מדוע אינך צריך לאפשר הצפנה "תואמת FIPS" ב- Windows

ל- Windows יש הגדרה נסתרת שתאפשר רק "תואם FIPS" מוסמך על ידי הממשלה. הצפנה . זה אולי נשמע כמו דרך להגביר את האבטחה של המחשב, אבל זה לא. אתה לא צריך להפעיל הגדרה זו אלא אם כן אתה עובד בממשלה או צריך לבדוק כיצד התוכנה תנהג במחשבים ממשלתיים.

הצבוט הזה מתאים ממש לצד אחר מיתוסים חסרי תועלת של חלונות . אם נתקלת בהגדרה זו ב- Windows או שראית אותה מוזכרת במקום אחר, אל תפעיל אותה. אם כבר הפעלת את זה ללא סיבה טובה, השתמש בשלבים הבאים כדי להשבית את "מצב FIPS".

מהי הצפנה תואמת FIPS?

קָשׁוּר: 10 מיתוסים של Tweaking ב- Windows

FIPS מייצג "תקני עיבוד מידע פדרלי". זו קבוצה של סטנדרטים ממשלתיים המגדירים כיצד משתמשים בדברים מסוימים בממשלה - למשל אלגוריתמי הצפנה. FIPS מגדיר שיטות הצפנה מסוימות בהן ניתן להשתמש, כמו גם שיטות ליצירת מפתחות הצפנה. הוא פורסם על ידי המכון הלאומי לתקנים וטכנולוגיה, או NIST.

ההגדרה ב- Windows תואמת את תקן FIPS 140 של ממשלת ארה"ב. כאשר הוא מופעל, הוא מאלץ את Windows להשתמש רק בתוכניות הצפנה מאומתות של FIPS וממליץ ליישומים לעשות זאת גם כן.

"מצב FIPS" לא הופך את Windows לבטוח יותר. זה פשוט חוסם גישה לתוכניות הצפנה חדשות יותר שלא אושרו על ידי FIPS. פירוש הדבר שהיא לא תוכל להשתמש בתוכניות הצפנה חדשות, או בדרכים מהירות יותר לשימוש באותן תוכניות הצפנה. במילים אחרות, זה הופך את המחשב לאיטי יותר, פחות פונקציונאלי, וניתן לטעון לטענה פָּחוּת לבטח.

כיצד Windows מתנהג באופן שונה אם מאפשרים הגדרה זו

מיקרוסופט מסבירה מה ההגדרה הזו עושה בפועל בבלוג שכותרתו " מדוע איננו ממליצים יותר על "מצב FIPS" . ” מיקרוסופט ממליצה להשתמש במצב FIPS רק אם תצטרך. לדוגמה, אם אתה משתמש במחשב ממשלתי בארה"ב, במחשב זה אמור להיות מופעל "מצב FIPS" על פי התקנות הממשלתיות עצמו. אין מקרה אמיתי שבו תרצה להפעיל זאת במחשב האישי שלך - אלא אם כן בדקת כיצד התוכנה שלך מתנהגת במחשבים ממשלתיים בארה"ב כשההגדרה הזו מופעלת.

הגדרה זו עושה שני דברים ל- Windows עצמה. זה מאלץ את שירותי Windows ו- Windows להשתמש רק בקריפטוגרפיה מאומתת FIPS. לדוגמה, שירות Schannel המובנה ב- Windows לא יעבוד עם פרוטוקולי SSL 2.0 ו -3.0 ישנים יותר, ויחייב לפחות TLS 1.0 במקום זאת.

מסגרת ה- .NET של מיקרוסופט תחסום גם גישה לאלגוריתמים שאינם מאומתים ב- FIPS. מסגרת .NET מציעה כמה אלגוריתמים שונים עבור רוב אלגוריתמי ההצפנה, ולא כולם אפילו הוגשו לאימות. כדוגמה, מיקרוסופט מציינת כי ישנן שלוש גרסאות שונות של אלגוריתם הגיבוב SHA256 במסגרת .NET. המהיר ביותר לא הוגש לאימות, אך עליו להיות מאובטח באותה מידה. אז הפעלת מצב FIPS תשבור יישומי .NET המשתמשים באלגוריתם היעיל יותר או תאלץ אותם להשתמש באלגוריתם הפחות יעיל ולהיות איטיים יותר.

מלבד שני הדברים האלה, הפעלת מצב FIPS ממליצה ליישומים להשתמש בהצפנה מאומתת בלבד גם כן. אבל זה לא מכריח שום דבר אחר. יישומי שולחן עבודה מסורתיים של Windows יכולים לבחור ליישם כל קוד הצפנה שהם רוצים - אפילו הצפנה פגיעה להחריד - או ללא הצפנה בכלל. מצב FIPS לא עושה שום דבר ליישומים אחרים אלא אם כן הם מצייתים להגדרה זו.

