Proč byste ve Windows neměli povolit šifrování vyhovující standardu FIPS

Windows má skryté nastavení, které povolí pouze vládní certifikované „vyhovující FIPS“ šifrování . Může to znít jako způsob, jak zvýšit zabezpečení vašeho počítače, ale není. Toto nastavení byste neměli povolit, pokud nepracujete ve vládě nebo pokud nepotřebujete otestovat, jak se software bude chovat na vládních počítačích.

Tato vylepšení zapadá těsně vedle ostatních zbytečné mýty o ladění Windows . Pokud jste narazili na toto nastavení v systému Windows nebo jste jej viděli jinde, nepovolujte jej. Pokud jste ji již bez dobrého důvodu povolili, deaktivujte „režim FIPS“ pomocí níže uvedených kroků.

Co je šifrování vyhovující standardu FIPS?

PŘÍBUZNÝ: Odhaleno 10 mýtů o ladění systému Windows

FIPS je zkratka pro „Federal Information Processing Standards“. Jedná se o soubor vládních standardů, které definují, jak se ve vládě používají určité věci - například šifrovací algoritmy. FIPS definuje určité konkrétní metody šifrování, které lze použít, stejně jako metody pro generování šifrovacích klíčů. Publikuje jej Národní institut pro standardy a technologie (NIST).

Nastavení v systému Windows odpovídá standardu FIPS 140 vlády USA. Když je povoleno, nutí Windows používat pouze šifrovací schémata ověřená FIPS a radí také aplikacím.

„Režim FIPS“ nezvyšuje zabezpečení systému Windows. Blokuje pouze přístup k novějším kryptografickým schématům, která nebyla ověřena FIPS. To znamená, že nebude moci používat nová šifrovací schémata ani rychlejší způsoby použití stejných šifrovacích schémat. Jinými slovy, váš počítač je pomalejší, méně funkční a pravděpodobně méně zajistit.

Jak se systém Windows chová odlišně, pokud toto nastavení povolíte

Microsoft vysvětluje, co toto nastavení ve skutečnosti dělá, v příspěvku na blogu s názvem „ Proč už „režim FIPS“ nedoporučujeme . “ Společnost Microsoft doporučuje používat režim FIPS pouze v případě, že je to nutné. Pokud například používáte vládní počítač v USA, měl by mít tento počítač povolen „režim FIPS“ podle vlastních vládních předpisů. Neexistuje žádný skutečný případ, kdy byste to chtěli povolit na svém osobním počítači - pokud jste netestovali, jak se váš software chová na počítačích státní správy v USA s povoleným tímto nastavením.

Toto nastavení umožňuje samotnému systému Windows dvě věci. Nutí Windows a služby Windows používat pouze kryptografii ověřenou FIPS. Například služba Schannel zabudovaná do Windows nebude fungovat se staršími protokoly SSL 2.0 a 3.0 a bude místo toho vyžadovat alespoň TLS 1.0.

Rozhraní .NET společnosti Microsoft také zablokuje přístup k algoritmům, které nejsou ověřeny pomocí FIPS. .NET framework nabízí několik různých algoritmů pro většinu kryptografických algoritmů a ne všechny byly dokonce odeslány k ověření. Jako příklad společnost Microsoft poznamenává, že v rámci .NET existují tři různé verze hashovacího algoritmu SHA256. Nejrychlejší nebyl předložen k ověření, ale měl by být stejně bezpečný. Povolení režimu FIPS tedy přeruší aplikace .NET, které používají efektivnější algoritmus, nebo je donutí používat méně efektivní algoritmus a bude pomalejší.

Kromě těchto dvou věcí povoluje režim FIPS aplikacím, aby také používaly pouze šifrování ověřené FIPS. Ale nic jiného to nevynucuje. Tradiční desktopové aplikace pro Windows se mohou rozhodnout implementovat libovolný šifrovací kód, který chtějí - dokonce i děsivě zranitelné šifrování - nebo vůbec žádné šifrování. Režim FIPS nedělá nic jiným aplikacím, pokud se tímto nastavením neřídí.

