Početna » kako da » Zašto ne biste trebali omogućiti šifriranje u skladu s FIPS u sustavu Windows

    Zašto ne biste trebali omogućiti šifriranje u skladu s FIPS u sustavu Windows

    Windows ima skrivenu postavku koja će omogućiti samo šifriranje "FIPS-compliant". To može zvučati kao način da poboljšate sigurnost vašeg računala, ali nije. Ne biste trebali omogućiti ovu postavku ako ne radite u državnoj upravi ili trebate testirati kako će se softver ponašati na državnim računalima.

    Ovaj ugađanje odgovara uz ostale beskorisne Windows mitove. Ako ste naišli na ovu postavku u sustavu Windows ili ste je vidjeli negdje drugdje, nemojte je omogućiti. Ako ste ga već omogućili bez dobrog razloga, upotrijebite dolje navedene korake da biste onemogućili "FIPS način rada".

    Što je šifriranje sukladno FIPSu?

    FIPS označava "Federalne standarde obrade informacija". To je skup vladinih standarda koji definiraju kako se određene stvari koriste u vladi - na primjer, algoritmi šifriranja. FIPS definira određene specifične metode šifriranja koje se mogu koristiti, kao i metode za generiranje ključeva za šifriranje. Objavljuje ga Nacionalni institut za standarde i tehnologiju ili NIST.

    Postavka u sustavu Windows u skladu je sa standardom američke vlade FIPS 140. Kada je omogućen, prisiljava Windows da koristi samo šifrirane šifre za provjeru FIPS i također savjetuje aplikacijama da to učine.

    "FIPS način" ne čini Windows sigurnijim. Samo blokira pristup novijim kriptografskim shemama koje nisu FIPS-validirane. To znači da neće moći koristiti nove sheme šifriranja ili brže načine korištenja istih shema šifriranja. Drugim riječima, čini vaše računalo sporijim, manje funkcionalnim i nedvojbeno manje siguran.

    Kako Windows ponaša drugačije ako omogućite ovu postavku

    Microsoft objašnjava što ta postavka zapravo radi u postu na blogu pod nazivom “Zašto ne preporučujemo“ FIPS način rada ”Više.“ Microsoft samo preporučuje da koristite FIPS način ako morate. Na primjer, ako koristite računalo vlade SAD-a, to računalo bi trebalo imati "FIPS način" omogućeno prema vlastitim propisima. Nema stvarnog slučaja u kojem biste htjeli omogućiti to na svom osobnom računalu - osim ako testirate kako se softver ponaša na računalima vlade SAD-a, a ova je postavka omogućena.

    Ova postavka čini dvije stvari samom sustavu Windows. To prisiljava Windows i Windows usluge da koriste samo FIPS-ovjerenu kriptografiju. Na primjer, usluga Schannel ugrađena u Windows neće raditi sa starijim protokolima SSL 2.0 i 3.0, te će umjesto toga zahtijevati najmanje TLS 1.0.

    Microsoftov .NET framework također će blokirati pristup algoritmima koji nisu FIPS-validirani. .NET Framework nudi nekoliko različitih algoritama za većinu kriptografskih algoritama, a nisu svi od njih čak poslani na provjeru valjanosti. Primjerice, Microsoft primjećuje da postoje tri različite verzije algoritma raspršivanja SHA256 u .NET okviru. Najbrži nije poslan na provjeru, ali bi trebao biti jednako siguran. Tako će omogućavanje načina FIPS ili razbiti .NET aplikacije koje koriste učinkovitiji algoritam ili ih prisiliti da koriste manje učinkoviti algoritam i biti sporiji.

    Osim tih dviju stvari, omogućavanje FIPS načina preporučuje aplikacijama da koriste samo FIPS-ovjerenu šifriranje. Ali to ne nameće ništa drugo. Tradicionalne Windows aplikacije za stolna računala mogu odabrati implementaciju bilo kojeg koda za šifriranje koji žele - čak i strašno ranjive enkripcije - ili uopće ne šifriranje. FIPS način ne čini ništa drugim aplikacijama osim ako poštuju ovu postavku.