כיצד להשבית את מצב FIPS (או להפעיל אותו, אם אתה צריך)

אתה לא צריך להפעיל הגדרה זו אלא אם אתה משתמש במחשב ממשלתי ונאלץ לעשות זאת. אם אכן תפעיל הגדרה זו, יישומי צרכנים מסוימים עשויים לבקש ממך להשבית את מצב FIPS כדי שהם יוכלו לתפקד כראוי.

אם עליך להפעיל או להשבית את מצב FIPS – אולי ראית הודעת שגיאה לאחר שהפעלת אותה, עליך לבדוק כיצד התוכנה שלך תנהג במחשב עם מצב FIPS מופעל, או שאתה משתמש במחשב ממשלתי ויש לך כדי לאפשר זאת - אתה יכול לעשות זאת בכמה דרכים. ניתן להפעיל מצב FIPS רק כאשר הוא מחובר לרשת ספציפית, או באמצעות הגדרה כוללת של המערכת שתחול תמיד.

כדי להפעיל מצב FIPS רק כאשר אתה מחובר לרשת ספציפית, בצע את השלבים הבאים:

1. פתח את חלון לוח הבקרה.
2. לחץ על "הצג סטטוס ומשימות רשת" תחת רשת ואינטרנט.
3. לחץ על "שנה הגדרות מתאם".
4. לחץ באמצעות לחצן העכבר הימני על הרשת שאליה תרצה להפעיל את FIPS ובחר "סטטוס".
5. לחץ על הלחצן "מאפיינים אלחוטיים" בחלון סטטוס ה- Wi-Fi.
6. לחץ על הכרטיסייה "אבטחה" בחלון מאפייני הרשת.
7. לחץ על כפתור "הגדרות מתקדמות".
8. החלף את האפשרות "אפשר תאימות לתקני עיבוד מידע פדרלי (FIPS) עבור רשת זו" תחת הגדרות 802.11.

ניתן לשנות הגדרה זו בכל המערכת בעורך המדיניות הקבוצתית. כלי זה זמין רק בגרסאות Professional, Enterprise ו- Education של Windows – ולא בגרסאות Home. אתה יכול להשתמש רק ב- עורך מדיניות קבוצתית מקומית כדי לשנות את הכלי הזה אם אתה נמצא במחשב שאינו מחובר לדומיין שמנהל עבורך את הגדרות המדיניות הקבוצתית של המחשב שלך. אם המחשב שלך מחובר לדומיין והגדרות המדיניות הקבוצתית מנוהלות באופן מרכזי על ידי הארגון שלך, לא תוכל לשנות זאת בעצמך. כדי לשנות הגדרה זו במדיניות קבוצתית:

1. לחץ על מקש Windows + R כדי לפתוח את תיבת הדו-שיח הפעלה.
2. הקלד "gpedit.msc" בתיבת הדו-שיח הפעלה (ללא מרכאות) ולחץ על Enter.
3. נווט אל "תצורת מחשב \ הגדרות Windows \ הגדרות אבטחה \ מדיניות מקומית \ אפשרויות אבטחה" בעורך המדיניות הקבוצתית.
4. אתר את ההגדרה "הצפנת מערכת: השתמש באלגוריתמים תואמי FIPS לצורך הצפנה, גיבוב וחתימה" בחלונית הימנית ולחץ עליה פעמיים.
5. הגדר את ההגדרה ל "מושבת" ולחץ על "אישור".
6. לאתחל את המחשב.

בגירסאות הבית של Windows, אתה עדיין יכול להפעיל או להשבית את הגדרת FIPS באמצעות הגדרת רישום. כדי לבדוק אם FIPS מופעל או מושבת במרשם בצע את השלבים הבאים:

1. לחץ על מקש Windows + R כדי לפתוח את תיבת הדו-שיח הפעלה.
2. הקלד "regedit" בתיבת הדו-שיח הפעלה (ללא מרכאות) ולחץ על Enter.
3. נווט אל "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. עיין בערך "מופעל" בחלונית הימנית. אם הוא מוגדר כ- "0", מצב FIPS מושבת. אם הוא מוגדר כ- "1", מצב FIPS מופעל. כדי לשנות את ההגדרה, לחץ פעמיים על הערך "מופעל" והגדר אותו ל "0" או "1".
5. לאתחל את המחשב.

---

הודות ל @ SwiftOnSecurity בטוויטר להשראת פוסט זה!