Dlaczego nie należy włączać szyfrowania "zgodnego z FIPS" w systemie Windows

System Windows ma ukryte ustawienie, które umożliwia tylko certyfikowane przez rząd szyfrowanie "zgodne z FIPS". To może brzmieć jak sposób na zwiększenie bezpieczeństwa twojego komputera, ale tak nie jest. Nie należy włączać tego ustawienia, chyba że pracujesz w administracji rządowej lub musisz sprawdzić, jak oprogramowanie będzie się zachowywać na komputerach rządowych.

Ta modyfikacja pasuje dokładnie do innych, bezużytecznych masek pod Windows. Jeśli natknąłeś się na to ustawienie w systemie Windows lub zobaczyłeś je w innym miejscu, nie włączaj go. Jeśli masz już włączony bez ważnego powodu, wykonaj poniższe kroki, aby wyłączyć "tryb FIPS".

Co to jest szyfrowanie zgodne z FIPS?

FIPS oznacza "Federalne standardy przetwarzania informacji". Jest to zbiór standardów rządowych definiujących, w jaki sposób pewne rzeczy są używane w rządzie - na przykład algorytmy szyfrowania. FIPS definiuje pewne określone metody szyfrowania, które mogą być używane, a także metody generowania kluczy szyfrowania. Jest publikowany przez National Institute of Standards and Technology, lub NIST.

Ustawienie w Windows jest zgodne ze standardem FIPS 140 rządu USA. Gdy jest włączony, zmusza system Windows do korzystania tylko ze schematów szyfrowania zatwierdzonych przez FIPS i doradza również aplikacjom, aby to zrobiły.

"Tryb FIPS" nie zwiększa bezpieczeństwa systemu Windows. Po prostu blokuje dostęp do nowszych schematów kryptografii, które nie zostały zatwierdzone przez FIPS. Oznacza to, że nie będzie mógł korzystać z nowych schematów szyfrowania lub szybszych sposobów korzystania z tych samych schematów szyfrowania. Innymi słowy, czyni komputer wolniejszym, mniej funkcjonalnym i prawdopodobnie mniej bezpieczne.

Jak Windows zachowuje się inaczej po włączeniu tego ustawienia

Firma Microsoft wyjaśnia, co to ustawienie właściwie robi w poście na blogu zatytułowanym "Dlaczego nie zalecamy używania" trybu FIPS ". Firma Microsoft zaleca tylko korzystanie z trybu FIPS, jeśli jest to konieczne. Na przykład, jeśli korzystasz z komputera rządu USA, komputer ten ma mieć włączony tryb "FIPS" zgodnie z własnymi przepisami rządowymi. Nie ma prawdziwego przypadku, gdybyś chciał włączyć to na swoim własnym komputerze - chyba że testujesz, jak twoje oprogramowanie zachowuje się na amerykańskich komputerach rządowych z włączonym tym ustawieniem.

To ustawienie powoduje dwie rzeczy dla samego systemu Windows. Zmusza usługi Windows i Windows do korzystania tylko z kryptografii zatwierdzonej przez FIPS. Na przykład usługa Schannel wbudowana w system Windows nie będzie działać ze starszymi protokołami SSL 2.0 i 3.0 i będzie wymagać co najmniej wersji TLS 1.0.

Platforma .NET Microsoftu blokuje również dostęp do algorytmów, które nie są sprawdzane przez FIPS. Platforma .NET oferuje kilka różnych algorytmów dla większości algorytmów kryptograficznych i nie wszystkie z nich zostały zgłoszone do walidacji. Na przykład Microsoft zauważa, że ​​istnieją trzy różne wersje algorytmu mieszającego SHA256 w środowisku .NET. Najszybszy nie został przesłany do sprawdzenia poprawności, ale powinien być równie bezpieczny. Włączenie trybu FIPS spowoduje przerwanie aplikacji .NET korzystających z bardziej wydajnego algorytmu lub zmusi je do korzystania z mniej wydajnego algorytmu i będzie wolniejsze.

Oprócz tych dwóch rzeczy, włączenie trybu FIPS zaleca aplikacjom, w których używają tylko szyfrowania zatwierdzonego przez FIPS. Ale to nie wymusza niczego innego. Tradycyjne aplikacje pulpitu Windows mogą wybrać dowolny kod szyfrowania, który chce - nawet strasznie podatne na szyfrowanie - lub w ogóle nie szyfrować. Tryb FIPS nie robi nic dla innych aplikacji, chyba że stosują się do tego ustawienia.

