Kāpēc nevajadzētu iespējot „FIPS saderīgu” šifrēšanu sistēmā Windows
Sistēmā Windows ir slēpts iestatījums, kas ļaus izmantot tikai valsts sertificētu „FIPS prasībām atbilstošu” šifrēšanu. Tas var izklausīties kā veids, kā palielināt datora drošību, bet tā nav. Jums nevajadzētu iespējot šo iestatījumu, ja vien jūs strādājat valdībā vai jums ir nepieciešams pārbaudīt, kā programmatūra darbosies valdības datoros.
Šī kniebiens ir piemērots līdzās citiem bezjēdzīgiem Windows trokšņa mītiem. Ja esat nokļuvis šajā Windows iestatījumā vai redzējis to citur, neļaujiet to iespējot. Ja jau esat to iespējojis bez pamatota iemesla, izmantojiet tālāk norādītās darbības, lai atspējotu “FIPS režīmu”.
Kas ir FIPS saderīgs šifrēšana?
FIPS apzīmē „Federālās informācijas apstrādes standartus”. Tas ir valdības standartu kopums, kas nosaka, kā dažas lietas tiek izmantotas valdībā, piemēram, šifrēšanas algoritmi. FIPS definē noteiktas specifiskas šifrēšanas metodes, kuras var izmantot, kā arī šifrēšanas atslēgu ģenerēšanas metodes. To publicē Nacionālais standartu un tehnoloģiju institūts vai NIST.
Windows iestatījums atbilst ASV valdības FIPS 140 standartam. Kad tas ir iespējots, tas liek Windows izmantot tikai apstiprinātas šifrēšanas shēmas un apstiprina lietojumprogrammas.
„FIPS režīms” nedara Windows drošāku. Tas tikai bloķē piekļuvi jaunākām kriptogrāfijas shēmām, kas nav apstiprinātas. Tas nozīmē, ka tas nevarēs izmantot jaunas šifrēšanas shēmas vai ātrāk izmantot tos pašus šifrēšanas shēmas. Citiem vārdiem sakot, tas padara jūsu datoru lēnāku, mazāk funkcionālu un neapšaubāmi mazāk droša.
Kā Windows atšķiras, ja iespējojat šo iestatījumu
Microsoft paskaidro, ko šis iestatījums faktiski veic bloga postenī ar nosaukumu “Kāpēc mēs neiesakām„ FIPS režīmu ”.” Microsoft tikai iesaka izmantot FIPS režīmu, ja jums tas ir nepieciešams. Piemēram, ja izmantojat ASV valdības datoru, tam ir jābūt “FIPS režīmam”, kas ir iespējots saskaņā ar valdības noteikumiem. Nav reāla gadījuma, kad vēlaties to iespējot savā personīgajā datorā, ja vien neesat pārbaudījis, kā jūsu programmatūra darbojas ASV valdības datoros ar šo iestatījumu iespējotu.
Šis iestatījums pats par sevi veic divas Windows. Tas liek Windows un Windows pakalpojumiem izmantot tikai FIPS apstiprinātu kriptogrāfiju. Piemēram, sistēmā Windows iebūvētais Schannel pakalpojums nedarbosies ar vecākiem SSL 2.0 un 3.0 protokoliem, un tam vajadzēs vismaz TLS 1.0.
Microsoft .NET sistēma arī bloķēs piekļuvi algoritmiem, kas nav apstiprināti. NET sistēma piedāvā vairākus dažādus algoritmus lielākajā daļā kriptogrāfijas algoritmu, un ne visi no tiem ir pat iesniegti apstiprināšanai. Piemēram, Microsoft atzīmē, ka .NET sistēmā ir trīs dažādas SHA256 versijas versijas. Ātrākais no tiem nav iesniegts apstiprināšanai, bet tam jābūt tikpat drošam. Tātad, iespējot FIPS režīmu, tiks pārtrauktas .NET programmas, kas izmanto efektīvāku algoritmu, vai piespiež tos izmantot mazāk efektīvo algoritmu un būt lēnākiem.
Papildus šīm divām lietām, iespējot FIPS režīmu, lietojumprogrammām tiek ieteikts izmantot tikai FIPS apstiprinātu šifrēšanu. Bet tas neko citu neuzspiež. Tradicionālās Windows darbvirsmas lietojumprogrammas var izvēlēties ieviest visus šifrēšanas kodus, kurus viņi vēlas, pat šausmīgi neaizsargātu šifrēšanu, vai vispār nav šifrēšanas. FIPS režīms neko nedara ar citām lietojumprogrammām, ja vien tās neievēro šo iestatījumu.
