Proč byste neměli povolit šifrování FIPS-compliant v systému Windows
Systém Windows má skryté nastavení, které bude umožňovat pouze šifrování "kompatibilní s FIPS". Může to znít jako způsob, jak zvýšit zabezpečení počítače, ale není. Toto nastavení byste neměli povolit, pokud nebudete pracovat ve vládě nebo nebudete muset testovat, jak se software bude chovat na vládních počítačích.
Toto vyladění zapadá přímo vedle dalších zbytečných Windows mýtů. Pokud jste narazili na toto nastavení v systému Windows nebo jste ho viděli jinde, neumožňujte jej. Pokud jste ji již bez dobrého důvodu aktivovali, použijte níže uvedené kroky k vypnutí režimu "FIPS".
Co je šifrování kompatibilní s FIPS?
FIPS znamená "Federální standardy pro zpracování informací". Je to soubor vládních standardů, které definují, jak se ve vládě používají určité věci - například šifrovací algoritmy. FIPS definuje určité metody šifrování, které lze použít, stejně jako metody generování šifrovacích klíčů. Je publikován Národním institutem pro standardy a technologie nebo NIST.
Nastavení v systému Windows vyhovuje standardu FIPS 140 americké vlády. Je-li tato funkce povolena, přinuti systém Windows používat pouze šifrovací schémata ověřená FIPS a doporučuje aplikacím, aby tak učinily.
"Režim FIPS" nezvyšuje bezpečnost systému Windows. Právě blokuje přístup k novějším kryptografickým schématům, které nebyly ověřeny FIPS. To znamená, že nebude moci používat nové šifrovací schémata nebo rychlejší způsoby použití stejných šifrovacích schémat. Jinými slovy, je váš počítač pomalejší, méně funkční a pravděpodobně méně zajistit.
Jak se Windows chová jinak, pokud povolíte toto nastavení
Společnost Microsoft vysvětluje, co toto nastavení skutečně dělá na blogu s názvem "Proč nejedme doporučujeme" režim FIPS "Anymore". Společnost Microsoft doporučuje použít pouze režim FIPS, pokud je to nutné. Pokud používáte například počítač s vládou USA, tento počítač by měl mít "režim FIPS" povolený podle vládních nařízení. Neexistuje žádný skutečný případ, kdy byste to chtěli povolit na svém osobním počítači - pokud jste testování, jak se váš software chová na počítačích s vládou USA, pokud je toto nastavení povoleno.
Toto nastavení dělá dvě věci na samotný systém Windows. To nutí služby Windows a Windows používat pouze FIPS-ověřená kryptografie. Například služba Schannel zabudovaná do systému Windows nebude fungovat se staršími protokoly SSL 2.0 a 3.0 a místo toho bude vyžadovat alespoň TLS 1.0.
Microsoft .NET Framework také zablokuje přístup k algoritmům, které nejsou ověřeny FIPS. Rámec .NET nabízí několik různých algoritmů pro většinu kryptografických algoritmů a ne všechny byly dokonce předloženy k ověření. Jako příklad uvádí, že existují tři různé verze algoritmu hash SHA256 v rámci .NET. Nejrychlejší nebylo předloženo k ověření, ale mělo by být stejně bezpečné. Takže umožnění režimu FIPS buď přeruší aplikace .NET, které používají efektivnější algoritmus, nebo je nutí použít méně efektivní algoritmus a být pomalejší.
Kromě těchto dvou věcí umožňuje režim FIPS doporučit aplikacím, které používají pouze šifrování ověřené FIPS. Ale nic nenechá. Tradiční desktopové aplikace systému Windows mohou zvolit implementaci libovolného šifrovacího kódu, který chtějí - dokonce i strašně zranitelné šifrování - nebo vůbec žádné šifrování. Režim FIPS neudělá nic jiným aplikacím, pokud nesplní toto nastavení.
Jak zakázat režim FIPS (nebo povolit, pokud máte)
Toto nastavení byste neměli povolit, pokud nepoužíváte vládní počítač a jste nuceni. Pokud toto nastavení povolíte, některé aplikace pro spotřebitele se skutečně mohou dotázat na vypnutí režimu FIPS, aby mohly fungovat správně.
Pokud potřebujete zapnout nebo vypnout režim FIPS - možná jste viděli chybovou zprávu poté, co jste ji aktivovali, je třeba vyzkoušet, jak se software bude chovat v počítači s povoleným režimem FIPS, nebo používáte vládní počítač a máte aby to umožnilo - můžete to udělat několika způsoby. Režim FIPS může být aktivován pouze v případě, že je připojen k určité síti, nebo přes systémové nastavení, které bude vždy platit.
Chcete-li povolit režim FIPS pouze při připojení k určité síti, proveďte následující kroky:
- Otevřete okno ovládacího panelu.
- Klikněte na položku Zobrazit stav sítě a úkoly v části Síť a Internet.
- Klikněte na tlačítko "Změnit nastavení adaptéru".
- Klepněte pravým tlačítkem myši na síť, kterou chcete povolit FIPS pro a vyberte "Stav."
- V okně Stav Wi-Fi klikněte na tlačítko "Bezdrátové vlastnosti".
- V okně vlastností sítě klikněte na kartu Zabezpečení.
- Klikněte na tlačítko Pokročilé nastavení.
- Přepínejte možnost "Aktivovat federální normy zpracování informací (FIPS) pro tuto síť" v nastavení 802.11.
Toto nastavení lze také změnit v celém systému v editoru zásad skupiny. Tento nástroj je k dispozici pouze v verzích Windows verze Windows Professional, Enterprise a Education. Pomocí editoru místní skupiny zásad můžete změnit tento nástroj, pokud jste v počítači, který není připojen k doméně, která pro vás spravuje nastavení zásad skupiny. Je-li váš počítač připojen k doméně a organizace zásad skupiny je centrálně spravována vaší organizací, nebudete ji moci sami měnit. Změna tohoto nastavení v zásadách skupiny:
- Stisknutím klávesy Windows + R otevřete dialog Spustit.
- Zadejte "gpedit.msc" do dialogového okna Spustit (bez uvozovek) a stiskněte klávesu Enter.
- Přejděte do okna "Konfigurace počítače \ Nastavení systému Windows \ Nastavení zabezpečení \ Místní zásady \ Možnosti zabezpečení" v Editoru zásad skupiny.
- Vyhledejte "kryptografii systému: použijte algoritmy FIPS kompatibilní pro šifrování, hashování a podepisování" v pravém podokně a poklepejte na něj.
- Nastavte nastavení na hodnotu "Zakázáno" a klikněte na tlačítko "OK".
- Restartujte počítač.
V domácí verzi systému Windows můžete stále povolit nebo zakázat nastavení FIPS pomocí nastavení registru. Chcete-li zkontrolovat, zda je funkce FIPS povolena nebo zakázána v registru, postupujte takto:
- Stisknutím klávesy Windows + R otevřete dialog Spustit.
- Zadejte příkaz "regedit" do dialogového okna Spustit (bez uvozovek) a stiskněte klávesu Enter.
- Přejděte na stránku "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
- Podívejte se na hodnotu "Enabled" v pravém podokně. Je-li nastaven na hodnotu "0", režim FIPS je deaktivován. Je-li nastaven na hodnotu "1", režim FIPS je aktivován. Chcete-li změnit nastavení, poklepejte na hodnotu "Povoleno" a nastavte jej na hodnotu "0" nebo "1".
- Restartujte počítač.
Díky @SwiftOnSecurity na Twitteru pro inspiraci tohoto příspěvku!