דף הבית » איך ל » למה אתה לא צריך לאפשר FIPS תואם הצפנה ב- Windows

    למה אתה לא צריך לאפשר FIPS תואם הצפנה ב- Windows

    ל- Windows יש הגדרה נסתרת שתאפשר רק הצפנה ממשלתית "תואמת FIPS". זה אולי נשמע כמו דרך להגביר את האבטחה של המחשב, אבל זה לא. אל תפעיל הגדרה זו אלא אם תעבוד בממשלה או שתצטרך לבדוק כיצד תתנהג התוכנה במחשבים אישיים ממשלתיים.

    לצבוט זה מתאים ממש לצד מיתוסים אחרים חסרי תועלת של Windows tweaking מיתוסים. אם נתקלת בהגדרה זו ב- Windows או אם ציינת אותה במקום אחר, אל תפעיל אותה. אם כבר הפעלת את זה ללא סיבה טובה, השתמש בשלבים הבאים כדי להשבית "מצב FIPS".

    מה זה FIPS תואם הצפנה?

    FIPS מייצג את "הפדרלי עיבוד מידע תקנים." זה סט של תקנים ממשלתיים המגדירים כיצד דברים מסוימים משמשים בממשלה, למשל, אלגוריתמים ההצפנה. FIPS מגדיר שיטות הצפנה ספציפיות מסוימות שניתן להשתמש בהן, וכן שיטות ליצירת מפתחות הצפנה. הוא פורסם על ידי המכון הלאומי לתקנים וטכנולוגיה, או NIST.

    ההגדרה ב- Windows תואמת לתקן FIPS 140 של ממשלת ארה"ב. כאשר הוא מופעל, הוא מאלץ את Windows להשתמש רק בתוכנות הצפנה מאומתות של FIPS, וממליץ ליישומים לעשות זאת, וכן.

    "מצב FIPS" לא עושה את Windows מאובטח יותר. זה רק חוסם גישה תוכניות קריפטוגרפיה חדש כי לא היה FIPS מאומת. פירוש הדבר שהוא לא יוכל להשתמש בתוכניות הצפנה חדשות, או דרכים מהירות יותר לשימוש באותן ערכות הצפנה. במילים אחרות, זה הופך את המחשב לאט יותר, פונקציונלי פחות, וניתן לטעון פחות לבטח.

    כיצד Windows מתנהג אחרת אם אתה מפעיל את זה הגדרה

    מיקרוסופט מסבירה מה בעצם עושה הגדרה זו בפוסט בבלוג שכותרתו "למה אנחנו לא ממליצים" מצב FIPS "יותר". מיקרוסופט ממליצה להשתמש במצב FIPS אם אתה צריך. לדוגמה, אם אתה משתמש במחשב ממשלתי בארה"ב, מחשב זה אמור להיות במצב "FIPS" מופעל בהתאם לתקנות של הממשלה. אין מקרה אמיתי שבו תרצה להפעיל זאת במחשב האישי שלך - אלא אם כן בחנת את אופן הפעולה של התוכנה שלך במחשבי ממשלת ארה"ב כאשר הגדרה זו מופעלת.

    הגדרה זו עושה שני דברים ל- Windows עצמה. הוא מאלץ את Windows ו- Windows להשתמש בשירותי הצפנה מאומתים של FIPS בלבד. לדוגמה, שירות Schannel המובנה ב- Windows לא יעבוד עם פרוטוקולים ישנים יותר של SSL 2.0 ו- 3.0, ויהיה צורך לפחות ב- TLS 1.0.

    Microsoft. NET במסגרת גם לחסום גישה אלגוריתמים שאינם FIPS מאומת. במסגרת. NET מציעה כמה אלגוריתמים שונים עבור רוב האלגוריתמים הצפנה, ולא כולם אפילו הוגשו לאימות. כדוגמה, מיקרוסופט מציינת כי קיימות שלוש גרסאות שונות של האלגוריתם SHA256 hashing במסגרת NET. המהיר ביותר לא הוגש לאימות, אבל צריך להיות בטוח בדיוק כמו. כך שהפעלת מצב FIPS תשבור יישומי .NET המשתמשים באלגוריתם יעיל יותר או יאלצו אותם להשתמש באלגוריתם הפחות יעיל ויהיה איטי יותר.

    מלבד שני הדברים האלה, המאפשר מצב FIPS ממליץ ליישומים כי הם משתמשים רק הצפנה אימות FIPS, גם. אבל זה לא מכריח שום דבר אחר. יישומי שולחן העבודה המסורתיים של Windows יכולים לבחור ליישם כל קוד הצפנה שהם רוצים - אפילו בהצפנה פגיעה בצורה איומה - או ללא הצפנה כלל. מצב FIPS אינו עושה דבר ליישומים אחרים, אלא אם כן הם מצייתים להגדרה זו.

