เหตุใดคุณจึงไม่ควรเปิดใช้งานการเข้ารหัสที่ "สอดคล้องกับ FIPS" บน Windows

Windows มีการตั้งค่าที่ซ่อนอยู่ซึ่งจะเปิดใช้เฉพาะ“ FIPS-compliant” ที่ได้รับการรับรองจากรัฐบาลเท่านั้น การเข้ารหัส . อาจฟังดูเหมือนเป็นวิธีเพิ่มความปลอดภัยให้กับพีซีของคุณ แต่ก็ไม่ได้เป็นเช่นนั้น คุณไม่ควรเปิดใช้งานการตั้งค่านี้เว้นแต่คุณจะทำงานในหน่วยงานราชการหรือต้องการทดสอบว่าซอฟต์แวร์จะทำงานอย่างไรบนพีซีของรัฐบาล

การปรับแต่งนี้เข้ากันได้ดีกับอุปกรณ์อื่น ๆ ตำนานการปรับแต่ง Windows ที่ไร้ประโยชน์ . หากคุณพบการตั้งค่านี้ใน Windows หรือพบว่ามีการกล่าวถึงที่อื่นอย่าเปิดใช้งาน หากคุณเปิดใช้งานโดยไม่มีเหตุผลที่ดีให้ทำตามขั้นตอนด้านล่างเพื่อปิดใช้งาน“ โหมด FIPS”

การเข้ารหัสที่สอดคล้องกับ FIPS คืออะไร?

ที่เกี่ยวข้อง: 10 Windows Tweaking Myths Debunked

FIPS ย่อมาจาก“ Federal Information Processing Standards” เป็นชุดมาตรฐานของรัฐบาลที่กำหนดวิธีการใช้บางอย่างในรัฐบาลเช่นอัลกอริทึมการเข้ารหัส FIPS กำหนดวิธีการเข้ารหัสเฉพาะที่สามารถใช้ได้เช่นเดียวกับวิธีการสร้างคีย์การเข้ารหัส เผยแพร่โดย National Institute of Standards and Technology หรือ NIST

การตั้งค่าใน Windows เป็นไปตามมาตรฐาน FIPS 140 ของรัฐบาลสหรัฐฯ เมื่อเปิดใช้งานจะบังคับให้ Windows ใช้เฉพาะรูปแบบการเข้ารหัสที่ผ่านการตรวจสอบความถูกต้องของ FIPS และแนะนำให้แอปพลิเคชันดำเนินการดังกล่าวด้วย

“ โหมด FIPS” ไม่ได้ทำให้ Windows ปลอดภัยมากขึ้น เพียงแค่บล็อกการเข้าถึงรูปแบบการเข้ารหัสรุ่นใหม่ที่ยังไม่ผ่านการตรวจสอบ FIPS นั่นหมายความว่าจะไม่สามารถใช้รูปแบบการเข้ารหัสใหม่หรือวิธีที่เร็วกว่าในการใช้รูปแบบการเข้ารหัสเดียวกัน กล่าวอีกนัยหนึ่งก็คือทำให้คอมพิวเตอร์ของคุณทำงานช้าลงทำงานน้อยลงและมีเนื้อหา น้อยกว่า ปลอดภัย.

Windows จะมีพฤติกรรมแตกต่างกันอย่างไรหากคุณเปิดใช้งานการตั้งค่านี้

Microsoft อธิบายว่าการตั้งค่านี้ทำอะไรได้บ้างในบล็อกโพสต์ชื่อ เหตุใดเราจึงไม่แนะนำ“ โหมด FIPS” อีกต่อไป .” Microsoft แนะนำให้คุณใช้โหมด FIPS เท่านั้นหากคุณต้องการ ตัวอย่างเช่นหากคุณใช้คอมพิวเตอร์ของรัฐบาลสหรัฐอเมริกาคอมพิวเตอร์เครื่องนั้นควรเปิดใช้งาน“ โหมด FIPS” ตามข้อบังคับของรัฐบาลเอง ไม่มีกรณีจริงที่คุณต้องการเปิดใช้งานสิ่งนี้ในคอมพิวเตอร์ส่วนบุคคลของคุณเองเว้นแต่คุณจะทดสอบการทำงานของซอฟต์แวร์ของคุณในคอมพิวเตอร์ของรัฐบาลสหรัฐฯโดยเปิดใช้การตั้งค่านี้