Kā atspējot FIPS režīmu (vai iespējot to, ja vēlaties)
Jums nevajadzētu iespējot šo iestatījumu, ja vien neizmantojat valdības datoru un esat spiesti. Ja iespējojat šo iestatījumu, dažas patērētāju lietojumprogrammas var lūgt atspējot FIPS režīmu, lai tās varētu darboties pareizi.
Ja jums ir nepieciešams iespējot vai atspējot FIPS režīmu - varbūt esat redzējis kļūdas ziņojumu pēc tam, kad esat to iespējojis, jums ir jāpārbauda, kā jūsu programmatūra darbosies datorā ar FIPS režīmu iespējotu vai izmantojat valdības datoru un ir lai to iespējotu, to var izdarīt vairākos veidos. FIPS režīmu var iespējot tikai tad, ja ir izveidots savienojums ar konkrētu tīklu vai izmantojot sistēmas iestatījumu, kas vienmēr tiks piemērots.
Lai iespējotu FIPS režīmu tikai tad, ja ir izveidots savienojums ar konkrētu tīklu, veiciet šādas darbības:
- Atveriet vadības paneļa logu.
- Sadaļā Tīkls un internets noklikšķiniet uz Skatīt tīkla statusu un uzdevumus.
- Noklikšķiniet uz "Mainīt adaptera iestatījumus".
- Ar peles labo pogu noklikšķiniet uz tīkla, kurā vēlaties iespējot FIPS, un atlasiet “Statuss”.
- Logā Wi-Fi Status noklikšķiniet uz pogas Wireless Wireless.
- Tīkla rekvizītu logā noklikšķiniet uz cilnes Drošība.
- Noklikšķiniet uz pogas “Papildu iestatījumi”.
- 802.11 iestatījumos iestatiet opciju “Ieslēgt federālo informācijas apstrādes standartu (FIPS) atbilstību šim tīklam”).
Šo iestatījumu var mainīt arī sistēmas politikas redaktorā. Šis rīks ir pieejams tikai Windows, nevis mājas versiju Professional, Enterprise un Education versijās. Vietējo grupu politikas redaktoru varat izmantot, lai mainītu šo rīku, ja atrodaties datorā, kas nav pievienots domēnam, kas pārvalda jūsu datora grupas politikas iestatījumus. Ja jūsu dators ir pievienots domēnam, un grupas politiku centrāli pārvalda jūsu organizācija, jūs nevarēsiet to mainīt pats. Lai mainītu šo iestatījumu grupas politikā:
- Nospiediet Windows taustiņu + R, lai atvērtu dialoglodziņu Run.
- Dialoglodziņā Run (bez pēdiņām) ierakstiet “gpedit.msc” un nospiediet Enter.
- Pārvietojieties uz “Datora konfigurācija Windows iestatījumi Drošības iestatījumi Vietējās politikas drošības opcijas” grupas politikas redaktorā.
- Atrodiet iestatījumu “Sistēmas kriptogrāfija: izmantojiet FIPS saderīgus algoritmus šifrēšanai, sajaukšanai un parakstīšanai” labajā rūtī un veiciet dubultklikšķi uz tā.
- Iestatiet iestatījumu uz “Disabled” un noklikšķiniet uz “OK”.
- Restartējiet datoru.
Windows mājas versijās joprojām var iespējot vai atspējot FIPS iestatījumu, izmantojot reģistra iestatījumu. Lai pārbaudītu, vai reģistrā ir iespējota vai atspējota FIPS, rīkojieties šādi:
- Nospiediet Windows taustiņu + R, lai atvērtu dialoglodziņu Run.
- Dialoglodziņā Run (bez pēdiņām) ierakstiet “regedit” un nospiediet Enter.
- Virzieties uz “HKEY_LOCAL_MACHINE System CurrentControlSet vadība Lsa FipsAlgorithmPolicy”.
- Labajā rūtī skatiet vērtību “Iespējots”. Ja iestatījums ir “0”, FIPS režīms ir atspējots. Ja iestatījums ir “1”, FIPS režīms ir iespējots. Lai mainītu iestatījumu, veiciet dubultklikšķi uz vērtības “Enabled” un iestatiet to uz “0” vai “1”.
- Restartējiet datoru.
Pateicoties @SwiftOnSecurity par čivināt, lai iedvesmotu šo amatu!