Jak wyłączyć tryb FIPS (lub włączyć go, jeśli musisz)

Nie należy włączać tego ustawienia, chyba że używasz komputera rządowego i jesteś do tego zmuszony. Jeśli włączysz to ustawienie, niektóre aplikacje konsumenckie mogą poprosić o wyłączenie trybu FIPS, aby mogły działać poprawnie.

Jeśli musisz włączyć lub wyłączyć tryb FIPS - być może zobaczysz komunikat o błędzie po włączeniu go, musisz sprawdzić, jak Twoje oprogramowanie będzie działać na komputerze z włączonym trybem FIPS lub używasz komputera rządowego i aby go włączyć - możesz to zrobić na kilka sposobów. Tryb FIPS można włączyć tylko po podłączeniu do określonej sieci lub przy użyciu ogólnosystemowego ustawienia, które będzie zawsze obowiązywało.

Aby włączyć tryb FIPS tylko po podłączeniu do określonej sieci, wykonaj następujące czynności:

1. Otwórz okno Panelu sterowania.
2. Kliknij "Wyświetl stan sieci i zadania" w obszarze Sieć i Internet.
3. Kliknij "Zmień ustawienia adaptera".
4. Kliknij prawym przyciskiem myszy sieć, dla której chcesz włączyć FIPS, i wybierz "Status".
5. Kliknij przycisk "Właściwości sieci bezprzewodowej" w oknie Stan Wi-Fi.
6. Kliknij kartę "Zabezpieczenia" w oknie właściwości sieci.
7. Kliknij przycisk "Ustawienia zaawansowane".
8. Przełącz opcję "Włącz zgodność z federacyjnymi standardami przetwarzania informacji (FIPS) dla tej sieci" w ustawieniach 802.11.

To ustawienie można również zmienić w całym systemie w edytorze zasad grupy. To narzędzie jest dostępne tylko w wersjach systemu Windows - nie w wersji domowej - Professional, Enterprise i Education. Do zmiany tego narzędzia można użyć lokalnego edytora zasad grupy tylko na komputerze, który nie jest przyłączony do domeny zarządzającej ustawieniami zasad grupy komputera. Jeśli komputer jest połączony z domeną, a ustawienia zasad grupy są centralnie zarządzane przez organizację, nie będzie można jej zmienić samodzielnie. Aby zmienić to ustawienie w Zasadach grupowych:

1. Naciśnij Klawisz Windows + R, aby otworzyć okno dialogowe Uruchom.
2. Wpisz "gpedit.msc" w oknie dialogowym Uruchom (bez cudzysłowów) i naciśnij Enter.
3. Przejdź do "Konfiguracja komputera \ Ustawienia systemu Windows \ Ustawienia zabezpieczeń \ Zasady lokalne \ Opcje bezpieczeństwa" w Edytorze zasad grupy.
4. Zlokalizuj "Kryptografię systemu: Użyj algorytmu zgodnego z FIPS dla szyfrowania, mieszania i podpisywania" w prawym okienku i kliknij go dwukrotnie.
5. Ustaw ustawienie na "Wyłączone" i kliknij "OK".
6. Zrestartuj komputer.

W domowych wersjach systemu Windows nadal można włączyć lub wyłączyć ustawienie FIPS za pomocą ustawienia rejestru. Aby sprawdzić, czy funkcja FIPS jest włączona lub wyłączona w rejestrze, wykonaj następujące kroki:

1. Naciśnij Klawisz Windows + R, aby otworzyć okno dialogowe Uruchom.
2. Wpisz "regedit" w oknie dialogowym Uruchom (bez cudzysłowów) i naciśnij Enter.
3. Przejdź do "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Spójrz na wartość "Enabled" w prawym panelu. Jeśli jest ustawiony na "0", tryb FIPS jest wyłączony. Jeśli jest ustawiony na "1", tryb FIPS jest włączony. Aby zmienić ustawienie, kliknij dwukrotnie wartość "Enabled" i ustaw ją na "0" lub "1".
5. Zrestartuj komputer.

Dzięki @SwiftOnSecurity na Twitterze inspirujesz ten post!