De ce nu ar trebui să activați criptarea "FIPS-compliant" pe Windows

Windows are o setare ascunsă care va permite numai criptarea compatibilă cu standardul "FIPS-compliant" certificată de guvern. Poate suna ca o modalitate de a spori securitatea PC-ului, dar nu este. Nu trebuie să activați această setare decât dacă lucrați în guvern sau trebuie să testați modul în care software-ul se va comporta pe PC-uri guvernamentale.

Acest tweak se potrivește chiar alături de alte mituri inutile pentru tweaking Windows. Dacă ați dat peste această setare în Windows sau ați văzut-o menționată în altă parte, nu o activați. Dacă ați activat-o deja fără motiv, utilizați pașii de mai jos pentru a dezactiva modul "FIPS".

Ce este criptarea compatibilă cu FIPS?

FIPS reprezintă standardele federale de procesare a informațiilor. Este un set de standarde guvernamentale care definesc modul în care anumite lucruri sunt folosite în guvern - de exemplu, algoritmi de criptare. FIPS definește anumite metode specifice de criptare care pot fi utilizate, precum și metode de generare a cheilor de criptare. Este publicat de Institutul Național de Standarde și Tehnologie sau NIST.

Setarea în Windows respectă standardul FIPS 140 al guvernului SUA. Atunci când este activată, Windows forțează să utilizeze numai scheme de criptare validate de FIPS și recomandă aplicațiilor să facă acest lucru, de asemenea.

"Modul FIPS" nu face Windows mai sigur. Acesta blochează accesul la schemele de criptografie mai noi care nu au fost validate de FIPS. Asta inseamna ca nu va putea folosi noile scheme de criptare sau metode mai rapide de utilizare a acelorasi scheme de criptare. Cu alte cuvinte, face ca computerul să fie mai lent, mai puțin funcțional și fără îndoială Mai puțin sigur.

Modul în care Windows se comportă diferit dacă activați această setare

Microsoft explică ceea ce face de fapt această setare într-un post pe blog intitulat "De ce nu recomandăm" modul FIPS "Anymore". Microsoft vă recomandă doar să utilizați modul FIPS dacă trebuie. De exemplu, dacă utilizați un computer guvernamental din SUA, computerul respectiv trebuie să aibă "modul FIPS" activat în conformitate cu reglementările proprii ale guvernului. Nu există nici un caz real în care doriți să activați acest lucru pe propriul calculator personal - cu excepția cazului în care ați testa modul în care software-ul dvs. se comportă pe computerele guvernamentale din SUA cu această setare activată.

Această setare face două lucruri în sine Windows. Aceasta obligă serviciile Windows și Windows să utilizeze numai criptografia validată de FIPS. De exemplu, serviciul Schannel încorporat în Windows nu va funcționa cu protocoalele mai vechi SSL 2.0 și 3.0 și va necesita cel puțin TLS 1.0.

Microsoft .NET Framework va bloca, de asemenea, accesul la algoritmi care nu sunt validate de FIPS. Cadrul .NET oferă mai mulți algoritmi diferiți pentru majoritatea algoritmilor de criptografie și nu toți au fost supuși chiar validării. De exemplu, Microsoft constată că există trei versiuni diferite ale algoritmului de hash SHA256 în cadrul .NET. Cea mai rapidă nu a fost depusă pentru validare, dar ar trebui să fie la fel de sigură. Deci, activarea modului FIPS va sparge fie aplicațiile .NET care utilizează algoritmul mai eficient, fie le obligă să folosească algoritmul mai puțin eficient și să fie mai lent.

În afară de cele două lucruri, activarea modului FIPS recomandă aplicațiilor că utilizează și criptarea validată de FIPS. Dar nu forțează nimic altceva. Aplicațiile desktop Windows tradiționale pot alege să implementeze orice cod de criptare pe care îl doresc - chiar și criptare în mod oribil vulnerabil - sau nici o criptare deloc. Modul FIPS nu face nimic pentru alte aplicații, cu excepția cazului în care respectă această setare.