Jak zakázat režim FIPS (nebo jej povolit, pokud musíte)

Toto nastavení byste neměli aktivovat, pokud nepoužíváte vládní počítač a nejste k tomu nuceni. Pokud toto nastavení povolíte, mohou vás některé spotřebitelské aplikace ve skutečnosti požádat o deaktivaci režimu FIPS, aby mohly správně fungovat.

Pokud potřebujete povolit nebo zakázat režim FIPS - možná se vám po povolení zobrazila chybová zpráva, musíte otestovat, jak se bude váš software chovat v počítači se zapnutým režimem FIPS, nebo používáte vládní počítač a máte povolit - můžete tak učinit několika způsoby. Režim FIPS lze povolit pouze při připojení ke konkrétní síti nebo prostřednictvím celosystémového nastavení, které bude vždy platit.

Chcete-li povolit režim FIPS pouze při připojení ke konkrétní síti, proveďte následující kroky:

1. Otevřete okno Ovládací panely.
2. Klikněte na „Zobrazit stav sítě a úkoly“ v části Síť a internet.
3. Klikněte na „Změnit nastavení adaptéru“.
4. Pravým tlačítkem klikněte na síť, pro kterou chcete povolit FIPS, a vyberte „Stav“.
5. Klikněte na tlačítko „Vlastnosti bezdrátového připojení“ v okně Stav Wi-Fi.
6. V okně vlastností sítě klikněte na kartu „Zabezpečení“.
7. Klikněte na tlačítko „Upřesnit nastavení“.
8. V nastavení 802.11 přepněte možnost „Povolit kompatibilitu standardů FIPS (Federal Information Processing Standards) pro tuto síť“.

Toto nastavení lze také změnit v celém systému v editoru zásad skupiny. Tento nástroj je k dispozici pouze ve verzích Windows pro Windows Professional, Enterprise a Education - ne pro verze Home. Můžete použít pouze editor místních zásad skupiny tento nástroj změnit, pokud používáte počítač, který není připojen k doméně, která za vás spravuje nastavení zásad skupiny vašeho počítače. Pokud je váš počítač připojen k doméně a nastavení zásad skupiny je centrálně spravováno vaší organizací, sami to nebudete moci změnit. Chcete-li změnit toto nastavení v zásadách skupiny:

1. Stisknutím klávesy Windows + R otevřete dialogové okno Spustit.
2. Do dialogového okna Spustit (bez uvozovek) zadejte „gpedit.msc“ a stiskněte klávesu Enter.
3. V editoru zásad skupiny přejděte na „Konfigurace počítače \ Nastavení Windows \ Nastavení zabezpečení \ Místní zásady \ Možnosti zabezpečení“.
4. V pravém podokně vyhledejte nastavení „Systémová kryptografie: K šifrování, hašování a podepisování použijte algoritmy vyhovující standardu FIPS“ a poklepejte na něj.
5. Nastavte nastavení na „Zakázáno“ a klikněte na „OK“.
6. Restartujte počítač.

V domácích verzích systému Windows můžete nastavení FIPS povolit nebo zakázat prostřednictvím nastavení registru. Chcete-li zkontrolovat, zda je FIPS povolen nebo zakázán v registru , postupujte podle následujících kroků:

1. Stisknutím klávesy Windows + R otevřete dialogové okno Spustit.
2. Do dialogového okna Spustit zadejte příkaz „regedit“ (bez uvozovek) a stiskněte klávesu Enter.
3. Přejděte na „HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \“.
4. Podívejte se na hodnotu „Povoleno“ v pravém podokně. Pokud je nastavena na „0“, režim FIPS je deaktivován. Pokud je nastavena na „1“, je povolen režim FIPS. Chcete-li změnit nastavení, poklepejte na hodnotu „Povoleno“ a nastavte ji na „0“ nebo „1“.
5. Restartujte počítač.

---

Díky @SwiftOnSecurity na Twitteru za inspiraci k tomuto příspěvku!