Perché non dovresti abilitare la crittografia "conforme a FIPS" su Windows

Windows ha un'impostazione nascosta che abiliterà solo "conforme FIPS" certificato dal governo crittografia . Può sembrare un modo per aumentare la sicurezza del tuo PC, ma non lo è. Non abilitare questa impostazione a meno che non si lavori nel governo o non sia necessario testare il comportamento del software sui PC del governo.

Questo tweak si adatta perfettamente ad altri inutili miti sulla modifica di Windows . Se ti sei imbattuto in questa impostazione in Windows o l'hai vista menzionata altrove, non abilitarla. Se l'hai già abilitato senza una buona ragione, utilizza i passaggi seguenti per disabilitare la "modalità FIPS".

Che cos'è la crittografia conforme a FIPS?

RELAZIONATO: 10 miti del tweaking di Windows sfatati

FIPS sta per "Federal Information Processing Standards". È un insieme di standard governativi che definiscono il modo in cui determinati elementi vengono utilizzati nel governo, ad esempio gli algoritmi di crittografia. FIPS definisce alcuni metodi di crittografia specifici che possono essere utilizzati, nonché metodi per la generazione di chiavi di crittografia. È pubblicato dal National Institute of Standards and Technology o NIST.

L'impostazione in Windows è conforme allo standard FIPS 140 del governo degli Stati Uniti. Quando è abilitato, obbliga Windows a utilizzare solo schemi di crittografia convalidati da FIPS e consiglia anche alle applicazioni di farlo.

La "modalità FIPS" non rende Windows più sicuro. Blocca semplicemente l'accesso a schemi di crittografia più recenti che non sono stati convalidati da FIPS. Ciò significa che non sarà in grado di utilizzare nuovi schemi di crittografia o metodi più rapidi per utilizzare gli stessi schemi di crittografia. In altre parole, rende il tuo computer più lento, meno funzionale e probabilmente Di meno sicuro.

Come si comporta Windows in modo diverso se si abilita questa impostazione

Microsoft spiega cosa fa effettivamente questa impostazione in un post sul blog intitolato " Perché non consigliamo più la "modalità FIPS" . " Microsoft consiglia di utilizzare la modalità FIPS solo se necessario. Ad esempio, se utilizzi un computer del governo degli Stati Uniti, tale computer dovrebbe avere la "modalità FIPS" abilitata in base alle normative del governo. Non c'è nessun caso reale in cui vorresti abilitarlo sul tuo personal computer, a meno che tu non stia testando il comportamento del tuo software sui computer del governo degli Stati Uniti con questa impostazione abilitata.

Questa impostazione fa due cose su Windows stesso. Impone ai servizi Windows e Windows di utilizzare solo la crittografia convalidata da FIPS. Ad esempio, il servizio Schannel integrato in Windows non funzionerà con i protocolli SSL 2.0 e 3.0 precedenti e richiederà invece almeno TLS 1.0.

Il framework .NET di Microsoft bloccherà anche l'accesso agli algoritmi che non sono convalidati da FIPS. Il framework .NET offre diversi algoritmi diversi per la maggior parte degli algoritmi di crittografia e non tutti sono stati nemmeno sottoposti a convalida. Ad esempio, Microsoft osserva che esistono tre diverse versioni dell'algoritmo di hashing SHA256 nel framework .NET. Il più veloce non è stato inviato per la convalida, ma dovrebbe essere altrettanto sicuro. Pertanto, l'attivazione della modalità FIPS interromperà le applicazioni .NET che utilizzano l'algoritmo più efficiente o le costringerà a utilizzare l'algoritmo meno efficiente e sarà più lento.

A parte queste due cose, l'abilitazione della modalità FIPS consiglia alle applicazioni di utilizzare solo la crittografia convalidata da FIPS. Ma non forza nient'altro. Le tradizionali applicazioni desktop Windows possono scegliere di implementare qualsiasi codice di crittografia desiderino, anche una crittografia orribilmente vulnerabile o di non eseguire alcuna crittografia. La modalità FIPS non ha effetto sulle altre applicazioni a meno che non obbediscano a questa impostazione.

