Dlaczego nie należy włączać szyfrowania „zgodnego z FIPS” w systemie Windows

System Windows ma ukryte ustawienie, które umożliwia tylko certyfikowane przez rząd „Zgodność z FIPS” szyfrowanie . Może to brzmieć jak sposób na zwiększenie bezpieczeństwa komputera, ale tak nie jest. Nie należy włączać tego ustawienia, chyba że pracujesz w rządzie lub musisz sprawdzić, jak oprogramowanie będzie się zachowywać na rządowych komputerach.

Ta poprawka pasuje do innych bezużyteczne mity o podkręcaniu systemu Windows . Jeśli natknąłeś się na to ustawienie w systemie Windows lub widziałeś, o którym mowa w innym miejscu, nie włączaj go. Jeśli już ją włączyłeś bez dobrego powodu, wykonaj poniższe czynności, aby wyłączyć „tryb FIPS”.

Co to jest szyfrowanie zgodne ze standardem FIPS?

ZWIĄZANE Z: 10 obalonych mitów dotyczących ulepszania systemu Windows

FIPS to skrót od „Federal Information Processing Standards”. Jest to zestaw rządowych standardów, które definiują, jak pewne rzeczy są używane w rządzie - na przykład algorytmy szyfrowania. FIPS definiuje określone metody szyfrowania, których można używać, a także metody generowania kluczy szyfrowania. Został opublikowany przez National Institute of Standards and Technology lub NIST.

Ustawienie w systemie Windows jest zgodne ze standardem FIPS 140 rządu Stanów Zjednoczonych. Po włączeniu wymusza na systemie Windows używanie wyłącznie schematów szyfrowania zatwierdzonych przez FIPS i zaleca aplikacjom, aby to robiły.

„Tryb FIPS” nie zwiększa bezpieczeństwa systemu Windows. Po prostu blokuje dostęp do nowszych schematów kryptograficznych, które nie zostały zatwierdzone przez FIPS. Oznacza to, że nie będzie mógł używać nowych schematów szyfrowania ani szybszych sposobów korzystania z tych samych schematów szyfrowania. Innymi słowy, sprawia, że ​​komputer jest wolniejszy, mniej funkcjonalny i prawdopodobnie mniej bezpieczne.

Jak system Windows zachowuje się inaczej, jeśli włączysz to ustawienie

Firma Microsoft wyjaśnia, co właściwie robi to ustawienie w poście na blogu zatytułowanym „ Dlaczego nie zalecamy już „trybu FIPS” . ” Firma Microsoft zaleca używanie trybu FIPS tylko wtedy, gdy jest to konieczne. Na przykład jeśli używasz komputera rządowego Stanów Zjednoczonych, komputer ten powinien mieć włączony „tryb FIPS” zgodnie z własnymi przepisami tego rządu. Nie ma prawdziwego przypadku, w którym chciałbyś włączyć to na swoim komputerze osobistym - chyba że testowałeś, jak oprogramowanie zachowuje się na komputerach rządu USA z włączonym tym ustawieniem.

To ustawienie powoduje dwie rzeczy w samym systemie Windows. Wymusza na usługach Windows i Windows używanie tylko kryptografii zatwierdzonej przez FIPS. Na przykład usługa Schannel wbudowana w system Windows nie będzie działać ze starszymi protokołami SSL 2.0 i 3.0 i będzie wymagać co najmniej TLS 1.0.

Platforma .NET firmy Microsoft będzie również blokować dostęp do algorytmów, które nie zostały sprawdzone przez standard FIPS. Platforma .NET oferuje kilka różnych algorytmów dla większości algorytmów kryptograficznych i nie wszystkie z nich zostały nawet przesłane do walidacji. Jako przykład firma Microsoft zauważa, że ​​istnieją trzy różne wersje algorytmu mieszającego SHA256 w środowisku .NET. Najszybsza nie została przesłana do weryfikacji, ale powinna być równie bezpieczna. Zatem włączenie trybu FIPS albo zepsuje aplikacje .NET, które używają bardziej wydajnego algorytmu, albo zmusi je do korzystania z mniej wydajnego algorytmu i będą wolniejsze.

