Чому ви не повинні включати шифрування, сумісні з FIPS, у Windows

Windows має приховані налаштування, які дозволять лише затверджені урядом шифрування, сумісні з FIPS. Це може звучати як спосіб підвищення безпеки комп'ютера, але це не так. Не слід вмикати цей параметр, якщо ви не працюєте в уряді або не потрібно перевіряти, як програмне забезпечення буде діяти на урядових ПК.

Це налаштування підходить прямо поруч з іншими марними міфами Windows. Якщо ви зіткнулися з цим налаштуванням у Windows або побачили його в інших місцях, не вмикайте його. Якщо ви вже ввімкнули це без поважної причини, виконайте наведені нижче дії, щоб вимкнути режим "FIPS".

Що таке шифрування, сумісне з FIPS?

FIPS означає "Федеральні стандарти обробки інформації". Це набір урядових стандартів, які визначають, як певні речі використовуються в уряді - наприклад, алгоритми шифрування. FIPS визначає певні специфічні методи шифрування, які можна використовувати, а також способи генерування ключів шифрування. Він публікується Національним інститутом стандартів і технологій, або NIST.

Установка у Windows відповідає стандарту уряду FIPS 140. Коли він увімкнено, він змушує Windows використовувати лише схеми шифрування, які перевіряються за допомогою FIPS, і радить також і програмам.

"Режим FIPS" не робить Windows більш безпечним. Він просто блокує доступ до нових схем криптографії, які не були перевірені FIPS. Це означає, що він не зможе використовувати нові схеми шифрування, або більш швидкі способи використання тих самих схем шифрування. Іншими словами, це робить ваш комп'ютер повільнішим, менш функціональним і, можливо, незмінним менше безпечно.

Як Windows поводиться по-різному, якщо ви ввімкнете цю настройку

Корпорація Майкрософт пояснює, що саме робить ця настройка в повідомленні блогу під назвою «Чому ми не рекомендуємо« Режим FIPS »Anymore. Наприклад, якщо ви використовуєте урядовий комп'ютер США, цей комп’ютер повинен мати режим «FIPS», увімкнений відповідно до власних правил уряду. Немає реального випадку, коли потрібно ввімкнути це на своєму персональному комп'ютері, якщо ви не тестували, як ваше програмне забезпечення поводиться на комп'ютерах уряду США, якщо це налаштування ввімкнено.

Ця установка робить дві речі для самої Windows. Це змушує Windows і служби Windows використовувати тільки шифрування, перевірене FIPS. Наприклад, служба Schannel, вбудована в Windows, не буде працювати зі старими протоколами SSL 2.0 і 3.0, і потребуватиме щонайменше TLS 1.0..

Корпорація Microsoft .NET також блокує доступ до алгоритмів, які не перевіряються FIPS. .NET Framework пропонує декілька різних алгоритмів для більшості алгоритмів криптографії, і не всі вони навіть були представлені для перевірки. Як приклад Microsoft зазначає, що існує три різні версії алгоритму хешування SHA256 у рамках .NET. Найшвидший з них не було подано на перевірку, але має бути настільки ж безпечним. Таким чином, увімкнення режиму FIPS або переривання прикладних програм .NET, які використовують більш ефективний алгоритм, або змушують їх використовувати менш ефективний алгоритм і бути повільнішим.

Окрім цих двох речей, увімкнення режиму FIPS рекомендує додаткам, що вони також використовують тільки шифрування, що перевіряється за допомогою FIPS. Але це нічого не примушує. Традиційні додатки для робочого столу Windows можуть використовувати будь-який код шифрування, який вони хочуть, навіть шифрування з шифруванням або взагалі без шифрування. Режим FIPS нічого не робить для інших програм, якщо вони не підкоряються цьому параметру.

Як вимкнути режим FIPS (або увімкнути його, якщо потрібно)

Не слід вмикати цей параметр, якщо ви не користуєтеся урядовим комп'ютером і змушені. Якщо ви ввімкнете це налаштування, деякі споживчі програми можуть фактично попросити вас вимкнути режим FIPS, щоб вони могли правильно функціонувати.

Якщо потрібно ввімкнути або вимкнути режим FIPS - можливо, ви бачили повідомлення про помилку після його ввімкнення, потрібно перевірити, як ваше програмне забезпечення буде діяти на комп'ютері з увімкненим режимом FIPS, або ви використовуєте урядовий комп'ютер і щоб увімкнути його, ви можете зробити це кількома способами. Режим FIPS можна ввімкнути лише при підключенні до певної мережі або через загальносистемні налаштування, які завжди застосовуються.

Щоб увімкнути режим FIPS лише при підключенні до певної мережі, виконайте наступні дії:

1. Відкрийте вікно Панелі керування.
2. Натисніть "Перегляд стану мережі та завдань" у розділі Мережа та Інтернет.
3. Натисніть "Змінити налаштування адаптера".
4. Клацніть правою кнопкою миші мережу, на якій ви хочете увімкнути FIPS, та виберіть "Статус".
5. Натисніть кнопку "Властивості бездротового зв'язку" у вікні стану Wi-Fi.
6. Відкрийте вкладку "Безпека" у вікні властивостей мережі.
7. Натисніть кнопку "Додаткові параметри".
8. Перемкніть параметр "Увімкнути стандарти стандартів обробки інформації (FIPS)" "для цієї мережі" у налаштуваннях 802.11.

Це налаштування також можна змінити в загальносистемному редакторі групової політики. Цей інструмент доступний лише для версій Windows, а не для домашніх і професійних версій. Щоб змінити цей інструмент, скористайтеся лише редактором локальної групової політики, якщо ви перебуваєте на комп'ютері, до якого не приєднано домен, який керує налаштуваннями групових правил для вашого комп'ютера. Якщо ваш комп'ютер приєднаний до домену, а налаштування групової політики централізовано керує ваша організація, ви не зможете змінити його самостійно. Щоб змінити це налаштування в груповій політиці:

1. Натисніть клавішу Windows + R, щоб відкрити діалогове вікно Виконати.
2. Введіть "gpedit.msc" у діалоговому вікні Виконати (без лапок) і натисніть Enter.
3. У редакторі групової політики перейдіть до розділу "Конфігурація комп'ютера Параметри Windows Параметри захисту" Локальні політики "Параметри безпеки".
4. Знайдіть у правому регіоні "Криптографія системи: використовуйте алгоритми, сумісні з FIPS для шифрування, хешування та підписання", і двічі клацніть.
5. Встановіть для параметра "Вимкнено" та натисніть кнопку "OK".
6. Перезавантажте комп'ютер.

На Домашніх версіях Windows ви все ще можете ввімкнути або вимкнути встановлення FIPS за допомогою параметра реєстру. Щоб перевірити, чи увімкнено чи вимкнено FIPS у реєстрі, виконайте наведені нижче дії.

1. Натисніть клавішу Windows + R, щоб відкрити діалогове вікно Виконати.
2. Введіть "regedit" у діалоговому вікні Виконати (без лапок) і натисніть Enter.
3. Перейдіть у розділ “HKEY_LOCAL_MACHINE System CurrentControlSet Control” Lsa FipsAlgorithmPolicy \ t.
4. Подивіться на значення "Enabled" у правій області. Якщо встановлено значення "0", режим FIPS буде вимкнено. Якщо встановлено значення "1", увімкнено режим FIPS. Щоб змінити налаштування, двічі клацніть значення "Включено" та встановіть значення "0" або "1".
5. Перезавантажте комп'ютер.

Завдяки @SwiftOnSecurity на Twitter для того, щоб надихати цю посаду!