Hvorfor du ikke bør aktivere FIPS-kompatibel kryptering på Windows
Windows har en skjult innstilling som bare aktiverer statlig sertifisert "FIPS-kompatibel" kryptering. Det kan høres ut som en måte å øke PCens sikkerhet på, men det er det ikke. Du bør ikke aktivere denne innstillingen med mindre du jobber i regjeringen eller trenger å teste hvordan programvare vil oppføre seg på statlige PCer.
Denne tweak passer rett sammen med andre ubrukelige Windows tweaking myter. Hvis du har snublet over denne innstillingen i Windows eller sett den nevnt andre steder, må du ikke aktivere den. Hvis du allerede har aktivert det uten god grunn, bruk trinnene nedenfor for å deaktivere "FIPS modus".
Hva er FIPS-kompatibel kryptering?
FIPS står for "Federal Information Processing Standards." Det er et sett av regjeringsstandarder som definerer hvordan visse ting brukes i regjeringen, for eksempel krypteringsalgoritmer. FIPS definerer bestemte spesifikke krypteringsmetoder som kan brukes, samt metoder for generering av krypteringsnøkler. Det er utgitt av Statens institutt for standarder og teknologi, eller NIST.
Innstillingen i Windows overholder den amerikanske regjeringen FIPS 140-standarden. Når den er aktivert, tvinger den Windows til å bare bruke FIPS-godkjente krypteringsordninger og anbefaler applikasjoner for å gjøre det også.
"FIPS-modus" gjør ikke Windows sikrere. Det blokkerer bare tilgang til nyere krypteringsordninger som ikke er FIPS-validerte. Det betyr at det ikke vil kunne bruke nye krypteringsordninger eller raskere måter å bruke de samme krypteringsordninger på. Med andre ord, det gjør datamaskinen tregere, mindre funksjonell og uten tvil mindre sikre.
Hvordan Windows virker annerledes hvis du aktiverer denne innstillingen
Microsoft forklarer hva denne innstillingen faktisk gjør i et blogginnlegg med tittelen "Hvorfor anbefaler vi ikke" FIPS-modus "Anymore." Microsoft anbefaler kun at du bruker FIPS-modus hvis du må. Hvis du for eksempel bruker en amerikansk regjerings datamaskin, skal den datamaskinen ha "FIPS-modus" aktivert i henhold til regjeringens egne regler. Det er ingen ekte sak hvor du vil aktivere dette på din egen personlige datamaskin - med mindre du testet hvordan programvaren oppfører deg på amerikanske regjeringens datamaskiner med denne innstillingen aktivert.
Denne innstillingen gjør to ting til Windows selv. Det tvinger Windows og Windows-tjenester til å bruke bare FIPS-validert kryptering. For eksempel vil Schannel-tjenesten som er innebygd i Windows, ikke fungere med eldre SSL 2.0 og 3.0-protokoller, og vil kreve minst TLS 1.0 i stedet.
Microsofts. NET-rammeverk vil også blokkere tilgang til algoritmer som ikke er FIPS-validerte. .NET Framework tilbyr flere forskjellige algoritmer for de fleste krypteringsalgoritmer, og ikke alle av dem har selv blitt sendt for validering. Som et eksempel, bemerker Microsoft at det er tre forskjellige versjoner av SHA256 hashing-algoritmen i .NET-rammen. Den raskeste har ikke blitt sendt inn for validering, men skal være like sikker. Så aktiverer FIPS modus vil enten bryte. NET applikasjoner som bruker den mer effektive algoritmen eller tvinge dem til å bruke den mindre effektive algoritmen og bli langsommere.
Bortsett fra disse to tingene, anbefaler man at FIPS-modus anbefaler programmer som de kun bruker FIPS-validerte kryptering. Men det tvinge ikke noe annet. Tradisjonelle Windows-skrivebordsprogrammer kan velge å implementere en krypteringskode de vil ha - til og med grusomt sårbar kryptering - eller ingen kryptering i det hele tatt. FIPS-modus gjør ikke noe for andre programmer, med mindre de overholder denne innstillingen.