Oprócz tych dwóch rzeczy, włączenie trybu FIPS zaleca aplikacjom, aby używały tylko szyfrowania zatwierdzonego przez FIPS. Ale to nie wymusza niczego innego. Tradycyjne aplikacje Windows na komputery stacjonarne mogą zdecydować się na zaimplementowanie dowolnego kodu szyfrowania, jaki chcą - nawet strasznie wrażliwego szyfrowania - lub w ogóle go nie używać. Tryb FIPS nie robi nic innym aplikacjom, chyba że przestrzegają tego ustawienia.

Jak wyłączyć tryb FIPS (lub włączyć go, jeśli musisz)

Nie należy włączać tego ustawienia, chyba że używasz komputera rządowego i jesteś do tego zmuszony. Jeśli włączysz to ustawienie, niektóre aplikacje konsumenckie mogą w rzeczywistości prosić o wyłączenie trybu FIPS, aby mogły działać poprawnie.

Jeśli chcesz włączyć lub wyłączyć tryb FIPS - być może zobaczyłeś komunikat o błędzie po jego włączeniu, musisz przetestować, jak oprogramowanie będzie się zachowywać na komputerze z włączonym trybem FIPS lub używasz komputera rządowego i masz aby ją włączyć - możesz to zrobić na kilka sposobów. Tryb FIPS można włączyć tylko po podłączeniu do określonej sieci lub za pomocą ustawienia systemowego, które będzie zawsze obowiązywać.

Aby włączyć tryb FIPS tylko po podłączeniu do określonej sieci, wykonaj następujące czynności:

1. Otwórz okno Panelu sterowania.
2. Kliknij „Wyświetl stan sieci i zadania” w obszarze Sieć i Internet.
3. Kliknij „Zmień ustawienia adaptera”.
4. Kliknij prawym przyciskiem myszy sieć, dla której chcesz włączyć FIPS, i wybierz „Stan”.
5. Kliknij przycisk „Właściwości sieci bezprzewodowej” w oknie Stan Wi-Fi.
6. Kliknij zakładkę „Bezpieczeństwo” w oknie właściwości sieci.
7. Kliknij przycisk „Ustawienia zaawansowane”.
8. Przełącz opcję „Włącz zgodność ze standardami FIPS (Federal Information Processing Standards) dla tej sieci” w ustawieniach 802.11.

To ustawienie można również zmienić w całym systemie w edytorze zasad grupy. To narzędzie jest dostępne tylko w wersjach Professional, Enterprise i Education systemu Windows, a nie w wersjach Home. Możesz używać tylko lokalny edytor zasad grupy aby zmienić to narzędzie, jeśli jesteś na komputerze, który nie jest przyłączony do domeny, która zarządza ustawieniami zasad grupy na Twoim komputerze za Ciebie. Jeśli komputer jest przyłączony do domeny, a ustawienia zasad grupy są centralnie zarządzane przez organizację, nie będzie można ich zmienić samodzielnie. Aby zmienić to ustawienie w zasadach grupy:

1. Naciśnij klawisz Windows + R, aby otworzyć okno dialogowe Uruchom.
2. Wpisz „gpedit.msc” w oknie dialogowym Uruchom (bez cudzysłowów) i naciśnij Enter.
3. Przejdź do „Konfiguracja komputera \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Zasady lokalne \ Opcje zabezpieczeń” w Edytorze zasad grupy.
4. Zlokalizuj ustawienie „Kryptografia systemu: użyj zgodnych ze standardem FIPS algorytmów do szyfrowania, mieszania i podpisywania” w prawym okienku i kliknij je dwukrotnie.
5. Ustaw ustawienie na „Wyłączone” i kliknij „OK”.
6. Zrestartuj komputer.

W domowych wersjach systemu Windows nadal można włączać lub wyłączać ustawienie FIPS za pomocą ustawień rejestru. Aby sprawdzić, czy FIPS jest włączony lub wyłączony w rejestrze wykonaj następujące czynności:

1. Naciśnij klawisz Windows + R, aby otworzyć okno dialogowe Uruchom.
2. Wpisz „regedit” w oknie dialogowym Uruchom (bez cudzysłowów) i naciśnij Enter.
3. Przejdź do „HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \”.
4. Spójrz na wartość „Włączone” w prawym okienku. Jeśli jest ustawiony na „0”, tryb FIPS jest wyłączony. Jeśli jest ustawiony na „1”, tryb FIPS jest włączony. Aby zmienić ustawienie, kliknij dwukrotnie wartość „Włączone” i ustaw ją na „0” lub „1”.
5. Zrestartuj komputer.

---

Dzięki @SwiftOnSecurity na Twitterze za inspirację do tego posta!