การตั้งค่านี้ทำสองสิ่งกับ Windows เอง บังคับให้บริการ Windows และ Windows ใช้การเข้ารหัสที่ตรวจสอบความถูกต้อง FIPS เท่านั้น ตัวอย่างเช่นบริการ Schannel ที่ติดตั้งใน Windows จะไม่ทำงานกับโปรโตคอล SSL 2.0 และ 3.0 รุ่นเก่าและจะต้องใช้ TLS 1.0 เป็นอย่างน้อยแทน

NET Framework ของ Microsoft จะบล็อกการเข้าถึงอัลกอริทึมที่ไม่ผ่านการตรวจสอบ FIPS กรอบงาน. NET นำเสนออัลกอริทึมที่แตกต่างกันสำหรับอัลกอริทึมการเข้ารหัสส่วนใหญ่และยังไม่ได้ส่งไปตรวจสอบ ตัวอย่างเช่น Microsoft ตั้งข้อสังเกตว่าอัลกอริทึมการแฮช SHA256 มีสามเวอร์ชันที่แตกต่างกันในกรอบงาน. NET ยังไม่ได้ส่งรายการที่เร็วที่สุดเพื่อตรวจสอบความถูกต้อง แต่ควรปลอดภัยพอ ๆ กัน ดังนั้นการเปิดใช้งานโหมด FIPS จะทำให้แอปพลิเคชัน. NET ที่ใช้อัลกอริทึมที่มีประสิทธิภาพสูงกว่าหรือบังคับให้ใช้อัลกอริทึมที่มีประสิทธิภาพน้อยกว่าและทำงานช้าลง

นอกเหนือจากสองสิ่งนี้แล้วการเปิดใช้งานโหมด FIPS แนะนำให้ใช้กับแอปพลิเคชันที่ใช้การเข้ารหัสที่ตรวจสอบความถูกต้อง FIPS เท่านั้นเช่นกัน แต่ไม่ได้บังคับอย่างอื่น แอปพลิเคชันเดสก์ท็อป Windows แบบดั้งเดิมสามารถเลือกใช้รหัสเข้ารหัสใด ๆ ที่ต้องการได้แม้กระทั่งการเข้ารหัสที่มีช่องโหว่อย่างน่ากลัวหรือไม่ใช้การเข้ารหัสเลย โหมด FIPS จะไม่ทำอะไรกับแอปพลิเคชันอื่น ๆ เว้นแต่จะปฏิบัติตามการตั้งค่านี้

วิธีปิดการใช้งานโหมด FIPS (หรือเปิดใช้งานหากคุณต้องการ)

คุณไม่ควรเปิดใช้งานการตั้งค่านี้เว้นแต่คุณจะใช้คอมพิวเตอร์ของรัฐบาลและถูกบังคับ หากคุณเปิดใช้งานการตั้งค่านี้แอปพลิเคชันสำหรับผู้บริโภคบางตัวอาจขอให้คุณปิดใช้งานโหมด FIPS เพื่อให้สามารถทำงานได้อย่างถูกต้อง

หากคุณต้องการเปิดหรือปิดโหมด FIPS บางทีคุณอาจเห็นข้อความแสดงข้อผิดพลาดหลังจากที่คุณเปิดใช้งานคุณต้องทดสอบว่าซอฟต์แวร์ของคุณจะทำงานอย่างไรบนคอมพิวเตอร์ที่เปิดใช้งานโหมด FIPS หรือคุณกำลังใช้คอมพิวเตอร์ของรัฐบาลและมี เพื่อเปิดใช้งานคุณสามารถทำได้หลายวิธี โหมด FIPS สามารถเปิดใช้งานได้เฉพาะเมื่อเชื่อมต่อกับเครือข่ายเฉพาะหรือผ่านการตั้งค่าทั้งระบบที่จะใช้เสมอ

ในการเปิดใช้งานโหมด FIPS เฉพาะเมื่อเชื่อมต่อกับเครือข่ายเฉพาะให้ทำตามขั้นตอนต่อไปนี้:

