Miksi sinun ei pitäisi ottaa käyttöön FIPS-yhteensopivaa salausta Windowsissa

Windowsissa on piilotettu asetus, joka mahdollistaa vain valtion hyväksymän FIPS-yhteensopivan salauksen. Se voi kuulostaa tietokoneen tietoturvan parantamisesta, mutta se ei ole. Tätä asetusta ei pitäisi ottaa käyttöön, ellet työskentele hallituksessa tai sinun on testattava, miten ohjelmisto käyttäytyy hallituksen tietokoneissa.

Tämä nipistys sopii aivan muiden hyödyttömien Windows-tweaking-myyttien rinnalle. Jos olet törmännyt tähän asetukseen Windowsissa tai nähnyt sen mainitsemisen muualla, älä ota sitä käyttöön. Jos olet jo ottanut sen käyttöön ilman syytä, poista "FIPS-tila" käytöstä alla olevien ohjeiden avulla..

Mikä on FIPS-yhteensopiva salaus?

FIPS tarkoittaa "liittovaltion tietojenkäsittelystandardeja." Se on joukko valtion standardeja, jotka määrittelevät, miten tiettyjä asioita käytetään hallituksessa, esimerkiksi salausalgoritmeissa. FIPS määrittää tiettyjä erityisiä salausmenetelmiä, joita voidaan käyttää, sekä menetelmiä salausavainten tuottamiseksi. Sen on julkaissut National Institute of Standards and Technology tai NIST.

Windows-asetus on Yhdysvaltain hallituksen FIPS 140 -standardin mukainen. Kun se on käytössä, se pakottaa Windowsin käyttämään vain FIPS-validoituja salausjärjestelmiä ja neuvoo myös sovelluksia.

”FIPS-tila” ei tee Windowsista turvallisempaa. Se estää pääsyn uusiin salausjärjestelmiin, jotka eivät ole FIPS-validoituja. Se tarkoittaa, että se ei voi käyttää uusia salausjärjestelmiä tai nopeampia tapoja käyttää samoja salausjärjestelmiä. Toisin sanoen se tekee tietokoneestasi hitaamman, vähemmän toimivan ja väistämättä Vähemmän turvallinen.

Miten Windows toimii eri tavoin, jos otat tämän asetuksen käyttöön

Microsoft selittää, mitä tämä asetus todella tekee blogimerkinnässä "Miksi emme suosittele" FIPS-tilaa "Enemmän." Microsoft suosittelee vain, että käytät FIPS-tilaa, jos tarvitset. Jos esimerkiksi käytät Yhdysvaltain hallituksen tietokonetta, tietokoneella on oltava "FIPS-tila", joka on käytössä hallituksen omien säännösten mukaisesti. Ei ole olemassa todellista tapaa, jolla haluat ottaa tämän käyttöön omalla tietokoneellasi, ellei testannut, miten ohjelmisto toimii Yhdysvaltain hallituksen tietokoneissa, joissa tämä asetus on käytössä.

Tämä asetus tekee kaksi itse Windowsille. Se pakottaa Windows- ja Windows-palvelut käyttämään vain FIPS-validoitua salausta. Esimerkiksi Windowsiin rakennettu Schannel-palvelu ei toimi vanhempien SSL 2.0- ja 3.0-protokollien kanssa, ja se vaatii sen sijaan vähintään TLS 1.0: n.

Microsoftin .NET-kehys estää myös pääsyn algoritmeihin, jotka eivät ole FIPS-validoituja. .NET-kehys tarjoaa useita eri algoritmeja useimmille salausalgoritmeille, eikä kaikkia niitä ole edes toimitettu validointia varten. Esimerkiksi Microsoft huomauttaa, että .NET-kehyksessä on kolme eri versiota SHA256-hajautusalgoritmista. Nopein ei ole toimitettu validointia varten, mutta sen pitäisi olla yhtä turvallinen. Joten FIPS-tilan salliminen joko rikkoo .NET-sovelluksia, jotka käyttävät tehokkaampaa algoritmia tai pakottavat ne käyttämään vähemmän tehokasta algoritmia ja olemaan hitaampia.

Näiden kahden asian ohella FIPS-tilan käyttäminen suosittelee sovelluksille, että he käyttävät vain FIPS-validoitua salausta. Mutta se ei pakota mitään muuta. Perinteiset Windows-työpöytäsovellukset voivat valita minkä tahansa salauskoodin, jota he haluavat - jopa kauhistuttavan salakirjoituksen - tai salausta ei lainkaan. FIPS-tila ei tee mitään muille sovelluksille, elleivät ne noudata tätä asetusta.

