Miks te ei tohiks lubada „FIPS-ühilduvat” krüpteerimist Windowsis

Windowsis on peidetud seade, mis võimaldab ainult valitsuse poolt sertifitseeritud „FIPS-ühilduvat” krüpteerimist. See võib tunduda arvuti turvalisuse suurendamise viisina, kuid see pole nii. Te ei tohiks seda seadet lubada, kui te ei tööta valitsuses või peate katsetama, kuidas tarkvara käitub valitsuse arvutitel.

See näpistama sobib paralleelselt teiste kasutud Windowsi kahekordistavate müütidega. Kui olete Windowsis selle sätte vahel komistanud või mujal seda maininud, siis ärge seda lubage. Kui olete selle juba ilma mõjuva põhjuseta lubanud, kasutage „FIPS režiimi” keelamiseks alltoodud samme.

Mis on FIPS-ühilduv krüptimine?

FIPS tähistab “Federal Information Processing Standards”. See on valitsuse standardite kogum, mis määrab kindlaks, kuidas teatud asju valitsuses kasutatakse, näiteks krüpteerimisalgoritmid. FIPS määratleb teatud spetsiifilised krüpteerimismeetodid, samuti krüpteerimisvõtmete genereerimise meetodid. Selle avaldab Riiklik Standardite ja Tehnoloogia Instituut või NIST.

Windowsi seadistus vastab USA valitsuse FIPS 140 standardile. Kui see on lubatud, sunnib Windows kasutama ainult FIPS-valideeritud krüpteerimisskeeme ja soovitab ka rakendustel seda teha.

„FIPS režiim” ei muuda Windowsi turvalisemaks. See lihtsalt blokeerib juurdepääsu uuematele krüptograafiakavadele, mis ei ole FIPS-valideeritud. See tähendab, et ta ei saa kasutada uusi krüpteerimisskeeme või kiiremaid viise samade krüpteerimisskeemide kasutamiseks. Teisisõnu, see muudab teie arvuti aeglasemaks, vähem funktsionaalseks ja vaieldamatult vähem turvaline.

Kuidas Windows erinevalt toimib, kui lubate selle sätte

Microsoft selgitab, mida see seade tegelikult blogi postituses „Miks me ei soovita“ FIPS-režiimi “Anymore”. Microsoft soovitab ainult teil kasutada FIPS-režiimi, kui teil on vaja. Näiteks, kui kasutate USA valitsuse arvutit, peaks see arvutis olema “FIPS režiim”, mis on lubatud vastavalt valitsuse enda eeskirjadele. Puudub reaalne juhtum, kus soovite seda oma isiklikus arvutis lubada, kui te ei testinud, kuidas teie tarkvara käitub USA valitsuse arvutites, kus see säte on lubatud.

See seade teeb Windowsi jaoks kaks asja. See sunnib Windowsi ja Windowsi teenuseid kasutama ainult FIPS-valideeritud krüptograafiat. Näiteks Windowsi sisseehitatud Schanneli teenus ei tööta vanemate SSL 2.0 ja 3.0 protokollidega ning nõuab selle asemel vähemalt TLS 1.0.

Microsofti .NET raamistik blokeerib ka juurdepääsu mitte-valideeritud algoritmidele. .NET-raamistik pakub enamiku krüptograafiaalgoritmide jaoks mitmeid erinevaid algoritme ning kõiki neid pole isegi valideerimiseks esitatud. Näiteks märgib Microsoft, et .NET-i raamistikus on SHA256 hash-algoritmi kolm erinevat versiooni. Kiireim ei ole kinnitamiseks esitatud, kuid see peaks olema sama turvaline. Nii võimaldab FIPS-režiimi lubamine katkestada .NET-rakendused, mis kasutavad tõhusamat algoritmi või sunnivad neid kasutama vähem tõhusat algoritmi ja olema aeglasemad.

Lisaks nendele kahele olukorrale soovitab FIPS režiim lubada rakendustel kasutada ka ainult FIPS-valideeritud krüpteerimist. Aga see ei sunni midagi muud. Traditsioonilised Windowsi töölauarakendused võivad valida mis tahes krüpteerimiskoodi, mida nad tahavad, isegi kohutavalt haavatava krüpteerimise või üldse mitte krüpteerimist. FIPS-režiim ei tee teiste rakendustega midagi, kui nad seda sätet ei järgi.

