Защо не трябва да разрешите “FIPS-съвместим” шифроване в Windows

Windows има скрита настройка, която ще позволи само сертифицирано от правителството “FIPS-съвместимо” криптиране. Може да звучи като начин да подобрите сигурността на вашия компютър, но това не е така. Не трябва да активирате тази настройка, освен ако не работите в правителството или трябва да тествате как ще се държи софтуерът на правителствените компютри.

Това ощипване се вписва точно заедно с други безполезни митове на Windows. Ако сте се натъкнали на тази настройка в Windows или сте видели, че е споменато другаде, не я активирайте. Ако вече сте го активирали без основателна причина, използвайте стъпките по-долу, за да деактивирате „FIPS mode“.

Какво е шифроване, съвместимо с FIPS?

FIPS означава "Федерални стандарти за обработка на информация". Това е набор от правителствени стандарти, които определят как се използват определени неща в правителството - например, алгоритми за криптиране. FIPS определя някои специфични методи за шифроване, които могат да бъдат използвани, както и методи за генериране на ключове за криптиране. Публикува се от Националния институт за стандарти и технологии или от NIST.

Настройката в Windows е в съответствие със стандарта на американското правителство FIPS 140. Когато е активирана, принуждава Windows да използва само проверените от FIPS схеми за шифроване и също така съветва приложенията да го правят.

„Режим FIPS“ не прави Windows по-сигурен. Той просто блокира достъпа до по-нови схеми за криптография, които не са били проверени с FIPS. Това означава, че няма да може да използва нови схеми за криптиране или по-бързи начини за използване на едни и същи схеми за криптиране. С други думи, това прави компютъра ви по-бавен, по-малко функционален и безспорно по-малко сигурен.

Как Windows се държи различно, ако активирате тази настройка

Microsoft обяснява какво точно прави тази настройка в блог пост, озаглавен „Защо не препоръчваме FIPS режим“ Anymore. ”Microsoft препоръчва само да използвате FIPS режим, ако трябва. Например, ако използвате компютъра на правителството на САЩ, този компютър трябва да има „FIPS режим“, който е разрешен съгласно правилата на правителството. Няма реален случай, в който да искате да активирате това в личния си компютър - освен ако не сте тествали как се държи вашият софтуер в компютрите на правителството на САЩ, като тази настройка е активирана.

Тази настройка прави две неща за самата Windows. Това принуждава Windows и Windows услугите да използват само проверената с FIPS криптография. Например услугата Schannel, вградена в Windows, няма да работи с по-стари протоколи SSL 2.0 и 3.0 и ще изисква поне TLS 1.0.

Рамката на .NET на Microsoft също ще блокира достъпа до алгоритми, които не са потвърдени от FIPS. .NET Framework предлага няколко различни алгоритми за повечето криптографски алгоритми и не всички от тях дори са били изпратени за проверка. Например Microsoft отбелязва, че има три различни версии на алгоритъма за хеширане SHA256 в .NET рамката. Най-бързият не е изпратен за проверка, но трябва да бъде също толкова сигурен. Така че режимът FIPS ще разруши .NET приложенията, които използват по-ефективния алгоритъм или ще ги принудят да използват по-малко ефективния алгоритъм и да бъдат по-бавни.

Освен тези две неща, разрешаването на FIPS режим препоръчва на приложенията да използват също и шифроване с FIPS. Но това не принуждава нищо друго. Традиционните Windows приложения за настолни компютри могат да изберат да прилагат всеки код за шифроване, който искат - дори и ужасно уязвимо криптиране - или никакво криптиране. Режимът FIPS не прави нищо за други приложения, освен ако не спазват тази настройка.

Как да деактивирате режима на FIPS (или да го активирате, ако трябва)

Не трябва да активирате тази настройка, освен ако не използвате правителствен компютър и сте принудени да го направите. Ако активирате тази настройка, някои потребителски приложения могат действително да ви помолят да забраните режима на FIPS, така че да могат да функционират правилно.

Ако трябва да активирате или деактивирате режим FIPS - може би сте видели съобщение за грешка, след като сте го активирали, трябва да тествате как ще се държи вашият софтуер на компютър с разрешен режим FIPS или използвате правителствен компютър и имате можете да го направите по няколко начина. Режимът FIPS може да се активира само когато е свързан с определена мрежа или чрез система, която винаги ще се прилага.

За да активирате режим FIPS само когато е свързан към определена мрежа, изпълнете следните стъпки:

1. Отворете прозореца на контролния панел.
2. Кликнете върху „Преглед на състоянието и задачите на мрежата“ в „Мрежа и интернет“.
3. Кликнете върху „Промяна на настройките на адаптера“.
4. Щракнете с десния бутон върху мрежата, за която искате да разрешите FIPS за, и изберете „Състояние“.
5. Кликнете върху бутона „Wireless Properties“ (Безжични свойства) в прозореца за Wi-Fi статус.
6. Кликнете върху раздела „Защита“ в прозореца за свойства на мрежата.
7. Кликнете върху бутона „Разширени настройки“.
8. Превключете опцията „Активиране на стандартите за Федерална информационна обработка (FIPS) за съответствие с тази мрежа“ под настройките 802.11.

Тази настройка може да се променя и в целия системен редактор. Този инструмент е достъпен само във версии за професионални, корпоративни и образователни версии на Windows-ne-Home версии. Можете да използвате редактора на местни групови правила, за да промените този инструмент, ако сте на компютър, който не е свързан с домейн, който управлява настройките на груповите правила на компютъра за вас. Ако компютърът ви е свързан с домейн и настройките на груповите правила се управляват централно от организацията ви, няма да можете да го промените сами. За да промените тази настройка в груповите правила:

1. Натиснете клавиша Windows + R, за да отворите диалоговия прозорец Изпълни.
2. Въведете “gpedit.msc” в диалоговия прозорец Run (без кавичките) и натиснете Enter.
3. Отидете на “Конфигурация на компютъра Настройки на Windows Настройки на защитата, Локални политики” Опции за защита в редактора на групови правила.
4. Намерете „Системната криптография: използвайте настройките, съвместими с FIPS за шифроване, хеширане и подписване“ в десния панел и кликнете два пъти върху нея.
5. Задайте настройката на „Disabled“ и кликнете върху „OK“.
6. Рестартирайте компютъра.

В началните версии на Windows все още можете да активирате или деактивирате настройката FIPS чрез настройка на системния регистър. За да проверите дали FIPS е разрешено или забранено в системния регистър, изпълнете следните стъпки:

1. Натиснете клавиша Windows + R, за да отворите диалоговия прозорец Изпълни.
2. Въведете “regedit” в диалоговия прозорец Run (без кавичките) и натиснете Enter.
3. Отидете на “HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa FipsAlgorithmPolicy” \ t.
4. Погледнете стойността “Enabled” в десния панел. Ако е зададено на „0“, режимът FIPS е деактивиран. Ако е зададено на „1“, режимът FIPS е активиран. За да промените настройката, щракнете двукратно върху стойността "Enabled" и я настройте на "0" или "1".
5. Рестартирайте компютъра.

Благодарение на @SwiftOnSecurity в Twitter за вдъхновяване на този пост!