Miksi sinun ei pitäisi sallia "FIPS-yhteensopivaa salausta" Windowsissa

Windowsissa on piilotettu asetus, joka mahdollistaa vain valtuutetun FIPS-yhteensopivan salauksen. Se voi kuulostaa keinoksi parantaa tietokoneesi tietoturvaa, mutta se ei ole. Sinun ei pitäisi ottaa tätä asetusta käyttöön, ellei toimita hallituksessa tai sinun täytyy testata, miten ohjelmisto käyttäytyy hallituksen tietokoneissa.

Tämä muokkaus sopii aivan muiden hyödyttömien Windows-muunnelmien myötä. Jos olet löytänyt tämän asetuksen Windowsissa tai näet sen mainiten muualla, älä ota sitä käyttöön. Jos olet jo ottanut sen käyttöön ilman hyvää syytä, käytä alla olevia ohjeita poistamalla "FIPS-tila" käytöstä.

Mikä on FIPS-yhteensopiva salaus?

FIPS tarkoittaa "Federal Information Processing Standards". Se on joukko hallituksen standardeja, jotka määrittävät, miten tiettyjä asioita käytetään hallitus - esimerkiksi salaus algoritmeja. FIPS määrittelee tiettyjä spesifisiä salausmenetelmiä, joita voidaan käyttää, sekä menetelmiä salausavainten generoimiseksi. Se on julkaissut National Institute of Standards and Technology, tai NIST.

Asetus Windowsissa noudattaa Yhdysvaltain hallituksen FIPS 140 -standardia. Kun se on käytössä, se pakottaa Windowsin käyttämään vain FIPS-validoituja salausjärjestelmiä ja neuvoo sovelluksia tekemään niin.

"FIPS-tila" ei tee Windowsista turvallisempaa. Se vain estää pääsyn uusille salausmenetelmille, joita ei ole FIPS-validoitu. Tämä tarkoittaa, että se ei pysty käyttämään uusia salausmenetelmiä tai nopeampia tapoja käyttää samoja salausmenetelmiä. Toisin sanoen, se tekee tietokoneesi hitaammin, vähemmän toimivaksi ja epäilemättä Vähemmän turvallinen.

Windowsin käyttäytyminen eri tavalla, jos otat tämän asetuksen käyttöön

Microsoft selittää, mitä tämä asetus todellisuudessa tekee blogipostissa "Miksi emme suosittele" FIPS-tilausta "Anymore". Microsoft suosittelee vain FIPS-tilan käyttämistä, jos tarvitset. Jos esimerkiksi käytät Yhdysvaltain hallitustietokoneen, tietokoneen pitäisi olla "FIPS-tila" käytössä hallituksen omien sääntöjen mukaan. Ei ole todellista tapausta, jossa haluat ottaa tämän käyttöön omalla henkilökohtaisella tietokoneellasi - ellei testaa, miten ohjelmisto käyttäytyy Yhdysvaltain hallintotietokoneissa, kun tämä asetus on otettu käyttöön.

Tämä asetus tekee Windowsille kaksi asiaa. Se pakottaa Windows- ja Windows-palvelut käyttämään vain FIPS-validoitua salausta. Esimerkiksi Schannel-palvelu, joka on rakennettu Windowsiin, ei toimi vanhempien SSL 2.0- ja 3.0-protokollan kanssa, ja sen sijaan tarvitaan vähintään TLS 1.0.

Microsoftin .NET Framework estää myös pääsyn algoritmeihin, jotka eivät ole FIPS-validoituja. .NET Framework tarjoaa useita erilaisia ​​algoritmeja useimmille salausalgoritmeille, eikä kaikkia niitä ole edes toimitettu validointiin. Esimerkkinä Microsoft huomaa, että SHA256-hajautusalgoritmilla on kolme eri versiota .NET-kehyksessä. Nopeinta ei ole toimitettu validointiin, vaan sen pitäisi olla yhtä turvallinen. Joten FIPS-tila mahdollistaa joko .NET-sovellukset, jotka käyttävät tehokkaampaa algoritmia tai pakottavat heitä käyttämään vähemmän tehokasta algoritmia ja olla hitaampia.

Näiden kahden seikan lisäksi FIPS-tila suosittelee sovelluksia, jotka käyttävät vain FIPS-validoitua salausta. Mutta se ei pakota muutakaan. Perinteiset Windows-työpöytäsovellukset voivat toteuttaa minkä tahansa haluamansa salauskoodin - jopa haitallisen salauksen - tai salakirjoituksen. FIPS-tila ei tee mitään muille sovelluksille, elleivät ne noudata tätä asetusta.

