Зашто не би требало да омогућите шифровање са „ФИПС-цомплиант“ на Виндовс-у
Виндовс има скривено подешавање које ће омогућити само шифровање које је сертификовано од стране владе. Можда звучи као начин да побољшате сигурност вашег рачунара, али није. Не би требало да омогућите ову поставку осим ако не радите у влади или не морате тестирати како ће се софтвер понашати на владиним рачунарима.
Ово подешавање одговара уз остале бескорисне митове о Виндовсима. Ако сте наишли на ову поставку у оперативном систему Виндовс или сте је видели на другом месту, немојте је омогућити. Ако сте га већ омогућили без доброг разлога, користите кораке у наставку да бисте онемогућили „ФИПС мод“.
Шта је шифровање које подржава ФИПС?
ФИПС означава "Федералне стандарде обраде информација". То је скуп владиних стандарда који дефинирају како се одређене ствари користе у влади - на примјер, алгоритми шифрирања. ФИПС дефинише одређене специфичне методе шифровања које се могу користити, као и методе за генерисање кључева за шифровање. Објављује га Национални институт за стандарде и технологију, или НИСТ.
Подешавање у Виндовс-у је у складу са америчким стандардом ФИПС 140. Када је омогућено, приморава Виндовс да користи само шифроване шифре које је проверио ФИПС и саветује апликације да то и учине.
„ФИПС мод“ не чини Виндовс сигурнијим. Он само блокира приступ новијим шифрама шифрирања које нису ФИПС-валидиране. То значи да неће моћи да користи нове шифре шифровања или брже начине коришћења истих шифрованих шема. Другим речима, чини ваш рачунар споријим, мање функционалним и несумњиво мање сигуран.
Како се Виндовс понаша другачије ако омогућите ову поставку
Мицрософт објашњава шта ова поставка заиста ради у посту на блогу под називом “Зашто ми не препоручујемо“ ФИПС начин ”Аниморе.“ Мицрософт само препоручује да користите ФИПС режим ако морате. На пример, ако користите компјутер владе САД-а, тај рачунар треба да има „ФИПС начин“ омогућен у складу са властитим прописима. Нема стварног случаја где бисте желели да омогућите ово на свом личном рачунару - осим ако сте тестирали како се ваш софтвер понаша на рачунарима владе САД-а, а ова поставка омогућена.
Ово подешавање чини две ствари самом оперативном систему Виндовс. То присиљава Виндовс и Виндовс сервисе да користе само ФИПС-валидирану криптографију. На пример, Сцханнелова услуга уграђена у Виндовс неће радити са старијим ССЛ 2.0 и 3.0 протоколима, и захтеваће најмање ТЛС 1.0.
Мицрософтов .НЕТ фрамеворк ће такође блокирати приступ алгоритмима који нису ФИПС-валидирани. .НЕТ Фрамеворк нуди неколико различитих алгоритама за већину криптографских алгоритама, а нису сви од њих чак послани на валидацију. Као пример, Мицрософт примећује да постоје три различите верзије СХА256 алгоритма распршивања у .НЕТ оквиру. Најбржи није достављен на валидацију, али би требао бити једнако сигуран. Дакле, омогућавање ФИПС режима ће или разбити .НЕТ апликације које користе ефикаснији алгоритам или их приморати да користе мање ефикасан алгоритам и буду спорије.
Осим ове две ствари, омогућавање ФИПС режима препоручује апликацијама да користе само ФИПС-валидирану енкрипцију. Али то не намеће ништа друго. Традиционалне Виндовс десктоп апликације могу да изаберу да имплементирају било који код за шифровање који желе - чак и ужасно рањиво шифровање - или уопште не шифрирају. ФИПС режим не ради ништа другим апликацијама осим ако не поштују ову поставку.
Како онемогућити ФИПС режим (или га омогућити, ако морате)
Не би требало да омогућите ову поставку, осим ако не користите државни рачунар и присиљени сте. Ако омогућите ову поставку, неке корисничке апликације могу заправо затражити да онемогућите ФИПС начин како би могли исправно функционирати.
Ако морате да омогућите или онемогућите ФИПС режим - можда сте видели поруку о грешци након што сте је омогућили, морате да тестирате како ће се ваш софтвер понашати на рачунару са омогућеним ФИПС режимом или да користите владин рачунар и да имате да то омогућите - можете то учинити на неколико начина. Режим ФИПС може да се омогући само када је повезан са одређеном мрежом или преко системског подешавања које ће се увек примењивати.
Да бисте омогућили ФИПС режим само када сте повезани са одређеном мрежом, извршите следеће кораке:
- Отворите прозор Контролна табла.
- Кликните на „Прикажи статус мреже и задатке“ под ставком Мрежа и Интернет.
- Кликните на „Промени поставке адаптера“.
- Кликните десним тастером миша на мрежу коју желите да омогућите за ФИПС и изаберите "Статус".
- Кликните на дугме „Вирелесс Пропертиес“ (Бежичне карактеристике) у прозору Ви-Фи статуса.
- Кликните на картицу „Безбедност“ у прозору мрежних својстава.
- Кликните на дугме „Напредна подешавања“.
- Пребаците опцију „Омогући савезне стандарде обраде информација (ФИПС) за ову мрежу“ под 802.11 подешавањима.
Ова поставка се такође може променити на нивоу система у уређивачу смерница групе. Овај алат је доступан само на верзијама Виндовс, а не Хоме, у верзијама Профессионал, Ентерприсе и Едуцатион. Уређивач локалних смерница за групе можете да користите само да бисте променили овај алат ако сте на рачунару који није придружен домену који управља поставкама смерница групе за вас. Ако је рачунар повезан са доменом, а поставке групних правила управља ваша организација, нећете моћи сами да их промените. Да бисте променили ову поставку у смерницама групе:
- Притисните Виндовс Кеи + Р да бисте отворили дијалог Рун.
- Укуцајте “гпедит.мсц” у дијалошки оквир Рун (без наводника) и притисните Ентер.
- Идите на “Конфигурација рачунара Виндовс поставке безбедносних подешавања Локалне политике безбедносне опције” у уређивачу смерница групе.
- Лоцирајте “Системска криптографија: користите исправне алгоритме за шифровање, хешовање и потписивање” у десном окну и двапут кликните.
- Поставите поставку на "Дисаблед" и кликните на "ОК".
- Поново покрените рачунар.
На кућним верзијама оперативног система Виндовс и даље можете да омогућите или онемогућите ФИПС подешавање преко поставке регистратора. Да бисте проверили да ли је ФИПС омогућен или онемогућен у регистру, следите следеће кораке:
- Притисните Виндовс Кеи + Р да бисте отворили дијалог Рун.
- Укуцајте “регедит” у дијалог Рун (без наводника) и притисните Ентер.
- Навигација до “ХКЕИ_ЛОЦАЛ_МАЦХИНЕ Систем ЦуррентЦонтролСет Контрола Лса ФипсАлгоритхмПолици” \ т.
- Погледајте “Енаблед” вредност у десном окну. Ако је подешено на „0“, ФИПС режим је онемогућен. Ако је подешено на „1“, ФИПС режим је омогућен. Да бисте променили поставку, двапут кликните на вредност „Енаблед“ и подесите је на „0“ или „1“.
- Поново покрените рачунар.
Захваљујући @СвифтОнСецурити на Твиттеру за инспирацију за овај пост!