Prečo by ste nemali povoliť šifrovanie FIPS-compliant v systéme Windows

Systém Windows má skryté nastavenie, ktoré povoľuje iba šifrovanie "FIPS-certified" certifikované vládou. Môže to znieť ako spôsob, ako zvýšiť bezpečnosť počítača, ale nie je. Toto nastavenie by ste nemali povoliť, pokiaľ nepracujete vo vláde alebo nepotrebujete vyskúšať, ako sa softvér správa na vládnych počítačoch.

Toto vyladenie sa hodí hneď vedľa ostatných zbytočných Windows mýtov. Ak ste narazili na toto nastavenie v systéme Windows alebo ho videli inde, nemali by ste ho povoliť. Ak ste ho už bez oprávneného dôvodu aktivovali, použite nižšie uvedené kroky na vypnutie režimu "FIPS".

Čo je šifrovanie podľa FIPS?

FIPS znamená "Federálne štandardy na spracovanie informácií". Je to súbor vládnych noriem, ktoré definujú, ako sa vo vláde používajú určité veci - napríklad šifrovacie algoritmy. FIPS definuje určité špecifické metódy šifrovania, ktoré je možné použiť, ako aj metódy generovania šifrovacích kľúčov. Vydáva ho Národný inštitút noriem a technológií alebo NIST.

Nastavenie v systéme Windows je v súlade s normou americkej vlády FIPS 140. Ak je táto funkcia povolená, prinúti systém Windows používať iba šifrované schémy overené FIPS a odporúča aplikáciám tak urobiť.

"Režim FIPS" nezabezpečuje väčšiu bezpečnosť systému Windows. Zablokuje prístup k novším kryptografickým schémam, ktoré neboli overené FIPS. To znamená, že nebude môcť používať nové šifrovacie schémy alebo rýchlejšie spôsoby použitia tých istých šifrovacích schém. Inými slovami, robí váš počítač pomalší, menej funkčný a pravdepodobne menej zabezpečiť.

Ako sa Windows správa inak Ak povolíte toto nastavenie

Spoločnosť Microsoft vysvetľuje, čo toto nastavenie skutočne robí na blogovom blogu s názvom "Prečo neodporúčame" režim FIPS "Anymore." Spoločnosť Microsoft odporúča, aby ste používali režim FIPS, ak budete musieť. Napríklad, ak používate počítač s vládou USA, mal by mať tento počítač povolený režim "FIPS" podľa vlastných predpisov. Neexistuje žiadny skutočný prípad, kedy by ste to chceli povoliť na svojom osobnom počítači - ak ste testovali, ako sa váš softvér správal na počítačoch s vládou USA s tým, že toto nastavenie bolo povolené.

Toto nastavenie má dve veci v samotnom systéme Windows. Núti služby Windows a Windows používať iba kryptografiu s validáciou FIPS. Napríklad služba Schannel zabudovaná do systému Windows nebude fungovať so staršími protokolmi SSL 2.0 a 3.0 a bude vyžadovať aspoň TLS 1.0.

Microsoft .NET Framework tiež zablokuje prístup k algoritmom, ktoré nie sú validované FIPS. Rámec .NET ponúka niekoľko rôznych algoritmov pre väčšinu kryptografických algoritmov a nie všetky z nich boli dokonca predložené na validáciu. Napríklad spoločnosť Microsoft poznamenáva, že v rámci .NET existujú tri rôzne verzie algoritmu SHA256 hashing. Najrýchlejší nebol predložený na validáciu, ale mal by byť rovnako bezpečný. Režim FIPS tak umožní buď rozbiť aplikácie .NET, ktoré využívajú efektívnejší algoritmus, alebo ich donútiť použiť menej efektívny algoritmus a pomalšie.

Okrem týchto dvoch vecí umožňuje režim FIPS odporúčať aplikáciám, ktoré používajú iba šifrovanie validované FIPS. Ale nikoho núti nič iné. Tradičné desktopové aplikácie Windows si môžu vybrať implementáciu akéhokoľvek šifrovacieho kódu, ktorý chcú - dokonca aj strašne zraniteľného šifrovania - alebo žiadneho šifrovania vôbec. Režim FIPS nerobí nič iným aplikáciám, pokiaľ nerešpektujú toto nastavenie.