FIPS-tilan poistaminen käytöstä (tai ota se käyttöön, jos haluat)

Tätä asetusta ei pitäisi ottaa käyttöön, ellet käytä hallituksen tietokonetta ja pakotetaan. Jos otat tämän asetuksen käyttöön, jotkut kuluttajasovellukset saattavat todella pyytää sinua poistamaan FIPS-tilan, jotta ne voivat toimia oikein.

Jos haluat ottaa FIPS-tilan käyttöön tai poistaa sen käytöstä - ehkä olet nähnyt virhesanoman sen käyttöönoton jälkeen, sinun on testattava, miten ohjelmisto käyttäytyy tietokoneessa, jossa on FIPS-tila, tai käytät valtion tietokonetta ja sinulla on Voit ottaa sen käyttöön useilla tavoilla. FIPS-tila voidaan ottaa käyttöön vain, kun se on liitetty tiettyyn verkkoon, tai järjestelmällisellä asetuksella, jota sovelletaan aina.

Jos haluat ottaa FIPS-tilan käyttöön vain, kun se on liitetty tiettyyn verkkoon, toimi seuraavasti:

1. Avaa Ohjauspaneeli-ikkuna.
2. Valitse Verkon ja Internetin kohdasta Näytä verkon tila ja tehtävät.
3. Valitse Muuta sovittimen asetuksia.
4. Napsauta hiiren kakkospainikkeella verkkoa, jonka haluat ottaa käyttöön, ja valitse "Tila".
5. Napsauta Wi-Fi Status -ikkunassa olevaa Wireless Properties (Langattomat ominaisuudet) -painiketta.
6. Napsauta Verkon ominaisuudet -ikkunan Suojaus-välilehteä.
7. Napsauta Lisäasetukset-painiketta.
8. Vaihda "Ota käyttöön liittovaltion tietojenkäsittelystandardit (FIPS) -yhteensopivuus tätä verkkoa varten" -vaihtoehto 802.11-asetuksissa.

Tätä asetusta voidaan muuttaa myös koko järjestelmän ryhmäkäytäntöeditorissa. Tämä työkalu on käytettävissä vain Windows- ja Home-versioiden Professional-, Enterprise- ja Education-versioissa. Voit muuttaa tätä työkalua vain paikallisen ryhmäkäytäntöeditorin avulla, jos olet tietokoneessa, joka ei liity verkkotunnukseen, joka hallinnoi tietokoneen ryhmäkäytäntöasetuksia. Jos tietokoneesi on liitetty verkkotunnukseen, ja organisaation hallinnoimat ryhmäkäytäntöasetukset, et voi muuttaa sitä itse. Voit muuttaa tätä asetusta ryhmäkäytännössä:

1. Avaa Suorita-valintaikkuna painamalla Windows-näppäintä + R.
2. Kirjoita "gpedit.msc" Suorita-valintaikkunaan (ilman lainausmerkkejä) ja paina Enter.
3. Siirry kohtaan ”Tietokoneen asetukset Windows-asetukset” Suojausasetukset Paikalliset käytännöt Suojausasetukset ”ryhmäkäytäntöeditorissa.
4. Etsi oikeanpuoleisesta ruudusta ”Järjestelmän salaus: Käytä FIPS-yhteensopivia algoritmeja salausta, hajauttamista ja allekirjoittamista varten” ja kaksoisnapsauta sitä.
5. Aseta asetus "Disabled" ja napsauta "OK".
6. Käynnistä tietokone uudelleen.

Windowsin kotiversioissa voit kuitenkin ottaa FIPS-asetuksen käyttöön tai poistaa sen käytöstä rekisteriasetuksen avulla. Voit tarkistaa, onko FIPS käytössä tai poissa käytöstä rekisterissä, toimi seuraavasti:

1. Avaa Suorita-valintaikkuna painamalla Windows-näppäintä + R.
2. Kirjoita “regedit” Suorita-valintaikkunaan (ilman lainausmerkkejä) ja paina Enter.
3. Siirry kohtaan ”HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa FipsAlgorithmPolicy”.
4. Katsokaa "Enabled" -arvoa oikealla ruudulla. Jos asetuksena on "0", FIPS-tila on poistettu käytöstä. Jos asetuksena on "1", FIPS-tila on käytössä. Jos haluat muuttaa asetusta, kaksoisnapsauta "Enabled" -arvoa ja aseta se joko "0" tai "1".
5. Käynnistä tietokone uudelleen.

Kiitos @SwiftOnSecurity -palvelusta Twitterissä inspiroimaan tätä viestiä!