmy szyfrowania. FIPS definiuje pewne określone metody szyfrowania, które mogą być używane, a także metody generowania kluczy szyfrujących. Jest publikowany przez National Institute of Standards and Technology, lub NIST.

    Ustawienie w Windows jest zgodne ze standardem FIPS 140 rządu USA. Gdy jest włączony, zmusza system Windows do korzystania tylko ze schematów szyfrowania zatwierdzonych przez FIPS i doradza aplikacjom, aby to zrobiły, a także.

    "Tryb FIPS" nie zwiększa bezpieczeństwa systemu Windows. Po prostu blokuje dostęp do nowszych schematów kryptografii, które nie zostały zatwierdzone przez FIPS. Oznacza to, że nie będzie w stanie używać nowych schematów szyfrowania lub szybszych sposobów korzystania z tych samych schematów szyfrowania. Innymi słowy, czyni komputer wolniejszym, mniej funkcjonalnym i prawdopodobnie mniej bezpieczne.

    Jak Windows zachowuje się inaczej po włączeniu tego ustawienia

    Microsoft wyjaśnia, co to ustawienie właściwie robi w poście na blogu zatytułowanym "Dlaczego nie zalecamy" "Tryb FIPS". Firma Microsoft zaleca tylko korzystanie z trybu FIPS, jeśli musisz. Na przykład, jeśli korzystasz z komputera rządu Stanów Zjednoczonych, komputer ten ma mieć włączony tryb "FIPS" zgodnie z własnymi przepisami rządowymi. Nie ma prawdziwego przypadku, gdybyś chciał włączyć to na swoim komputerze osobistym - chyba że testujesz, jak twoje oprogramowanie zachowuje się na komputerach rządu Stanów Zjednoczonych z włączonym tym ustawieniem.

    To ustawienie powoduje dwie rzeczy dla samego systemu Windows. Zmusza usługi Windows i Windows do korzystania tylko z kryptografii zatwierdzonej przez FIPS. Na przykład usługa Schannel wbudowana w system Windows nie będzie działać ze starszymi protokołami SSL 2.0 i 3.0 i będzie wymagać co najmniej TLS 1.0.

    Platforma .NET Microsoftu blokuje również dostęp do algorytmów, które nie są sprawdzane przez FIPS. Platforma .NET oferuje kilka różnych algorytmów dla większości algorytmów kryptograficznych i nie wszystkie z nich zostały zgłoszone do walidacji. Na przykład Microsoft zauważa, że ​​istnieją trzy różne wersje algorytmu mieszającego SHA256 w środowisku .NET. Najszybszy nie został przesłany do sprawdzenia poprawności, ale powinien być równie bezpieczny. Włączenie trybu FIPS spowoduje przerwanie aplikacji .NET, które używają bardziej wydajnego algorytmu lub zmusi je do korzystania z mniej wydajnego algorytmu i będzie wolniejsze.

    Oprócz tych dwóch rzeczy, włączenie trybu FIPS zaleca także aplikacjom, w których używają tylko szyfrowania zatwierdzonego przez FIPS. Ale to nie wymusza niczego innego. Tradycyjne aplikacje desktopowe Windows mogą wybrać dowolny kod szyfrowania, który chce - nawet strasznie podatne na szyfrowanie - lub w ogóle nie szyfrować. Tryb FIPS nie robi nic dla innych aplikacji, chyba że stosują się do tego ustawienia.

    Jak wyłączyć tryb FIPS (lub włączyć go, jeśli musisz)

    Nie należy włączać tego ustawienia, chyba że korzystasz z komputera rządowego i jesteś do tego zmuszony. Jeśli włączysz to ustawienie, niektóre aplikacje konsumenckie mogą poprosić o wyłączenie trybu FIPS, aby mogły działać poprawnie.

    Jeśli musisz włączyć lub wyłączyć tryb FIPS - być może zobaczysz komunikat o błędzie po włączeniu go, musisz sprawdzić, jak Twoje oprogramowanie będzie działać na komputerze z włączonym trybem FIPS lub używasz komputera rządowego i aby go włączyć - możesz to zrobić na kilka sposobów. Tryb FIPS można włączyć tylko po podłączeniu do określonej sieci lub przy użyciu ogólnosystemowego ustawienia, które będzie zawsze obowiązywało.

    Aby włączyć tryb FIPS tylko po podłączeniu do określonej sieci, wykonaj następujące czynności:

    1. Otwórz okno Panelu sterowania.
    2. Kliknij "Wyświetl stan sieci i zadania" w obszarze Sieć i Internet.
    3. Kliknij "Zmień ustawienia adaptera".
    4. Kliknij prawym przyciskiem myszy sieć, dla której chcesz włączyć FIPS, i wybierz "Status".
    5. Kliknij przycisk "Właściwości sieci bezprzewodowej" w oknie Stan Wi-Fi.
    6. Kliknij kartę "Zabezpieczenia" w oknie właściwości sieci.
    7. Kliknij przycisk "Ustawienia zaawansowane".
    8. Przełącz opcję "Włącz zgodność z federacyjnymi standardami przetwarzania informacji (FIPS) dla tej sieci" w ustawieniach 802.11.

    To ustawienie można również zmienić w całym systemie w edytorze zasad grupy. To narzędzie jest dostępne tylko w wersjach dla systemu Windows - nie dla wersji domowej w wersjach Professional, Enterprise i Education. Do zmiany tego narzędzia można użyć tylko lokalnego edytora zasad grupy, jeśli znajdujesz się na komputerze, który nie jest przyłączony do domeny zarządzającej ustawieniami zasad grupy komputera. Jeśli komputer jest połączony z domeną, a ustawienia zasad grupy są zarządzane centralnie przez organizację, nie będzie można jej zmienić samodzielnie. Aby zmienić to ustawienie w Zasadach grupowych:

    1. Naciśnij Klawisz Windows + R, aby otworzyć okno dialogowe Uruchom.
    2. Wpisz "gpedit.msc" w oknie dialogowym Uruchom (bez cudzysłowów) i naciśnij Enter.
    3. Przejdź do "Konfiguracja komputera \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Zasady lokalne \ Opcje bezpieczeństwa" w Edytorze zasad grupy.
    4. Zlokalizuj "Kryptografia systemu: Użyj algorytmów zgodnych z FIPS dla szyfrowania, mieszania i podpisywania" w prawym okienku i kliknij go dwukrotnie..
    5. Ustaw ustawienie na "Wyłączone" i kliknij "OK".
    6. Zrestartuj komputer.

    W domowych wersjach systemu Windows nadal można włączyć lub wyłączyć ustawienie FIPS za pomocą ustawienia rejestru. Aby sprawdzić, czy funkcja FIPS jest włączona lub wyłączona w rejestrze, wykonaj następujące kroki:

    1. Naciśnij Klawisz Windows + R, aby otworzyć okno dialogowe Uruchom.
    2. Wpisz "regedit" w oknie dialogowym Uruchom (bez cudzysłowów) i naciśnij Enter.
    3. Przejdź do "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
    4. Sprawdź wartość "Enabled" w prawym panelu. Jeśli jest ustawiony na "0", tryb FIPS jest wyłączony. Jeśli jest ustawiony na "1", tryb FIPS jest włączony. Aby zmienić ustawienie, kliknij dwukrotnie wartość "Enabled" i ustaw ją na "0" lub "1".
    5. Zrestartuj komputer.


    Dzięki @SwiftOnSecurity na Twitterze inspirujesz ten post!