Miten poistat FIPS-tilan käytöstä (tai Ota se käyttöön, jos haluat)

Sinun ei pitäisi ottaa käyttöön tätä asetusta, ellet käytä hallitusta tietokonetta ja pakotetaan. Jos otat tämän asetuksen käyttöön, jotkut kuluttajasovellukset voivat itse pyytää, että poistat FIPS-tilan käytöstä, jotta ne toimisivat oikein.

Jos haluat ottaa FIPS-tilan käyttöön tai poistaa sen käytöstä - olet ehkä nähnyt virheilmoituksen sen jälkeen, kun olet ottanut sen käyttöön, sinun on testattava, miten ohjelmisto käyttäytyy tietokoneessa, jossa FIPS-tila on käytössä tai käytät hallintatietokonetta jotta se voidaan tehdä - voit tehdä sen useilla tavoilla. FIPS-tila voidaan ottaa käyttöön vain, kun se on kytketty tiettyyn verkkoon tai koko järjestelmän laajuisella asetuksella, jota sovelletaan aina.

Jos haluat ottaa FIPS-tilan käyttöön vain, kun se on liitetty tiettyyn verkkoon, suorita seuraavat vaiheet:

1. Avaa Ohjauspaneeli-ikkuna.
2. Napsauta kohtaa "Näytä verkon tila ja tehtävät" kohdassa Verkko ja Internet.
3. Napsauta Muuta sovittimen asetuksia.
4. Napsauta hiiren kakkospainikkeella verkkoa, johon haluat ottaa FIPS-asetuksen käyttöön, ja valitse "Tila".
5. Napsauta Wi-Fi Status -ikkunan Langattomat ominaisuudet-painiketta.
6. Napsauta Verkkoominaisuudet-ikkunan Suojaus-välilehteä.
7. Napsauta Lisäasetukset-painiketta.
8. Vaihda "Ota käyttöön liittovaltion tietojenkäsittelyn standardit (FIPS) -yhteensopivuus tähän verkkoon" -vaihtoehto 802.11-asetuksissa.

Tätä asetusta voidaan myös muuttaa koko järjestelmän kattavaksi ryhmäkäytäntöeditoriin. Tämä työkalu on käytettävissä vain Windowsin, ei kotiversioiden, Professional-, Enterprise- ja Education-versioissa. Voit vaihtaa tätä työkalua vain paikallisen ryhmäkäytännön muokkaajan avulla, jos tietokoneessa ei ole yhteyttä verkkotunnukseen, joka hallitsee tietokoneesi ryhmäkäytäntöasetuksia. Jos tietokoneesi liittyy verkkotunnukseen ja organisaatiosi hallinnoi ryhmäkäytäntöasetuksia keskitetysti, et voi itse muuttaa sitä. Voit muuttaa asetusta ryhmäkäytäntöihin seuraavasti:

1. Avaa Suorita-valintaikkuna painamalla Windows-näppäin + R.
2. Kirjoita "gpedit.msc" Suorita-valintaikkunaan (ilman lainausmerkkejä) ja paina Enter.
3. Siirry Ryhmäkäytäntöeditorissa kohtaan Tietokoneen kokoonpano \ Windowsin asetukset \ Suojausasetukset \ Paikalliset käytännöt \ Suojausasetukset.
4. Etsi oikeanpuoleisen ruudun "Järjestelmän salaus: Käytä FIPS-yhteensopivia algoritmeja salauksen, haamun ja allekirjoittamisen" asetuksia varten ja kaksoisnapsauta sitä.
5. Aseta asetus "Ei käytössä" ja napsauta "OK".
6. Käynnistä tietokone uudelleen.

Windowsin kotiversioissa voit edelleen ottaa käyttöön tai poistaa käytöstä FIPS-asetuksen rekisterin asetusten avulla. Voit tarkistaa, onko FIPS käytössä tai poistettu käytöstä rekisteriin seuraavasti:

1. Avaa Suorita-valintaikkuna painamalla Windows-näppäin + R.
2. Kirjoita "regedit" Suorita-valintaikkunaan (ilman lainausmerkkejä) ja paina Enter.
3. Siirry kohtaan "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Katso oikeanpuoleisen ruudun "Käytössä" -asetus. Jos asetus on "0", FIPS-tila on poistettu käytöstä. Jos asetus on "1", FIPS-tila on käytössä. Jos haluat muuttaa asetusta, kaksoisnapsauta "Käytössä" -asetusta ja aseta se joko "0" tai "1".
5. Käynnistä tietokone uudelleen.

Kiitos @SwiftOnSecurity Twitterissä inspiroivan tämän viestin!