Cum să dezactivați modul FIPS (sau activați-l, dacă trebuie)

Nu trebuie să activați această setare decât dacă utilizați un computer guvernamental și sunteți forțat. Dacă activați această setare, unele aplicații pentru consumatori vă pot cere să dezactivați modul FIPS pentru ca acestea să funcționeze corect.

Dacă trebuie să activați sau să dezactivați modul FIPS - poate ați văzut un mesaj de eroare după ce l-ați activat, trebuie să testați modul în care software-ul dvs. se va comporta pe un computer cu modul FIPS activat sau dacă utilizați un computer guvernamental și aveți pentru a le permite - puteți face acest lucru în mai multe moduri. Modul FIPS poate fi activat numai atunci când este conectat la o anumită rețea sau printr-o setare la nivel de sistem care se va aplica întotdeauna.

Pentru a activa modul FIPS numai când sunteți conectat la o anumită rețea, efectuați pașii următori:

1. Deschideți fereastra Panoului de control.
2. Faceți clic pe "Vizualizați starea și sarcinile rețelei" din Rețea și Internet.
3. Faceți clic pe "Modificați setările adaptorului".
4. Faceți clic dreapta pe rețeaua pe care doriți să activați FIPS pentru și selectați "Stare".
5. Faceți clic pe butonul "Proprietăți wireless" din fereastra Stare Wi-Fi.
6. Faceți clic pe fila "Securitate" din fereastra de proprietăți a rețelei.
7. Faceți clic pe butonul "Setări avansate".
8. Activați opțiunea "Acceptarea standardelor federale de procesare a informațiilor (FIPS) pentru această rețea" la setările 802.11.

Această setare poate fi, de asemenea, modificată în întregul sistem în editorul de politici de grup. Acest instrument este disponibil numai în versiunile Professional, Enterprise și Education pentru versiunile Windows-non Home. Puteți utiliza editorul de politici locale pentru grupuri numai pentru a schimba acest instrument dacă sunteți pe un computer care nu este alăturat unui domeniu care gestionează setările de politică de grup ale computerului pentru dvs. Dacă computerul dvs. este conectat la un domeniu și setările politicii de grup sunt gestionate central de organizația dvs., nu veți putea să-l modificați singur. Pentru a modifica această setare în Politica de grup:

1. Apăsați tasta Windows + R pentru a deschide caseta de dialog Executare.
2. Introduceți "gpedit.msc" în caseta de dialog Run (fără citate) și apăsați Enter.
3. Navigați la "Configurație computer \ Setări Windows \ Setări de securitate \ Politici locale \ Opțiuni de securitate" în Editorul de politici de grup.
4. Localizați "Criptografia de sistem: utilizați algoritmi conformi cu FIPS pentru criptare, hashing și semnare" în panoul din dreapta și faceți dublu clic pe el.
5. Setați setarea la "Dezactivat" și faceți clic pe "OK".
6. Reporniți computerul.

În versiunile de bază Windows, puteți activa sau dezactiva setarea FIPS printr-o setare de registry. Pentru a verifica dacă FIPS este activat sau dezactivat în registry, urmați pașii următori:

1. Apăsați tasta Windows + R pentru a deschide caseta de dialog Executare.
2. Introduceți "regedit" în caseta de dialog Run (fără citate) și apăsați Enter.
3. Navigați la "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy".
4. Uită-te la valoarea "Enabled" din panoul din dreapta. Dacă este setat la "0", modul FIPS este dezactivat. Dacă este setat la "1", modul FIPS este activat. Pentru a schimba setarea, faceți dublu clic pe valoarea "Enabled" și setați-o fie la "0", fie la "1".
5. Reporniți computerul.

Vă mulțumim pentru @SwiftOnSecurity pe Twitter pentru a inspira acest post!