Ako zakázať režim FIPS (alebo povoliť, ak máte)

Toto nastavenie by ste nemali povoliť, ak nepoužívate vládny počítač a ste nútení. Ak povolíte toto nastavenie, niektoré spotrebiteľské aplikácie môžu skutočne požiadať o vypnutie režimu FIPS, aby mohli správne fungovať.

Ak potrebujete povoliť alebo zakázať režim FIPS - možno ste po jeho zapnutí zaznamenali chybové hlásenie, musíte skontrolovať, ako sa váš softvér bude správať v počítači so zapnutým režimom FIPS, alebo používate vládny počítač a máte aby ste to umožnili - môžete to urobiť niekoľkými spôsobmi. Režim FIPS môže byť povolený len vtedy, keď je pripojený k určitej sieti, alebo prostredníctvom nastavenia v celom systéme, ktoré bude vždy platiť.

Ak chcete povoliť režim FIPS iba vtedy, keď je pripojený k určitej sieti, vykonajte nasledujúce kroky:

1. Otvorte okno ovládacieho panela.
2. Kliknite na položku Zobraziť stav siete a úlohy v časti Sieť a internet.
3. Kliknite na položku Zmeniť nastavenia adaptéra.
4. Kliknite pravým tlačidlom myši na sieť, ktorú chcete povoliť FIPS a vyberte položku "Status".
5. Kliknite na tlačidlo "Bezdrôtové vlastnosti" v okne Stav Wi-Fi.
6. Kliknite na kartu Zabezpečenie v okne vlastností siete.
7. Kliknite na tlačidlo Rozšírené nastavenia.
8. Prepnite prepínač "Povoľte dodržiavanie štandardov FIPS (Federal Information Processing Standards) pre túto sieť" v nastaveniach 802.11.

Toto nastavenie môže byť tiež zmenené v celom systéme v editore zásad skupiny. Tento nástroj je k dispozícii iba v verzii Windows, nie v domácnosti, v profesionálnych, podnikových a vzdelávacích verziách. Editor lokálnych skupín môžete použiť len na zmenu tohto nástroja, ak sa nachádzate v počítači, ktorý nie je pripojený k doméne, ktorá pre vás spravuje nastavenia politiky skupiny. Ak je váš počítač pripojený k doméne a nastavenia zásad skupiny sú centrálne spravované vašou organizáciou, nebudete ju môcť zmeniť sami. Ak chcete zmeniť toto nastavenie v Zásady skupiny:

1. Stlačením klávesu Windows + R otvorte dialógové okno Spustiť.
2. Zadajte reťazec "gpedit.msc" do dialógového okna Spustiť (bez úvodzoviek) a stlačte kláves Enter.
3. Prejdite do "Konfigurácia počítača \ Nastavenia systému Windows \ Nastavenia zabezpečenia \ Miestne politiky \ Možnosti zabezpečenia" v editore Zásady skupiny.
4. Vyhľadajte v pravom okne funkciu "Systémová kryptografia: použite algoritmy kompatibilné s FIPS na šifrovanie, hashovanie a podpisovanie" a dvakrát kliknite na ne.
5. Nastavte nastavenie na hodnotu "Disabled" a kliknite na tlačidlo "OK".
6. Reštartujte počítač.

V domácich verziách systému Windows môžete stále povoliť alebo zakázať nastavenie FIPS prostredníctvom nastavenia databázy Registry. Ak chcete skontrolovať, či je služba FIPS povolená alebo zakázaná v registri, postupujte podľa nasledujúcich krokov:

1. Stlačením klávesu Windows + R otvorte dialógové okno Spustiť.
2. Zadajte reťazec "regedit" do dialógového okna Spustiť (bez úvodzoviek) a stlačte kláves Enter.
3. Prejdite na položku "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Pozrite sa na hodnotu "Povolené" v pravej časti okna. Ak je nastavené na hodnotu "0", režim FIPS je vypnutý. Ak je nastavený na hodnotu "1", režim FIPS je zapnutý. Ak chcete zmeniť nastavenie, dvakrát kliknite na hodnotu "Enabled" a nastavte ju na hodnotu "0" alebo "1".
5. Reštartujte počítač.

Vďaka @SwiftOnSecurity na Twitteri inšpirujú tento príspevok!