    Kako onemogućiti način rada FIPS (ili ga omogućiti, ako morate)

    Ne biste trebali omogućiti ovu postavku ako ne koristite državno računalo i prisiljeni ste. Ako omogućite ovu postavku, neke korisničke aplikacije mogu zapravo zatražiti da onemogućite način FIPS kako bi mogli ispravno funkcionirati.

    Ako trebate omogućiti ili onemogućiti način FIPS - možda ste vidjeli poruku o pogrešci nakon što je omogućite, trebate testirati kako će se vaš softver ponašati na računalu s omogućenim načinom FIPS, ili koristite državno računalo i da biste ga omogućili - možete to učiniti na nekoliko načina. Način FIPS može se omogućiti samo kada je povezan s određenom mrežom ili putem postavke na razini cijelog sustava koja će se uvijek primjenjivati.

    Da biste omogućili način FIPS samo kada ste povezani s određenom mrežom, učinite sljedeće:

    1. Otvorite prozor Upravljačke ploče.
    2. Kliknite "Prikaz statusa i zadataka mreže" u odjeljku Mreža i internet.
    3. Kliknite "Promijeni postavke adaptera".
    4. Desnom tipkom miša kliknite mrežu koju želite omogućiti za FIPS i odaberite "Status".
    5. Kliknite gumb "Wireless Properties" (Bežične svojstva) u prozoru Wi-Fi statusa.
    6. Kliknite karticu "Sigurnost" u prozoru mrežnih svojstava.
    7. Kliknite gumb "Napredne postavke".
    8. Prebacite opciju "Omogući savezne standarde obrade informacija (FIPS) za ovu mrežu" pod postavkama 802.11.

    Ta se postavka može promijeniti i na razini cijelog sustava u uređivaču pravila grupe. Ovaj je alat dostupan samo na verzijama Windows, a ne Home, u verzijama Professional, Enterprise i Education. Pomoću uređivača pravila lokalnih grupa možete promijeniti samo taj alat ako ste na računalu koje nije pridruženo domeni koja upravlja postavkama pravila grupe za vas. Ako je vaše računalo pridruženo domeni, a postavke grupnih pravila upravlja vaša organizacija, nećete ih moći sami promijeniti. Da biste promijenili ovu postavku u pravilima grupe:

    1. Pritisnite tipku Windows + R da biste otvorili dijaloški okvir Pokreni.
    2. Upišite “gpedit.msc” u dijaloški okvir Run (bez navodnika) i pritisnite Enter.
    3. Dođite do odjeljka “Konfiguracija računala Postavke sustava Windows Sigurnosne postavke” Mogućnosti sigurnosti u uređivaču pravila grupe.
    4. Pronađite "Kriptografiju sustava: postavite algoritme za šifriranje, raspršivanje i potpisivanje u skladu s FIPS" u desnom oknu i dvaput kliknite.
    5. Postavite postavku na "Disabled" i kliknite na "OK".
    6. Ponovo pokrenite računalo.

    Na početnim verzijama sustava Windows i dalje možete omogućiti ili onemogućiti postavljanje FIPS putem postavke registra. Da biste provjerili je li FIPS omogućen ili onemogućen u registru, slijedite ove korake:

    1. Pritisnite tipku Windows + R da biste otvorili dijaloški okvir Pokreni.
    2. Upišite "regedit" u dijaloški okvir Run (bez navodnika) i pritisnite Enter.
    3. Dođite do “HKEY_LOCAL_MACHINE System CurrentControlSet Kontrola Lsa FipsAlgorithmPolicy” \ t.
    4. U desnom oknu pogledajte vrijednost "Omogućeno". Ako je postavljeno na "0", način FIPS je onemogućen. Ako je postavljeno na "1", način FIPS je omogućen. Da biste promijenili postavku, dvokliknite vrijednost "Omogućeno" i postavite je na "0" ili "1".
    5. Ponovo pokrenite računalo.


    Zahvaljujući @SwiftOnSecurity na Twitteru za inspiriranje ovog posta!