1. เปิดหน้าต่างแผงควบคุม
2. คลิก“ ดูสถานะเครือข่ายและงาน” ภายใต้เครือข่ายและอินเทอร์เน็ต
3. คลิก“ เปลี่ยนการตั้งค่าอะแดปเตอร์”
4. คลิกขวาที่เครือข่ายที่คุณต้องการเปิดใช้งาน FIPS และเลือก“ สถานะ”
5. คลิกปุ่ม“ คุณสมบัติไร้สาย” ในหน้าต่างสถานะ Wi-Fi
6. คลิกแท็บ“ ความปลอดภัย” ในหน้าต่างคุณสมบัติเครือข่าย
7. คลิกปุ่ม "การตั้งค่าขั้นสูง"
8. สลับตัวเลือก“ เปิดใช้งานการปฏิบัติตามมาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง (FIPS) สำหรับเครือข่ายนี้” ภายใต้การตั้งค่า 802.11

การตั้งค่านี้สามารถเปลี่ยนแปลงได้ทั้งระบบในตัวแก้ไขนโยบายกลุ่ม เครื่องมือนี้ใช้ได้เฉพาะใน Windows รุ่น Professional, Enterprise และ Education เท่านั้นไม่ใช่เวอร์ชัน Home คุณสามารถใช้ได้เฉพาะไฟล์ ตัวแก้ไขนโยบายกลุ่มท้องถิ่น เพื่อเปลี่ยนเครื่องมือนี้หากคุณใช้คอมพิวเตอร์ที่ไม่ได้เข้าร่วมกับโดเมนที่จัดการการตั้งค่านโยบายกลุ่มของคอมพิวเตอร์ให้คุณ หากคอมพิวเตอร์ของคุณเข้าร่วมกับโดเมนและการตั้งค่านโยบายกลุ่มได้รับการจัดการจากส่วนกลางคุณจะไม่สามารถเปลี่ยนแปลงได้ด้วยตนเอง หากต้องการเปลี่ยนการตั้งค่านี้ในนโยบายกลุ่ม:

1. กด Windows Key + R เพื่อเปิดกล่องโต้ตอบ Run
2. พิมพ์“ gpedit.msc” ในกล่องโต้ตอบเรียกใช้ (โดยไม่มีเครื่องหมายอัญประกาศ) แล้วกด Enter
3. ไปที่“ Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options” ในตัวแก้ไขนโยบายกลุ่ม
4. ค้นหาการตั้งค่า“ การเข้ารหัสระบบ: ใช้อัลกอริทึมที่สอดคล้องกับ FIPS สำหรับการเข้ารหัสการแฮชและการเซ็นชื่อ” ในบานหน้าต่างด้านขวาและดับเบิลคลิก
5. ตั้งค่าเป็น "ปิดใช้งาน" แล้วคลิก "ตกลง"
6. รีสตาร์ทคอมพิวเตอร์

ใน Windows เวอร์ชัน Home คุณยังสามารถเปิดหรือปิดการตั้งค่า FIPS ผ่านการตั้งค่ารีจิสทรี เพื่อตรวจสอบว่าเปิดใช้งานหรือปิดใช้งาน FIPS ในรีจิสทรี ทำตามขั้นตอนต่อไปนี้:

1. กด Windows Key + R เพื่อเปิดกล่องโต้ตอบ Run
2. พิมพ์“ regedit” ในกล่องโต้ตอบเรียกใช้ (โดยไม่มีเครื่องหมายคำพูด) แล้วกด Enter
3. ไปที่“ HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \”
4. ดูค่า“ เปิดใช้งาน” ในบานหน้าต่างด้านขวา หากตั้งค่าเป็น“ 0” โหมด FIPS จะปิดใช้งาน หากตั้งค่าเป็น“ 1” โหมด FIPS จะเปิดใช้งาน หากต้องการเปลี่ยนการตั้งค่าให้ดับเบิลคลิกที่ค่า“ เปิดใช้งาน” แล้วตั้งค่าเป็น“ 0” หรือ“ 1”
5. รีสตาร์ทคอมพิวเตอร์

---

ขอบคุณ @SwiftOnSecurity บน Twitter เพื่อสร้างแรงบันดาลใจให้กับโพสต์นี้!