Slik deaktiverer du FIPS modus (eller aktiver den, hvis du må)
Du bør ikke aktivere denne innstillingen med mindre du bruker en statlig datamaskin og er tvunget til. Hvis du aktiverer denne innstillingen, kan enkelte forbrukerprogrammer faktisk be deg om å deaktivere FIPS-modus slik at de kan fungere skikkelig.
Hvis du trenger å aktivere eller deaktivere FIPS-modus - kanskje du har sett en feilmelding etter at du har aktivert den, må du teste hvordan programvaren vil oppføre deg på en datamaskin med FIPS-modus aktivert, eller du bruker en regjerings datamaskin og har for å aktivere det - du kan gjøre det på flere måter. FIPS-modus kan bare aktiveres når den er koblet til et bestemt nettverk, eller via en systemomfattende innstilling som alltid vil gjelde.
For å aktivere FIPS modus bare når du er koblet til et bestemt nettverk, utfør følgende trinn:
- Åpne kontrollpanelvinduet.
- Klikk på "Vis nettverksstatus og oppgaver" under Nettverk og Internett.
- Klikk på "Endre adapterinnstillinger."
- Høyreklikk nettverket du vil aktivere FIPS for, og velg "Status".
- Klikk på knappen "Trådløse egenskaper" i Wi-Fi Status-vinduet.
- Klikk på kategorien "Sikkerhet" i vinduet for nettverksegenskaper.
- Klikk på "Avanserte innstillinger" -knappen.
- Bytt til "Aktiver Federal Information Processing Standards (FIPS) compliance for this network" alternativet under 802.11 innstillinger.
Denne innstillingen kan også endres system-wide i gruppepolicyredigereren. Dette verktøyet er bare tilgjengelig på profesjonelle, Enterprise og Education versjoner av Windows-ikke Hjem versjoner. Du kan bare bruke den lokale gruppepolicyeditoren til å endre dette verktøyet hvis du er på en datamaskin som ikke er med i et domene som administrerer datamaskinens gruppepolicyinnstillinger for deg. Hvis datamaskinen din er sluttet til et domene og gruppepolitikkinnstillingene blir sentralt administrert av organisasjonen, kan du ikke endre det selv. For å endre denne innstillingen i Gruppepolicy:
- Trykk på Windows-tast + R for å åpne dialogboksen Kjør.
- Skriv "gpedit.msc" i dialogboksen Kjør (uten anførselstegn) og trykk Enter.
- Naviger til "Computer Configuration \ Windows Settings \ Sikkerhetsinnstillinger \ Lokale retningslinjer \ Sikkerhetsalternativer" i Gruppepolicy Editor.
- Finn "Systemkryptografi: Bruk FIPS-kompatible algoritmer for kryptering, hashing og signering" i høyre rute og dobbeltklikk på det.
- Still innstillingen til "Deaktivert" og klikk "OK".
- Start datamaskinen på nytt.
På Home-versjoner av Windows kan du fortsatt aktivere eller deaktivere FIPS-innstillingen via en registerinnstilling. For å sjekke om FIPS er aktivert eller deaktivert i registret, gjør du følgende:
- Trykk på Windows-tast + R for å åpne dialogboksen Kjør.
- Skriv "regedit" i dialogboksen Kjør (uten anførselstegn) og trykk Enter.
- Naviger til "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
- Se på "Enabled" -verdien i høyre rute. Hvis den er satt til "0", er FIPS-modus deaktivert. Hvis den er satt til "1", er FIPS-modus aktivert. For å endre innstillingen, dobbeltklikk på "Aktivert" -verdien og sett den til enten "0" eller "1".
- Start datamaskinen på nytt.
Takk til @SwiftOnSecurity på Twitter for å inspirere dette innlegget!