Por que você não deve ativar a criptografia “compatível com FIPS” no Windows

O Windows tem uma configuração oculta que permitirá apenas “compatível com FIPS” certificado pelo governo criptografia . Pode parecer uma forma de aumentar a segurança do seu PC, mas não é. Você não deve habilitar essa configuração a menos que trabalhe no governo ou precise testar como o software se comportará em PCs do governo.

Este ajuste se encaixa bem ao lado de outros mitos inúteis de ajustes do Windows . Se você encontrou essa configuração no Windows ou a viu mencionada em outro lugar, não a habilite. Se você já o ativou sem um bom motivo, siga as etapas abaixo para desativar o “modo FIPS”.

O que é criptografia compatível com FIPS?

RELACIONADOS: 10 mitos de ajustes do Windows desmascarados

FIPS significa "Federal Information Processing Standards". É um conjunto de padrões governamentais que definem como certas coisas são usadas no governo - por exemplo, algoritmos de criptografia. FIPS define certos métodos de criptografia específicos que podem ser usados, bem como métodos para gerar chaves de criptografia. É publicado pelo Instituto Nacional de Padrões e Tecnologia, ou NIST.

A configuração do Windows está em conformidade com o padrão FIPS 140 do governo dos Estados Unidos. Quando está ativado, força o Windows a usar apenas esquemas de criptografia validados por FIPS e aconselha os aplicativos a fazerem isso também.

O “modo FIPS” não torna o Windows mais seguro. Ele apenas bloqueia o acesso a esquemas de criptografia mais recentes que não foram validados por FIPS. Isso significa que ele não poderá usar novos esquemas de criptografia ou formas mais rápidas de usar os mesmos esquemas de criptografia. Em outras palavras, torna o computador mais lento, menos funcional e, possivelmente, Menos seguro.

Como o Windows se comporta de maneira diferente se você ativar esta configuração

A Microsoft explica o que essa configuração realmente faz em uma postagem de blog intitulada “ Por que não recomendamos o “modo FIPS” mais . ” A Microsoft só recomenda usar o modo FIPS se for necessário. Por exemplo, se você estiver usando um computador do governo dos EUA, esse computador deve ter o "modo FIPS" ativado de acordo com os próprios regulamentos do governo. Não há nenhum caso real em que você queira habilitar isso em seu próprio computador pessoal - a menos que você esteja testando como seu software se comporta em computadores do governo dos EUA com essa configuração habilitada.

Essa configuração faz duas coisas no próprio Windows. Ele força o Windows e os serviços do Windows a usarem apenas criptografia validada por FIPS. Por exemplo, o serviço Schannel integrado ao Windows não funcionará com protocolos SSL 2.0 e 3.0 mais antigos e exigirá pelo menos TLS 1.0.

A estrutura .NET da Microsoft também bloqueará o acesso a algoritmos que não são validados por FIPS. O .NET framework oferece vários algoritmos diferentes para a maioria dos algoritmos de criptografia, e nem todos eles foram enviados para validação. Como exemplo, a Microsoft observa que existem três versões diferentes do algoritmo de hash SHA256 na estrutura .NET. O mais rápido não foi enviado para validação, mas deve ser tão seguro. Portanto, a ativação do modo FIPS interromperá os aplicativos .NET que usam o algoritmo mais eficiente ou os forçará a usar o algoritmo menos eficiente e ficar mais lentos.

Além dessas duas coisas, ativar o modo FIPS recomenda aos aplicativos que também usem apenas criptografia validada por FIPS. Mas não força mais nada. Os aplicativos de desktop tradicionais do Windows podem escolher implementar qualquer código de criptografia que desejem - mesmo criptografia terrivelmente vulnerável - ou nenhuma criptografia. O modo FIPS não faz nada para outros aplicativos, a menos que obedeçam a esta configuração.

Como desativar o modo FIPS (ou ativá-lo, se necessário)

Você não deve habilitar essa configuração, a menos que esteja usando um computador do governo e seja forçado a isso. Se você habilitar esta configuração, alguns aplicativos de consumidor podem, na verdade, solicitar que você desabilite o modo FIPS para que possam funcionar corretamente.

Se você precisar habilitar ou desabilitar o modo FIPS - talvez você tenha visto uma mensagem de erro depois de habilitá-lo, você precisa testar como seu software se comportará em um computador com o modo FIPS habilitado, ou você está usando um computador do governo e tem para habilitá-lo - você pode fazer isso de várias maneiras. O modo FIPS pode ser habilitado apenas quando conectado a uma rede específica ou por meio de uma configuração de todo o sistema que sempre se aplicará.

Para ativar o modo FIPS apenas quando conectado a uma rede específica, execute as seguintes etapas:

1. Abra a janela Painel de controle.
2. Clique em “Exibir o status e as tarefas da rede” em Rede e Internet.
3. Clique em “Alterar as configurações do adaptador”.
4. Clique com o botão direito na rede para a qual deseja habilitar o FIPS e selecione “Status”.
5. Clique no botão “Propriedades sem fio” na janela de status do Wi-Fi.
6. Clique na guia “Segurança” na janela de propriedades da rede.
7. Clique no botão “Configurações avançadas”.
8. Alterne a opção “Habilitar conformidade com os padrões de processamento de informações federais (FIPS) para esta rede” nas configurações 802.11.

Essa configuração também pode ser alterada em todo o sistema no editor de política de grupo. Esta ferramenta está disponível apenas nas versões Professional, Enterprise e Education do Windows - não nas versões Home. Você só pode usar o editor de política de grupo local para alterar essa ferramenta se você estiver em um computador que não faz parte de um domínio que gerencia as configurações de política de grupo do seu computador para você. Se seu computador fizer parte de um domínio e as configurações de política de grupo forem gerenciadas centralmente por sua organização, você não poderá alterá-las sozinho. Para alterar essa configuração na Política de Grupo:

1. Pressione a tecla Windows + R para abrir a caixa de diálogo Executar.
2. Digite “gpedit.msc” na caixa de diálogo Executar (sem as aspas) e pressione Enter.
3. Navegue até “Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Políticas Locais \ Opções de Segurança” no Editor de Política de Grupo.
4. Localize a configuração “Criptografia do sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura” no painel direito e clique duas vezes nele.
5. Defina a configuração como “Desativado” e clique em “OK”.
6. Reinicie o computador.

Nas versões Home do Windows, você ainda pode ativar ou desativar a configuração FIPS por meio de uma configuração de registro. Para verificar se FIPS está habilitado ou desabilitado no registro , siga as seguintes etapas:

1. Pressione a tecla Windows + R para abrir a caixa de diálogo Executar.
2. Digite “regedit” na caixa de diálogo Executar (sem as aspas) e pressione Enter.
3. Navegue até “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \”.
4. Observe o valor “Ativado” no painel direito. Se estiver definido como “0”, o modo FIPS é desativado. Se estiver definido como “1”, o modo FIPS está habilitado. Para alterar a configuração, clique duas vezes no valor “Ativado” e defina-o como “0” ou “1”.
5. Reinicie o computador.

---

Graças a @SwiftOnSecurity no Twitter por inspirar este post!