De ce nu ar trebui să activați criptarea „compatibilă cu FIPS” pe Windows

Windows are o setare ascunsă care va permite doar „conform cu FIPS” certificat de guvern criptare . Poate suna ca o modalitate de a spori securitatea computerului, dar nu este. Nu ar trebui să activați această setare decât dacă lucrați în guvern sau dacă trebuie să testați cum se va comporta software-ul pe computerele guvernamentale.

Această ajustare se potrivește alături de altele Windows inutile care modifică miturile . Dacă ați dat peste această setare în Windows sau ați văzut-o menționată în altă parte, nu o activați. Dacă l-ați activat deja fără un motiv întemeiat, urmați pașii de mai jos pentru a dezactiva „modul FIPS”.

Ce este criptarea conformă cu FIPS?

LEGATE DE: 10 Windows Tweaking Myths Demunked

FIPS înseamnă „Standarde federale de procesare a informațiilor”. Este un set de standarde guvernamentale care definesc modul în care anumite lucruri sunt utilizate în guvern - de exemplu, algoritmi de criptare. FIPS definește anumite metode de criptare specifice care pot fi utilizate, precum și metode pentru generarea cheilor de criptare. Este publicat de Institutul Național de Standarde și Tehnologie sau NIST.

Setarea din Windows este conformă cu standardul guvernului SUA FIPS 140. Când este activat, forțează Windows să utilizeze doar scheme de criptare validate de FIPS și recomandă aplicațiilor să facă acest lucru.

„Modul FIPS” nu face Windows mai sigur. Blochează doar accesul la scheme de criptografie mai noi care nu au fost validate de FIPS. Asta înseamnă că nu va putea utiliza noi scheme de criptare sau modalități mai rapide de a utiliza aceleași scheme de criptare. Cu alte cuvinte, face computerul mai lent, mai puțin funcțional și, fără îndoială, cu siguranță Mai puțin sigur.

Cum se comportă Windows diferit dacă activați această setare

Microsoft explică ce face de fapt această setare într-o postare pe blog intitulată „ De ce nu mai recomandăm „Modul FIPS” din nou . ” Microsoft vă recomandă să utilizați modul FIPS numai dacă trebuie. De exemplu, dacă utilizați un computer al guvernului SUA, computerul respectiv ar trebui să aibă „modul FIPS” activat în conformitate cu reglementările guvernamentale. Nu există niciun caz real în care doriți să activați acest lucru pe propriul computer personal - cu excepția cazului în care testați cum se comportă software-ul dvs. pe computerele guvernului SUA cu această setare activată.

Această setare face două lucruri pentru Windows în sine. Forțează serviciile Windows și Windows să utilizeze numai criptografie validată de FIPS. De exemplu, serviciul Schannel încorporat în Windows nu va funcționa cu protocoale SSL 2.0 și 3.0 mai vechi și va necesita cel puțin TLS 1.0.

Cadrul Microsoft .NET va bloca, de asemenea, accesul la algoritmi care nu sunt validați de FIPS. Cadrul .NET oferă mai mulți algoritmi diferiți pentru majoritatea algoritmilor de criptografie și nu toți au fost chiar trimiși pentru validare. De exemplu, Microsoft observă că există trei versiuni diferite ale algoritmului de hash SHA256 în cadrul .NET. Cel mai rapid nu a fost trimis spre validare, dar ar trebui să fie la fel de sigur. Deci, activarea modului FIPS va rupe fie aplicațiile .NET care utilizează algoritmul mai eficient, fie îi vor obliga să utilizeze algoritmul mai puțin eficient și să fie mai lent.

În afară de aceste două lucruri, activarea modului FIPS recomandă aplicațiilor să folosească și criptare validată de FIPS. Dar nu forțează nimic altceva. Aplicațiile desktop tradiționale Windows pot alege să implementeze orice cod de criptare doresc - chiar și criptare oribil de vulnerabilă - sau deloc criptare. Modul FIPS nu face nimic altor aplicații decât dacă respectă această setare.

Cum să dezactivați modul FIPS (sau să îl activați, dacă trebuie)

Nu ar trebui să activați această setare decât dacă utilizați un computer guvernamental și sunteți forțat. Dacă activați această setare, este posibil ca unele aplicații de consum să vă ceară să dezactivați modul FIPS pentru a putea funcționa corect.

Dacă trebuie să activați sau să dezactivați modul FIPS - poate că ați văzut un mesaj de eroare după ce l-ați activat, trebuie să testați cum se va comporta software-ul dvs. pe un computer cu modul FIPS activat sau dacă utilizați un computer guvernamental și aveți pentru ao activa - puteți face acest lucru în mai multe moduri. Modul FIPS poate fi activat numai atunci când este conectat la o anumită rețea sau printr-o setare la nivel de sistem care se va aplica întotdeauna.

Pentru a activa modul FIPS numai când sunteți conectat la o anumită rețea, efectuați următorii pași:

1. Deschideți fereastra Panoului de control.
2. Faceți clic pe „Vizualizați starea și sarcinile rețelei” sub Rețea și Internet.
3. Faceți clic pe „Modificați setările adaptorului”.
4. Faceți clic dreapta pe rețeaua pentru care doriți să activați FIPS și selectați „Stare”.
5. Faceți clic pe butonul „Proprietăți fără fir” din fereastra Stare Wi-Fi.
6. Faceți clic pe fila „Securitate” din fereastra de proprietăți a rețelei.
7. Faceți clic pe butonul „Setări avansate”.
8. Comutați opțiunea „Activați conformitatea cu standardele federale de procesare a informațiilor (FIPS) pentru această rețea” în setările 802.11.

Această setare poate fi modificată și la nivel de sistem în editorul de politici de grup. Acest instrument este disponibil numai pentru versiunile Professional, Enterprise și Education ale versiunilor Windows, nu ale versiunii Home. Puteți utiliza numai editor de politici de grup local pentru a schimba acest instrument dacă sunteți pe un computer care nu este conectat la un domeniu care gestionează setările politicii de grup ale computerului dvs. Dacă computerul dvs. este conectat la un domeniu și setările politicii de grup sunt gestionate central de organizația dvs., nu îl veți putea schimba singur. Pentru a modifica această setare în politica de grup:

1. Apăsați tasta Windows + R pentru a deschide dialogul Run.
2. Tastați „gpedit.msc” în caseta de dialog Executare (fără ghilimele) și apăsați Enter.
3. Navigați la „Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options” în Editorul de politici de grup.
4. Găsiți setarea „Criptografie de sistem: utilizați algoritmi compatibili FIPS pentru criptare, hash și semnare” în panoul din dreapta și faceți dublu clic pe ea.
5. Setați setarea la „Dezactivat” și faceți clic pe „OK”.
6. Reporniți computerul.

În versiunile principale de Windows, puteți activa sau dezactiva setarea FIPS printr-o setare de registry. Pentru a verifica dacă FIPS este activat sau dezactivat în registru , urmați pașii următori:

1. Apăsați tasta Windows + R pentru a deschide dialogul Run.
2. Tastați „regedit” în caseta de dialog Executare (fără ghilimele) și apăsați Enter.
3. Navigați la „HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \”.
4. Uită-te la valoarea „Enabled” din panoul din dreapta. Dacă este setat la „0”, modul FIPS este dezactivat. Dacă este setat la „1”, modul FIPS este activat. Pentru a modifica setarea, faceți dublu clic pe valoarea „Enabled” și setați-o la „0” sau „1”.
5. Reporniți computerul.

---

Mulțumită @SwiftOnSecurity pe Twitter pentru că ai inspirat această postare!