Come disabilitare la modalità FIPS (o abilitarla, se necessario)

Non dovresti abilitare questa impostazione a meno che tu non stia utilizzando un computer governativo e sei costretto a farlo. Se abiliti questa impostazione, alcune applicazioni consumer potrebbero effettivamente chiederti di disabilitare la modalità FIPS in modo che possano funzionare correttamente.

Se devi abilitare o disabilitare la modalità FIPS, forse hai visto un messaggio di errore dopo averla abilitata, devi testare come si comporterà il tuo software su un computer con la modalità FIPS abilitata, oppure stai usando un computer governativo e hai per abilitarlo, puoi farlo in diversi modi. La modalità FIPS può essere abilitata solo quando si è connessi a una rete specifica o tramite un'impostazione a livello di sistema che verrà sempre applicata.

Per abilitare la modalità FIPS solo quando si è connessi a una rete specifica, eseguire le seguenti operazioni:

1. Apri la finestra del pannello di controllo.
2. Fare clic su "Visualizza stato e attività della rete" in Rete e Internet.
3. Fai clic su "Modifica impostazioni adattatore".
4. Fare clic con il pulsante destro del mouse sulla rete per cui si desidera abilitare FIPS e selezionare "Stato".
5. Fare clic sul pulsante "Proprietà wireless" nella finestra di stato Wi-Fi.
6. Fare clic sulla scheda "Protezione" nella finestra delle proprietà di rete.
7. Fare clic sul pulsante "Impostazioni avanzate".
8. Attiva o disattiva l'opzione "Abilita conformità FIPS (Federal Information Processing Standards) per questa rete" nelle impostazioni 802.11.

Questa impostazione può anche essere modificata a livello di sistema nell'editor dei criteri di gruppo. Questo strumento è disponibile solo nelle versioni Professional, Enterprise ed Education delle versioni Windows e non Home. Puoi usare solo il file editor dei criteri di gruppo locale per modificare questo strumento se utilizzi un computer che non fa parte di un dominio che gestisce le impostazioni dei criteri di gruppo del computer per te. Se il tuo computer fa parte di un dominio e le impostazioni dei criteri di gruppo sono gestite centralmente dalla tua organizzazione, non sarai in grado di modificarle da solo. Per modificare questa impostazione in Criteri di gruppo:

1. Premi il tasto Windows + R per aprire la finestra di dialogo Esegui.
2. Digita "gpedit.msc" nella finestra di dialogo Esegui (senza virgolette) e premi Invio.
3. Passare a "Configurazione computer \ Impostazioni di Windows \ Impostazioni di protezione \ Criteri locali \ Opzioni di protezione" nell'Editor criteri di gruppo.
4. Individua l'impostazione "Crittografia di sistema: utilizza algoritmi conformi a FIPS per crittografia, hash e firma" nel riquadro di destra e fai doppio clic su di essa.
5. Imposta l'impostazione su "Disabilitato" e fai clic su "OK".
6. Riavvia il computer.

Nelle versioni Home di Windows, puoi comunque abilitare o disabilitare l'impostazione FIPS tramite un'impostazione del registro. Per verificare se FIPS è abilitato o disabilitato nel registro , segui i seguenti passaggi:

1. Premi il tasto Windows + R per aprire la finestra di dialogo Esegui.
2. Digita "regedit" nella finestra di dialogo Esegui (senza virgolette) e premi Invio.
3. Vai a "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Guarda il valore "Abilitato" nel riquadro di destra. Se è impostato su "0", la modalità FIPS è disabilitata. Se è impostato su "1", la modalità FIPS è abilitata. Per modificare l'impostazione, fare doppio clic sul valore "Abilitato" e impostarlo su "0" o "1".
5. Riavvia il computer.

---

Grazie a @SwiftOnSecurity su Twitter per aver ispirato questo post!