warum sollten Sie nicht “FIPS-konforme” Verschlüsselung auf Windows aktivieren

Windows verfügt über eine versteckte Einstellung, die nur von der Regierung zertifiziert “FIPS-konformen” Verschlüsselung ermöglichen. Es mag wie eine Art und Weise klingen Ihrer PC-Sicherheit zu erhöhen, ist es aber nicht. Sie sollten diese Einstellung nicht aktivieren, wenn Sie in der Regierung arbeiten oder testen müssen, wie Software auf PCs Regierung verhalten wird.

Dieser Tweak passt rechts neben anderen nutzlosen Windows-Tweaking-Mythen. Wenn Sie über diese Einstellung in Windows gestolpert oder es an anderer Stelle gesehen erwähnt, nicht aktivieren es. Wenn Sie es bereits ohne Grund aktiviert haben, verwenden Sie die folgenden Schritte, um “FIPS-Modus” zu deaktivieren.

FIPS steht für “Federal Information Processing Standards.” Es ist eine Reihe von staatlichen Standards, die definieren, wie bestimmte Dinge in der von der Regierung zum Beispiel verwendet werden, Verschlüsselungsalgorithmen. FIPS definiert bestimmte Verschlüsselungsverfahren, die verwendet werden können, sowie Verfahren für Schlüssel-Verschlüsselung zu erzeugen. Es wird durch das National Institute of Standards and Technology, oder NIST veröffentlicht.

Die Einstellung in Windows erfüllt die US-Regierung 140 Standard FIPS. Wenn es aktiviert ist, zwingt es nur für Windows Systeme FIPS-validierten Verschlüsselung zu verwenden und berät Anwendungen so zu tun, wie gut.

“FIPS-Modus” nicht sicherer machen Sie Windows. Es ist einfach blockiert den Zugriff auf neuere Verschlüsselungs-Schemata, die nicht gewesen sein FIPS-validierten. Das heißt, es wird nicht in der Lage sein, neue Verschlüsselungsverfahren zu verwenden, oder schnellere Wege die gleichen Verschlüsselungsverfahren verwenden. Mit anderen Worten, macht es Ihren Computer langsamer, weniger funktional und wohl weniger sicher.

Microsoft erklärt, was diese Einstellung funktioniert tatsächlich in einem Blog-Beitrag mit dem Titel FIPS-Modus “Warum Wir sind nicht gekauft” “Anymore”. Microsoft nur empfiehlt Sie den FIPS-Modus verwenden, wenn Sie zu haben. Zum Beispiel, wenn Sie eine US-Regierung Computer verwenden, ist, dass der Computer angeblich “FIPS-Modus” nach Ansicht der Regierung die eigenen Vorschriften zu aktivieren. Es gibt keinen wirklichen Fall, dass Sie diese aktivieren wollen würde auf Ihrem eigenen PC-es sei denn, Sie testeten, wie Sie Ihre Software aktiviert auf US-Regierungscomputer mit dieser Einstellung verhält.

Diese Einstellung macht zwei Dinge zu Windows selbst. Es zwingt Windows und Windows Dienste nur verwenden FIPS-validierten Kryptografie. Zum Beispiel arbeiten die Schannel-Dienst in Windows integriert ist nicht mit älteren SSL 2.0 und 3.0 Protokolle und wird mindestens TLS 1.0 statt erfordern.

Microsoft’s.NET Rahmen wird auch Zugriff auf Algorithmen blockieren, die nicht FIPS-validierten sind. The.NET Framework bietet mehrere verschiedene Algorithmen für die meisten Kryptographie-Algorithmen, und nicht alle von ihnen haben sogar zur Validierung vorgelegt. Als Beispiel stellt Microsoft, dass es drei verschiedene Versionen des SHA256 Hashing-Algorithmus in the.NET Rahmen sind. Der schnellste war nicht zur Validierung eingereicht worden, sollte aber nur so sicher sein. So ermöglicht der FIPS-Modus wird entweder break.NET Anwendungen, die den effizienteren Algorithmus verwenden oder sie zu zwingen, die weniger effizienten Algorithmus zu verwenden und langsamer.

Abgesehen von diesen beiden Dingen, FIPS-Modus ermöglicht empfiehlt für Anwendungen, die sie nur FIPS-validierten Verschlüsselung, auch. Aber es ist nichts anderes erzwingen. Traditionelle Windows-Desktop-Anwendungen können wählen, eine Verschlüsselung sie wollen, sogar erschreckend anfällig Verschlüsselung oder keine Verschlüsselung überhaupt zu realisieren. FIPS-Modus tut nichts für andere Anwendungen, wenn sie diese Einstellung gehorchen.

Sie sollten diese Einstellung nicht aktivieren, wenn Sie eine Regierung Computer verwenden und gezwungen werden. Wenn Sie diese Einstellung nicht aktivieren, können einige Consumer-Anwendungen tatsächlich fragen Sie den FIPS-Modus zu deaktivieren, damit sie richtig funktionieren kann.

Wenn Sie benötigen, um FIPS aktivieren oder deaktivieren Modus-vielleicht haben Sie eine Fehlermeldung zu sehen, nachdem Sie es aktiviert ist, müssen Sie testen, wie Ihre Software auf einem Computer mit FIPS-Modus verhalten wird aktiviert, oder Sie verwenden eine Regierung Computer und haben zu ermöglichen it-Sie können auf verschiedene Weise so zu tun. FIPS-Modus kann nur dann aktiviert werden, wenn zu einem bestimmten Netzwerk verbunden ist, oder über eine systemweite Einstellung, die immer gelten.

Um FIPS-Modus nur aktivieren, wenn sie auf einem bestimmten Netzwerk verbunden sind, führen Sie die folgenden Schritte

Diese Einstellung kann auch systemweit in der Gruppenrichtlinien-Editor geändert werden. Dieses Tool ist nur auf Professional, Enterprise und Education-Versionen von Windows-nicht Heim-Versionen. Sie können nur die lokalen Gruppenrichtlinien-Editor verwenden, um dieses Tool zu ändern, wenn Sie auf einem Computer sind, die nicht Mitglied einer Domäne ist, dass Ihr Computer die Gruppenrichtlinieneinstellungen für Sie verwalten. Wenn der Computer zu einer Domäne und die Gruppenrichtlinieneinstellungen zentral von Ihrer Organisation verwaltet werden, verbunden ist, werden Sie nicht in der Lage sein, es selbst zu ändern. diese Einstellung in der Gruppenrichtlinie zu ändern

Auf Start-Versionen von Windows, können Sie aktivieren oder deaktivieren FIPS über eine Registrierungseinstellung festlegen. Um zu überprüfen, ob FIPS aktiviert ist oder in der Registrierung deaktiviert, führen Sie die folgenden Schritte

Dank @SwiftOnSecurity auf Twitter für diesen Beitrag inspirieren!

Anfangs habe ich hart, dass dies auf die so genannte “Backdoor” in Beziehung gesetzt werden, dass die Sicherheitsbehörden haben wollen. Ich hätte in meinem Kopf loswerden all diesen Verschwörungstheorien zu bekommen. XD.

Die kontinuierliche Nut auf der Seite einer Schallplatte ist etwa 1.500 Fuß (460 m) in der Länge, die mikroskopisch kleine (aber auch kontinuierlich) Datenspur auf einer Compact Disc ist etwa 3,34 Meilen (5,38 km) lang.