    כיצד לבטל מצב FIPS (או לאפשר את זה, אם אתה צריך)

    אין להפעיל הגדרה זו אלא אם אתה משתמש במחשב ממשלתי ונאלץ לבצע זאת. אם תפעיל הגדרה זו, ייתכן שיישומי צרכנים מסוימים יבקשו ממך לבטל את מצב FIPS כדי שיוכלו לפעול כראוי.

    אם עליך להפעיל או לבטל מצב FIPS - אולי ראית הודעת שגיאה לאחר הפעלתה, עליך לבדוק כיצד התוכנה תתנהג במחשב עם מצב FIPS מופעל, או שאתה משתמש במחשב ממשלתי ויש לך כדי לאפשר את זה - אתה יכול לעשות זאת בכמה דרכים. מצב FIPS יכול להיות מופעל רק כאשר הוא מחובר לרשת מסוימת, או באמצעות הגדרה של המערכת שתמיד תחול.

    כדי להפעיל מצב FIPS רק כאשר אתה מחובר לרשת מסוימת, בצע את השלבים הבאים:

    1. פתח את החלון לוח הבקרה.
    2. לחץ על "הצג מצב רשת ומשימות" תחת רשת ואינטרנט.
    3. לחץ על "שנה הגדרות מתאם".
    4. לחץ לחיצה ימנית על הרשת שברצונך להפעיל את FIPS ובחר "סטטוס".
    5. לחץ על הלחצן "מאפיינים אלחוטיים" בחלון מצב Wi-Fi.
    6. לחץ על הכרטיסייה "אבטחה" בחלון מאפייני הרשת.
    7. לחץ על הלחצן "הגדרות מתקדמות".
    8. החלף את התאימות "אפשר לעיבוד מידע פדרלי (FIPS) עבור רשת זו" תחת הגדרות 802.11.

    ניתן לשנות הגדרה זו גם במערכת כולה בעורך המדיניות הקבוצתית. כלי זה זמין רק בגירסאות Professional, Enterprise ו- Education בגירסאות Windows-not Home. באפשרותך להשתמש בעורך המדיניות הקבוצתית המקומי בלבד כדי לשנות כלי זה אם אתה נמצא במחשב שאינו מחובר לתחום שמנהל עבורך את הגדרות המדיניות הקבוצתית של המחשב. אם המחשב שלך מחובר לתחום והגדרות המדיניות הקבוצתית מנוהלות באופן מרכזי על ידי הארגון שלך, לא תוכל לשנות זאת בעצמך. כדי לשנות הגדרה זו במדיניות קבוצתית:

    1. הקש על מקש Windows + R כדי לפתוח את תיבת הדו-שיח הפעלה.
    2. הקלד "gpedit.msc" בתיבת הדו-שיח הפעלה (ללא המרכאות) והקש על Enter.
    3. נווט אל "תצורת מחשב \ הגדרות Windows \ הגדרות אבטחה \ מדיניות מקומית \ אפשרויות אבטחה 'בעורך המדיניות הקבוצתית.
    4. אתר את "קריפטוגרפיה של המערכת: השתמש באלגוריתמים תואמים של FIPS להצפנה, hashing וחתימה" בהגדרה בחלונית השמאלית ולחץ לחיצה כפולה עליה.
    5. הגדר את ההגדרה ל - "מושבת" ולחץ על "אישור".
    6. לאתחל את המחשב.

    בגירסאות הבית של Windows, באפשרותך עדיין להפעיל או להשבית את הגדרת FIPS באמצעות הגדרת רישום. כדי לבדוק אם FIPS מופעל או מושבת ברישום, בצע את השלבים הבאים:

    1. הקש על מקש Windows + R כדי לפתוח את תיבת הדו-שיח הפעלה.
    2. הקלד "regedit" בתיבת הדו-שיח הפעלה (ללא המרכאות) והקש על Enter.
    3. נווט אל "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
    4. בדוק את הערך "מופעל" בחלונית השמאלית. אם הוא מוגדר למצב "0", מצב FIPS מושבת. אם הוא מוגדר למצב "1", מצב FIPS מופעל. כדי לשנות את ההגדרה, לחץ פעמיים על הערך "Enabled" והגדר אותו ל- "0" או "1".
    5. לאתחל את המחשב.


    תודה על @SwiftOnSecurity בטוויטר להשראה זו הודעה!