Zakaj ne bi morali omogočiti šifriranja, ki je v skladu s FIPS
Windows ima skrito nastavitev, ki bo omogočila šifriranje, ki je samo s certifikatom FIPS. Morda se sliši kot način za povečanje varnosti računalnika, vendar ni. Te nastavitve ne smete omogočiti, če ne delate v vladi ali če morate preveriti, kako se bo programska oprema obnašala na državnih računalnikih.
Ta prilagoditev se prilega poleg drugih neuporabnih mitov Windows. Če ste naleteli na to nastavitev v sistemu Windows ali videli, da je omenjena drugje, je ne omogočite. Če ste jo že omogočili brez utemeljenega razloga, uporabite spodnje korake, da onemogočite »način FIPS«.
Kaj je šifriranje, skladno s FIPS?
FIPS pomeni "Zvezni standardi obdelave informacij". To je niz vladnih standardov, ki določajo, kako se nekatere stvari uporabljajo v vladi - na primer algoritmi za šifriranje. FIPS definira nekatere posebne metode šifriranja, ki jih je mogoče uporabiti, kot tudi metode za generiranje šifrirnih ključev. Objavil ga je Nacionalni inštitut za standarde in tehnologijo ali NIST.
Nastavitev v operacijskem sistemu Windows ustreza standardu vlade FIPS 140 v ZDA. Ko je omogočen, prisili Windows, da uporablja samo šifrirne sheme, ki jih je potrdil FIPS, in svetuje tudi aplikacijam.
»Način FIPS« ne izboljša varnosti sistema Windows. Samo blokira dostop do novejših kriptografskih shem, ki niso bile preverjene s FIPS. To pomeni, da ne bo mogel uporabljati novih shem šifriranja ali hitrejših načinov uporabe istih shem šifriranja. Z drugimi besedami, naredi vaš računalnik počasnejši, manj funkcionalen in nedvomno manj varno.
Kako Windows deluje drugače, če omogočite to nastavitev
Microsoft razlaga, kaj ta nastavitev dejansko počne v blogu z naslovom »Zakaj ne priporočamo» načina FIPS «Anymore.» Microsoft samo priporoča, da uporabite način FIPS, če morate. Na primer, če uporabljate računalnik vlade ZDA, naj bi ta računalnik imel način »FIPS«, ki je omogočen v skladu z vladnimi predpisi. Ni resničnega primera, kjer bi želeli omogočiti to v svojem osebnem računalniku, razen če ste preizkušali, kako se programska oprema obnaša na računalnikih vlade ZDA, če je ta nastavitev omogočena..
Ta nastavitev naredi Windows dve stvari. Storitve Windows in Windows prisilijo, da uporabljajo samo kriptografijo, ki jo je potrdila FIPS. Storitev Schannel, ki je vgrajena v Windows, na primer ne bo delovala s starejšimi protokoli SSL 2.0 in 3.0 in bo zahtevala vsaj TLS 1.0..
Okvir Microsoftovega .NET bo tudi blokiral dostop do algoritmov, ki niso potrjeni s FIPS. Okvir .NET ponuja več različnih algoritmov za večino kriptografskih algoritmov in niso vsi predloženi v validacijo. Na primer, Microsoft ugotavlja, da v ogrodju .NET obstajajo tri različne različice algoritma razpršitve SHA256. Najhitrejša ni bila poslana na preverjanje, vendar mora biti prav tako varna. Tako bo omogočanje načina FIPS prekinilo aplikacije .NET, ki uporabljajo učinkovitejši algoritem ali jih prisililo, da uporabljajo manj učinkovit algoritem in so počasnejši.
Poleg teh dveh možnosti, omogočanje načina FIPS priporoča aplikacijam, da uporabljajo tudi šifriranje, ki ga je potrdil FIPS. Toda ne silijo ničesar drugega. Tradicionalne namizne aplikacije Windows se lahko odločijo, da bodo izvajale katero koli šifrirno kodo, ki jo želijo - celo grozljivo ranljive šifriranje - ali sploh ni šifriranja. Način FIPS ne omogoča drugih aplikacij, razen če upoštevajo to nastavitev.