FIPS-režiimi keelamine (või lubamine, kui teil on)

Te ei tohiks seda seadet lubada, kui te ei kasuta valitsuse arvutit ja olete sunnitud. Kui see säte sisse lülitada, võivad mõned tarbijarakendused paluda FIPS-režiimi keelata, et nad saaksid korralikult töötada.

Kui peate FIPS-i režiimi lubama või keelama - võib-olla olete näinud veateate pärast selle lubamist, peate testima, kuidas teie tarkvara käitub FIPS-režiimis lubatud arvutis või kasutate valitsuse arvutit ja teil on selle lubamiseks saate seda teha mitmel viisil. FIPS-režiimi saab lubada ainult siis, kui see on ühendatud konkreetse võrguga või süsteemse seadistuse abil, mis kehtib alati.

FIPS-režiimi lubamiseks ainult siis, kui see on ühendatud konkreetse võrguga, tehke järgmist.

1. Avage juhtpaneeli aken.
2. Klõpsake jaotises Võrk ja Internet jaotises „Võrgu olek ja ülesanded”.
3. Klõpsake „Muuda adapteri sätteid“.
4. Paremklõpsake võrku, kuhu soovite FIPSi lubada, ja valige „Olek“.
5. Klõpsake Wi-Fi oleku aknas nuppu „Traadita atribuudid”.
6. Klõpsake võrgu omaduste aknas vahekaarti „Turvalisus“.
7. Klõpsake nupul „Täpsemad seaded”.
8. Lülitage 802.11 seadete alt välja „Võimaldage sellele võrgule vastav infotöötlusstandardid (FIPS) vastavusse lubamine”.

Seda seadistust saab muuta ka kogu grupi poliitika redaktoris. See tööriist on saadaval ainult Windows, mitte kodu versioonide Professional, Enterprise ja Education versioonides. Selle tööriista muutmiseks saate kasutada ainult kohaliku rühma poliitika redaktorit, kui olete arvutis, mis ei ole ühendatud domeeni, mis haldab teie arvuti grupipoliitika sätteid. Kui teie arvuti on ühendatud domeeniga ja grupi poliitika seadeid haldab teie organisatsioon keskselt, ei saa te seda ise muuta. Selle sätte muutmiseks grupipoliitikas:

1. Vajutage Windowsi klahvi + R, et avada dialoogiaken Run.
2. Tippige dialoogiboksisse Run (ilma jutumärkideta) “gpedit.msc” ja vajutage Enter.
3. Rühmapoliitika redaktoris liikuge menüüsse „Arvuti konfiguratsioon Windowsi seaded Turvaseaded Kohalikud eeskirjad Turvalisuse valikud“.
4. Leidke paremal paanil „Süsteemi krüptograafia: kasutage FIPS-ühilduvaid algoritme krüpteerimiseks, vaheldamiseks ja allkirjastamiseks” ja topeltklõpsake seda.
5. Seadistage seade „Disabled” ja klõpsake „OK“.
6. Taaskäivitage arvuti.

Windowsi koduvõrgu versioonides saate ikka FIPS-i seadistust registrisätte abil lubada või keelata. Et kontrollida, kas FIPS on registris lubatud või keelatud, toimige järgmiselt.

1. Vajutage Windowsi klahvi + R, et avada dialoogiaken Run.
2. Tippige dialoogiboksisse Run (ilma jutumärkideta) “regedit” ja vajutage Enter.
3. Navigeeri „HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa FipsAlgorithmPolicy”.
4. Vaata parempoolses paanis väärtust „Lubatud”. Kui see on seatud väärtusele „0”, on FIPS-režiim keelatud. Kui see on seatud väärtusele „1”, on FIPS-režiim lubatud. Seadistuse muutmiseks topeltklõpsake väärtust „Lubatud” ja seadke see väärtusele „0“ või „1“.
5. Taaskäivitage arvuti.

Täname @SwiftOnSecurity'i Twitteris selle postituse inspireerimiseks!