Hvorfor bør du ikke aktivere FIPS-kompatibel kryptering på Windows
Windows har en skjult indstilling, der kun aktiverer statscertificeret "FIPS-kompatibel" kryptering. Det kan lyde som en måde at øge din pcs sikkerhed på, men det er det ikke. Du bør ikke aktivere denne indstilling, medmindre du arbejder i regeringen eller skal teste, hvordan software vil opføre sig på offentlige pc'er.
Denne tweak passer lige sammen med andre ubrugelige Windows tweaking myter. Hvis du har snuble over denne indstilling i Windows eller set den nævnt andetsteds, skal du ikke aktivere den. Hvis du allerede har aktiveret det uden en god grund, skal du bruge trinene herunder til at deaktivere "FIPS-tilstand".
Hvad er FIPS-kompatibel kryptering?
FIPS står for "Federal Information Processing Standards." Det er et sæt af regeringsstandarder, der definerer, hvordan visse ting bruges i regeringen - for eksempel krypteringsalgoritmer. FIPS definerer bestemte specifikke krypteringsmetoder, der kan bruges, samt metoder til generering af krypteringsnøgler. Det er udgivet af National Institute of Standards and Technology, eller NIST.
Indstillingen i Windows overholder den amerikanske regering FIPS 140 standard. Når det er aktiveret, tvinger det Windows til kun at bruge FIPS-validerede krypteringsordninger og rådgiver applikationer til at gøre det også.
"FIPS-tilstand" gør ikke Windows mere sikker. Det blokerer blot adgang til nyere kryptografiske ordninger, der ikke er FIPS-valideret. Det betyder, at det ikke vil kunne bruge nye krypteringsordninger eller hurtigere måder at bruge de samme krypteringsordninger på. Med andre ord gør det din computer langsommere, mindre funktionelle og muligvis mindre sikker.
Sådan virker Windows anderledes, hvis du aktiverer denne indstilling
Microsoft forklarer, hvad denne indstilling faktisk gør i et blogindlæg med titlen "Hvorfor anbefaler vi ikke" FIPS-tilstand "Anymore." Microsoft anbefaler kun, at du bruger FIPS-tilstand, hvis du skal. Hvis du for eksempel bruger en amerikansk regeringscomputer, skal computeren "FIPS mode" aktiveres i henhold til regeringens egne regler. Der er ingen rigtig sag, hvor du vil aktivere dette på din egen personlige computer, medmindre du testede, hvordan din software opfører sig på amerikanske regeringscomputere med denne indstilling aktiveret.
Denne indstilling gør to ting til Windows selv. Det tvinger Windows og Windows-tjenester til kun at bruge FIPS-valideret kryptografi. Schannel-tjenesten, der er indbygget i Windows, virker f.eks. Ikke med ældre SSL 2.0 og 3.0-protokoller og kræver i det mindste TLS 1.0 i stedet.
Microsofts .NET-ramme vil også blokere adgangen til algoritmer, der ikke er FIPS-validerede. .NET Framework tilbyder flere forskellige algoritmer til de fleste krypteringsalgoritmer, og ikke alle er endda blevet indsendt til validering. Microsoft bemærker eksempelvis, at der er tre forskellige versioner af SHA256 hashing-algoritmen i .NET-rammen. Den hurtigste er ikke indsendt til validering, men skal være lige så sikker. Så aktivering af FIPS-tilstand vil enten bryde .NET-applikationer, der bruger den mere effektive algoritme eller tvinge dem til at bruge den mindre effektive algoritme og være langsommere.
Bortset fra disse to ting anbefaler man at aktivere FIPS-tilstand til applikationer, som de kun bruger FIPS-valideret kryptering. Men det tvinge ikke noget andet. Traditionelle Windows desktop applikationer kan vælge at implementere enhver krypteringskode, de ønsker - endda horrifically sårbar kryptering - eller slet ingen kryptering. FIPS-tilstand gør ikke noget for andre programmer, medmindre de adlyder denne indstilling.
Sådan deaktiveres FIPS-tilstand (eller aktiver den, hvis du skal)
Du bør ikke aktivere denne indstilling, medmindre du bruger en regeringscomputer og er tvunget til. Hvis du aktiverer denne indstilling, kan nogle forbrugerprogrammer faktisk bede dig om at deaktivere FIPS-tilstand, så de kan fungere korrekt.
Hvis du skal aktivere eller deaktivere FIPS-tilstand - måske har du set en fejlmeddelelse, efter at du har aktiveret den, skal du teste, hvordan din software vil opføre sig på en computer med FIPS-tilstand aktiveret, eller du bruger en statslig computer og har at aktivere det - du kan gøre det på flere måder. FIPS-tilstanden kan kun aktiveres, når den er tilsluttet et bestemt netværk eller via en systemindstilling, der altid vil gælde.
Hvis du kun vil aktivere FIPS-tilstand, når du er tilsluttet et bestemt netværk, skal du udføre følgende trin:
- Åbn vinduet Kontrolpanel.
- Klik på "Se netværksstatus og opgaver" under Netværk og Internet.
- Klik på "Skift adapterindstillinger."
- Højreklik på det netværk, du vil aktivere FIPS for, og vælg "Status".
- Klik på knappen "Trådløse egenskaber" i vinduet Wi-Fi Status.
- Klik på fanen "Sikkerhed" i vinduet med netværksegenskaber.
- Klik på knappen "Avancerede indstillinger".
- Skift "Indstil forbundsinformationsprocesstandarder (FIPS) overensstemmelse for dette netværk" under 802.11 indstillinger.
Denne indstilling kan også ændres hele systemet i gruppepolicyeditoren. Dette værktøj er kun tilgængeligt på Professionelle, Enterprise og Uddannelsesversioner af Windows, ikke Hjem versioner. Du kan kun bruge den lokale gruppepolicy editor til at ændre dette værktøj, hvis du er på en computer, der ikke er tilknyttet et domæne, der administrerer computerens gruppepolitiske indstillinger for dig. Hvis din computer er tilknyttet et domæne, og gruppepolitiske indstillinger styres centralt af din organisation, kan du ikke selv ændre det. Sådan ændrer du denne indstilling i Gruppepolitik:
- Tryk på Windows-tast + R for at åbne dialogboksen Kør.
- Skriv "gpedit.msc" i dialogboksen Kør (uden citaterne), og tryk på Enter.
- Naviger til "Computer Configuration \ Windows Settings \ Sikkerhedsindstillinger \ Lokale politikker \ Sikkerhedsindstillinger" i Gruppepolicy Editor.
- Find "Systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering" i højre side og dobbeltklik på det.
- Indstil indstillingen til "Deaktiveret" og klik på "OK".
- Genstart computeren.
På hjemmeversioner af Windows kan du stadig aktivere eller deaktivere FIPS-indstillingen via en registreringsindstilling. For at kontrollere, om FIPS er aktiveret eller deaktiveret i registreringsdatabasen, skal du følge disse trin:
- Tryk på Windows-tast + R for at åbne dialogboksen Kør.
- Skriv "regedit" i dialogboksen Kør (uden citaterne), og tryk på Enter.
- Naviger til "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
- Se på "Aktiveret" -værdien i højre rude. Hvis den er indstillet til "0", er FIPS-tilstand deaktiveret. Hvis den er indstillet til "1", er FIPS-tilstand aktiveret. For at ændre indstillingen skal du dobbeltklikke på "Aktiveret" værdi og indstille den til enten "0" eller "1".
- Genstart computeren.
Takket være @SwiftOnSecurity på Twitter for at inspirere dette indlæg!