Kako onemogočiti način FIPS (ali Omogoči, če morate)
Te nastavitve ne smete omogočiti, razen če uporabljate vladni računalnik in ste prisiljeni. Če to nastavitev omogočite, lahko nekatere uporabniške aplikacije dejansko zahtevajo, da onemogočite način FIPS, da lahko pravilno delujejo.
Če morate omogočiti ali onemogočiti način FIPS - morda ste videli, da je bilo sporočilo omogočeno, morate preveriti, kako se bo programska oprema obnašala v računalniku z omogočenim načinom FIPS ali če uporabljate državni računalnik in da ga omogočite - to lahko storite na več načinov. Način FIPS lahko omogočite samo, če je povezan z določenim omrežjem ali prek nastavitve, ki velja za celoten sistem.
Če želite omogočiti način FIPS samo, ko je povezan z določenim omrežjem, storite naslednje:
- Odprite okno Nadzorna plošča.
- V razdelku Omrežje in internet kliknite »Ogled stanja omrežja in opravil«.
- Kliknite »Spremeni nastavitve adapterja«.
- Z desno tipko miške kliknite omrežje, ki ga želite omogočiti, in izberite »Stanje«.
- Kliknite gumb »Brezžične lastnosti« v oknu stanja Wi-Fi.
- V oknu lastnosti omrežja kliknite jeziček »Varnost«.
- Kliknite gumb »Napredne nastavitve«.
- Preklopite možnost »Omogoči zvezne standarde za obdelavo informacij (FIPS), ki izpolnjuje pogoje za to omrežje« pod nastavitvami 802.11.
To nastavitev lahko spremenite tudi za celoten sistem v urejevalniku pravilnika skupine. To orodje je na voljo samo v različicah Professional, Enterprise in Education različic, ki niso Windows Home. To orodje lahko spremenite le z urejevalnikom pravilnikov lokalnih skupin, če ste v računalniku, ki ni pridružen domeni, ki za vas določa nastavitve pravilnika skupine za računalnik. Če je vaš računalnik povezan z domeno in nastavitve pravilnika skupine centralno upravlja vaša organizacija, ne boste mogli sami spremeniti. To nastavitev spremenite v pravilniku skupine:
- Pritisnite tipko Windows + R, da odprete pogovorno okno Zaženi.
- V pogovorno okno Run (brez narekovajev) vnesite »gpedit.msc« in pritisnite Enter.
- V urejevalniku pravilnikov skupine pojdite na “Konfiguracija računalnika Nastavitve sistema Windows Varnostne nastavitve”.
- V desnem podoknu poiščite »Sistemska kriptografija: nastavite algoritme za šifriranje, razprševanje in podpisovanje«, ki je združljiv s standardom FIPS, in ga dvokliknite.
- Nastavite nastavitev na »Disabled« in kliknite »OK«.
- Znova zaženite računalnik.
V domačih različicah sistema Windows lahko nastavitev FIPS še vedno omogočite ali onemogočite prek nastavitve registra. Če želite preveriti, ali je FIPS omogočen ali onemogočen v registru, sledite naslednjim korakom:
- Pritisnite tipko Windows + R, da odprete pogovorno okno Zaženi.
- V pogovorno okno Run (brez narekovajev) vnesite “regedit” in pritisnite Enter.
- Pomaknite se na “HKEY_LOCAL_MACHINE System” ControlControlSet Control Lsa FipsAlgorithmPolicy \ t.
- V desnem podoknu si oglejte vrednost »Omogočeno«. Če je nastavljeno na »0«, je način FIPS onemogočen. Če je nastavljeno na »1«, je omogočen način FIPS. Če želite spremeniti nastavitev, dvokliknite vrednost »Omogočeno« in jo nastavite na »0« ali »1«.
- Znova zaženite računalnik.
Zahvaljujemo se @SwiftOnSecurity na Twitterju za navdihovanje te objave!