Windows ima skrivenu postavku koja će omogućiti samo šifriranje s "FIPS-certificiranim" državnim certifikatom. Internet svibanj zvuči kao način za pojačati vaše računalo sigurnosti, ali to nije. Ne biste trebali omogućiti ovu postavku osim ako ne radite u vladi ili trebate testirati kako će se softver ponašati na državnim računalima.
Ovaj ugađanje odgovara desno uz druge beskorisne postavke za ugađanje sustava Windows. Ako ste naišli na ovu postavku u sustavu Windows ili ste ga vidjeli negdje drugdje, nemojte je omogućiti. Ako ste ga već omogućili bez dobrog razloga, upotrijebite korake u nastavku da biste onemogućili "FIPS način rada".
FIPS predstavlja "federalne standarde za obradu informacija". To je skup vladinih standarda koji određuju kako se određene stvari koriste u vladi - na primjer, algoritme za šifriranje. FIPS definira određene metode šifriranja koje se mogu koristiti, kao i metode za generiranje ključeva za enkripciju. Objavio ga je Nacionalni institut za standarde i tehnologiju, ili NIST.
Postavka u sustavu Windows sukladna je FIPS 140 normi američke vlade. Kada je omogućen, prisiljava Windows da koristi samo FIPS sheme šifriranja i savjetuje aplikacijama da to učine.
"FIPS mod" ne čini Windows sigurnijim. Ona samo blokira pristup novijim shemama kriptografije koji nisu validirani s FIPSom. To znači da neće moći koristiti nove sheme enkripcije ili brže načine korištenja istih shema enkripcije. Drugim riječima, čini vaše računalo sporije, manje funkcionalno i nedvojbeno manje siguran.
Microsoft objašnjava što ova postavka zapravo čini u postu na blogu pod nazivom "Zašto ne preporučujemo" FIPS modus "Više". Microsoft preporučuje da upotrijebite FIPS mod ako to morate. Na primjer, ako upotrebljavate računalo američke vlade, računalo bi trebalo omogućiti "FIPS način" prema vlastitim propisima. Nema stvarnog slučaja gdje biste to željeli omogućiti na osobnom računalu - osim ako niste ispitivali kako se vaš softver ponaša na državnim računalima SAD-a s tom postavom omogućenom.
Ova postavka čini dvije stvari u samom Windowsu. To prisiljava Windows i Windows usluge da koriste samo FIPS-ovjereni kriptografija. Na primjer, usluga Schannel ugrađena u sustav Windows neće raditi sa starijim SSL 2.0 i 3.0 protokolima, a umjesto toga će zahtijevati barem TLS 1.0.
Microsoftov .NET okvir također će blokirati pristup algoritmima koji nisu FIPS potvrđeni. .NET okvir nudi nekoliko različitih algoritama za većinu kriptografskih algoritama, a nisu svi njih čak i poslani na provjeru valjanosti. Kao primjer, Microsoft primjećuje da postoje tri različite inačice SHA256 hashing algoritma u .NET okviru. Najbrži se nije poslao za provjeru valjanosti, ali trebao bi biti jednako siguran. Dakle, omogućavanje FIPS modusa ili će razbiti .NET aplikacije koje koriste učinkovitije algoritam ili ih prisiliti da koriste manje učinkovito algoritam i biti sporije.
Osim ovih dviju stvari, omogućavanje FIPS moda preporučuje aplikacijama da koriste samo FIPS-ovjerenu enkripciju. Ali ništa ne tjera ništa. Tradicionalne aplikacije za stolna računala u sustavu Windows mogu odabrati primjenu koda za šifriranje koje žele - čak i užasno ranjive enkripcije - ili bez šifriranja. FIPS mod ne čini ništa drugoj aplikaciji osim ako se ne pridržavaju ove postavke.
Ne biste trebali omogućiti tu postavku osim ako upotrebljavate državno računalo i prisiljeni. Ako omogućite tu postavku, neke potrošačke aplikacije možda će vas tražiti da onemogućite FIPS način rada kako biste mogli ispravno funkcionirati.
Ako morate omogućiti ili onemogućiti FIPS mod - možda ste vidjeli poruku o pogrešci nakon što ste ga omogućili, morate testirati kako će se vaš softver ponašati na računalu s omogućenim FIPS načinom rada ili ako koristite državno računalo i imate da biste ga omogućili - to možete učiniti na nekoliko načina. FIPS mod može se omogućiti samo kada je povezan s određenom mrežom ili putem postavki na razini sustava koja će se uvijek primjenjivati.
Da biste omogućili FIPS mod samo kada ste spojeni na određenu mrežu, izvršite sljedeće korake:
Ova se postavka također može promijeniti u cijelom sustavu u uređivaču pravila grupe. Ovaj je alat dostupan samo na verzijama sustava Windows, a ne za kućnu inačicu Profesionalno, Enterprise i Obrazovanje. Koristite lokalni urednik pravila grupe za promjenu ovog alata ako ste na računalu koje nije pridruženo domeni koja upravlja postavkama pravila grupe vašeg računala za vas. Ako je vaše računalo povezano s domenom, a postavke pravila grupe centralno se upravlja vašom organizacijom, nećete ga moći sami promijeniti. Da biste promijenili tu postavku u Pravilima grupe:
Na Home verzijama sustava Windows još uvijek možete omogućiti ili onemogućiti postavku FIPS pomoću postavke registra. Da biste provjerili je li FIPS omogućen ili onemogućen u registru, slijedite ove korake:
Zahvaljujući @SwiftOnSecurity na Twitteru za nadahnuće ovog posta!