Защо не трябва да разрешите шифроването "съвместимо с FIPS" в Windows

Windows има скрита настройка, която позволява само криптиране, сертифицирано от правителството "FIPS-съвместимо". Може да звучи като начин да се повиши сигурността на вашия компютър, но не е така. Не трябва да активирате тази настройка, освен ако не работите в правителството или трябва да тествате как софтуерът ще се държи на правителствените персонални компютри.

Това ощипване се вписва точно в съседство с други безполезни прозорци за променяне на Windows. Ако сте се натъкнали на тази настройка в Windows или сте я видели другаде, не я активирайте. Ако вече сте го активирали без основателна причина, използвайте стъпките по-долу, за да забраните режима "FIPS".

Какво е криптирането, съвместимо с FIPS?

FIPS означава "федерални стандарти за обработка на информацията". Това е набор от правителствени стандарти, които определят как се използват определени неща в правителството - например алгоритми за кодиране. FIPS определя някои специфични методи за шифроване, които могат да бъдат използвани, както и методи за генериране на ключове за шифроване. Тя е публикувана от Националния институт за стандарти и технологии или NIST.

Настройката в Windows съответства на стандарта FIPS 140 на правителството на САЩ. Когато е активирана, тя принуждава Windows да използва само одобрени от FIPS схеми за шифроване и съветва приложенията да го направят.

"Режимът FIPS" не прави Windows по-сигурен. То просто блокира достъпа до по-новите криптографски схеми, които не са валидирани от FIPS. Това означава, че няма да може да използва нови криптиращи схеми или по-бързи начини за използване на едни и същи схеми за шифроване. С други думи, прави компютъра по-бавен, по-малко функционален и със сигурност по-малко сигурно.

Как се проявява различно Windows, ако активирате тази настройка

Microsoft обяснява какво всъщност прави тази настройка в публикация в блога, озаглавена "Защо не препоръчваме" FIPS Mode "Anymore". Microsoft само ви препоръчва да използвате FIPS режим, ако трябва. Например, ако използвате американски правителствен компютър, компютърът трябва да има "FIPS режим" активиран съгласно собствените правилници на правителството. Няма реален случай, в който искате да активирате това на собствения си персонален компютър - освен ако не сте проверявали как се държи софтуера Ви на компютри на правителството на САЩ с активирана тази настройка.

Тази настройка прави две неща за самия Windows. Това принуждава услугите на Windows и Windows да използват само критична проверка, потвърдена от FIPS. Например услугата Schannel, вградена в Windows, няма да работи с по-стари протоколи за SSL 2.0 и 3.0 и вместо това ще изисква най-малко TLS 1.0.

Microsoft .NET Framework също ще блокира достъпа до алгоритми, които не са валидирани от FIPS. Рамката .NET предлага няколко алгоритми за повечето криптографски алгоритми и не всички от тях са били представени за валидиране. Като пример, Microsoft отбелязва, че има три различни версии на алгоритъма за хеширане SHA256 в .NET Framework. Най-бързият не е подаден за потвърждаване, но трябва да е също толкова сигурен. Така че активирането на FIPS режим или ще прекъсне .NET приложения, които използват по-ефективния алгоритъм, или ги принуждават да използват по-малко ефективния алгоритъм и да бъдат по-бавни.

Освен тези две неща, позволявайки на FIPS режима да препоръчва на приложенията да използват само криптиране, потвърдено от FIPS. Но това не насилва нищо друго. Традиционните приложения за настолни компютри на Windows могат да изберат да внедрят кода за кодиране, който искат - дори ужасно уязвимо криптиране - или никакво криптиране изобщо. Режимът FIPS не прави нищо за други приложения, освен ако не се подчиняват на тази настройка.

Как да деактивирате режима FIPS (или да го активирате, ако имате)

Не трябва да активирате тази настройка, освен ако не използвате правителствен компютър и сте принудени. Ако активирате тази настройка, някои потребителски приложения може действително да ви помолят да деактивирате режима FIPS, за да могат да функционират правилно.

Ако трябва да активирате или деактивирате режима FIPS - може би сте виждали съобщение за грешка, след като сте го активирали, трябва да тествате как софтуерът ще се държи на компютър с активиран режим FIPS, или използвате правителствен компютър и имате за да го активирате - можете да го направите по няколко начина. Режимът FIPS може да бъде активиран само когато е свързан към определена мрежа или чрез настройка на цялата система, която винаги ще се прилага.

За да активирате режима FIPS само когато сте свързани към конкретна мрежа, изпълнете следните стъпки:

1. Отворете прозореца на контролния панел.
2. Кликнете върху "Преглед на състоянието и задачите на мрежата" под Мрежа и Интернет.
3. Кликнете върху "Промяна на настройките на адаптера".
4. Щракнете с десния бутон на мишката върху мрежата, за която искате да активирате FIPS, и изберете "Status".
5. Кликнете върху бутона "Безжични свойства" в прозореца за състоянието на Wi-Fi.
6. Кликнете върху раздела "Защита" в прозореца за свойства на мрежата.
7. Кликнете върху бутона "Разширени настройки".
8. Превключете опцията "Активиране на съответствие със стандартите за обработка на информация от Федералната информационна система (FIPS) за тази мрежа" в настройките на 802.11.

Тази настройка също може да бъде променяна в цялата система в редактора за групови правила. Този инструмент е наличен само на версии на версии на Windows, които не са с начална версия на Professional, Enterprise и Education. Можете да използвате редактора за локална групова политика, за да промените този инструмент, ако се намирате на компютър, който не е свързан към домейн, който управлява за вас настройките за групови правила на компютъра ви. Ако компютърът ви е свързан с домейн и настройките за групови правила са управлявани централно от вашата организация, няма да можете сами да го промените. За да промените тази настройка в "Групови правила":

1. Натиснете Windows Key + R, за да отворите диалога Run.
2. Въведете "gpedit.msc" в диалоговия прозорец Изпълнение (без кавичките) и натиснете Enter.
3. Придвижете се до "Компютърна конфигурация \ Windows Settings \ Security Settings \ Local Policies \ Security Options" в редактора за групови правила.
4. Намерете "Системна криптография: Използвайте FIPS-съвместими алгоритми за криптиране, хеширане и подписване" в десния панел и кликнете двукратно върху него.
5. Задайте настройката на "Disabled" и кликнете върху "OK".
6. Рестартирайте компютъра.

В началните версии на Windows можете да активирате или деактивирате настройката на FIPS чрез настройка на системния регистър. За да проверите дали FIPS е активиран или деактивиран в системния регистър, изпълнете следните стъпки:

1. Натиснете Windows Key + R, за да отворите диалога Run.
2. Въведете "regedit" в диалоговия прозорец Run (без кавичките) и натиснете Enter.
3. Придвижете се до "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Погледнете стойността "Enabled" в десния панел. Ако е настроено на "0", режимът FIPS е деактивиран. Ако е настроено на "1", режимът FIPS е активиран. За да промените настройката, кликнете два пъти върху стойността "Enabled" и я задайте на "0" или "1".
5. Рестартирайте компютъра.

Благодарение на @SwiftOnSecurity на Twitter за вдъхновение на този пост!