Γιατί δεν πρέπει να ενεργοποιήσετε την κρυπτογράφηση συμβατό με FIPS στα Windows

Τα Windows έχουν κρυφή ρύθμιση που θα επιτρέπει μόνο κρυπτογράφηση με πιστοποίηση "FIPS-συμβατό". Μπορεί να ακούγεται σαν ένας τρόπος για να ενισχύσετε την ασφάλεια του υπολογιστή σας, αλλά δεν είναι. Δεν θα πρέπει να ενεργοποιήσετε αυτήν τη ρύθμιση εκτός αν εργάζεστε στην κυβέρνηση ή χρειάζεται να ελέγξετε τον τρόπο συμπεριφοράς του λογισμικού σε κυβερνητικούς υπολογιστές.

Αυτό το τσίμπημα ταιριάζει ακριβώς μαζί με άλλα άχρηστα Windows μύθους μικροαλλαγές. Αν έχετε σκόνταψει σε αυτήν τη ρύθμιση στα Windows ή το έχετε δει αλλού, μην το ενεργοποιήσετε. Εάν έχετε ήδη την ενεργοποιήσει χωρίς καλό λόγο, χρησιμοποιήστε τα παρακάτω βήματα για να απενεργοποιήσετε τη λειτουργία "FIPS".

Τι είναι η κρυπτογράφηση συμβατή με το FIPS?

Το FIPS σημαίνει "Ομοσπονδιακά πρότυπα επεξεργασίας πληροφοριών". Πρόκειται για ένα σύνολο κυβερνητικών προτύπων που καθορίζουν τον τρόπο με τον οποίο χρησιμοποιούνται ορισμένα πράγματα στην κυβέρνηση - για παράδειγμα, αλγόριθμοι κρυπτογράφησης. Το FIPS ορίζει ορισμένες συγκεκριμένες μεθόδους κρυπτογράφησης που μπορούν να χρησιμοποιηθούν, καθώς και μέθοδοι για τη δημιουργία κλειδιών κρυπτογράφησης. Δημοσιεύεται από το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας ή το NIST.

Η ρύθμιση στα Windows συμμορφώνεται με το πρότυπο FIPS 140 της κυβέρνησης των ΗΠΑ. Όταν είναι ενεργοποιημένη, υποχρεώνει τα Windows να χρησιμοποιούν μόνο επικυρωμένα συστήματα FIPS και συμβουλεύει τις εφαρμογές να το κάνουν.

Η λειτουργία "FIPS" δεν κάνει τα Windows ασφαλέστερα. Απλώς αποκλείει την πρόσβαση σε νεότερα κρυπτογραφικά σχήματα που δεν έχουν επικυρωθεί από το FIPS. Αυτό σημαίνει ότι δεν θα είναι σε θέση να χρησιμοποιήσει νέα προγράμματα κρυπτογράφησης ή ταχύτερους τρόπους χρήσης των ίδιων προγραμμάτων κρυπτογράφησης. Με άλλα λόγια, καθιστά τον υπολογιστή σας πιο αργό, λιγότερο λειτουργικό και αναμφισβήτητα πιο λιγο ασφαλής.

Πώς επηρεάζονται τα Windows διαφορετικά αν ενεργοποιήσετε αυτήν τη ρύθμιση

Η Microsoft εξηγεί τι ακριβώς κάνει αυτή η ρύθμιση σε μια δημοσίευση στο blog με τίτλο "Γιατί δεν συστήνουμε" το FIPS Mode "Anymore". Η Microsoft συνιστά μόνο να χρησιμοποιήσετε τη λειτουργία FIPS, αν χρειαστεί. Για παράδειγμα, εάν χρησιμοποιείτε υπολογιστή κυβερνήτη των Η.Π.Α., αυτός ο υπολογιστής πρέπει να έχει ενεργοποιημένη τη λειτουργία "FIPS" σύμφωνα με τους κανονισμούς της κυβέρνησης. Δεν υπάρχει πραγματική περίπτωση όπου θα θέλατε να το ενεργοποιήσετε στον δικό σας προσωπικό υπολογιστή - εκτός αν δοκιμάσατε πώς συμπεριφέρεται το λογισμικό σας σε κυβερνητικούς υπολογιστές των ΗΠΑ με αυτήν τη ρύθμιση ενεργοποιημένη.

Αυτή η ρύθμιση κάνει δύο πράγματα στα ίδια τα Windows. Αναγκάζει τις υπηρεσίες Windows και Windows να χρησιμοποιούν μόνο επικυρωμένη κρυπτογράφηση FIPS. Για παράδειγμα, η υπηρεσία Schannel ενσωματωμένη στα Windows δεν θα λειτουργήσει με παλαιότερα πρωτόκολλα SSL 2.0 και 3.0 και θα απαιτήσει τουλάχιστον TLS 1.0 αντί.

Το πλαίσιο .NET της Microsoft θα αποκλείει επίσης την πρόσβαση σε αλγόριθμους που δεν έχουν επικυρωθεί από το FIPS. Το .NET Framework προσφέρει πολλούς διαφορετικούς αλγόριθμους για τους περισσότερους αλγόριθμους κρυπτογράφησης και δεν έχουν υποβληθεί ακόμη και όλες για επικύρωση. Για παράδειγμα, η Microsoft σημειώνει ότι υπάρχουν τρεις διαφορετικές εκδόσεις του αλγόριθμου κατακερματισμού SHA256 στο πλαίσιο .NET. Η ταχύτερη δεν έχει υποβληθεί για επικύρωση, αλλά πρέπει να είναι εξίσου ασφαλής. Έτσι, ενεργοποιώντας τη λειτουργία FIPS είτε θα διακόψει τις εφαρμογές .NET που χρησιμοποιούν τον πιο αποδοτικό αλγόριθμο είτε θα τους αναγκάσουν να χρησιμοποιήσουν τον λιγότερο αποδοτικό αλγόριθμο και να είναι πιο αργά.

Εκτός από αυτά τα δύο πράγματα, η ενεργοποίηση του τρόπου λειτουργίας FIPS συνιστά στις εφαρμογές να χρησιμοποιούν μόνο επικυρωμένη κρυπτογράφηση FIPS. Αλλά δεν ισχύει τίποτα άλλο. Οι παραδοσιακές εφαρμογές επιφάνειας εργασίας των Windows μπορούν να επιλέξουν να εφαρμόσουν οποιονδήποτε κωδικό κρυπτογράφησης που επιθυμούν - ακόμη και τρομερά ευάλωτη κρυπτογράφηση - ή καθόλου κρυπτογράφηση. Η λειτουργία FIPS δεν κάνει τίποτα σε άλλες εφαρμογές, εκτός εάν τηρούν αυτή τη ρύθμιση.

Πώς να απενεργοποιήσετε τη λειτουργία FIPS (ή να την ενεργοποιήσετε, αν πρέπει)

Δεν θα πρέπει να ενεργοποιήσετε αυτήν τη ρύθμιση εκτός εάν χρησιμοποιείτε κυβερνητικό υπολογιστή και είστε αναγκασμένοι. Εάν ενεργοποιήσετε αυτήν τη ρύθμιση, κάποιες εφαρμογές καταναλωτών ενδέχεται να σας ζητήσουν να απενεργοποιήσετε τη λειτουργία FIPS, ώστε να μπορούν να λειτουργούν σωστά.

Αν χρειάζεται να ενεργοποιήσετε ή να απενεργοποιήσετε τη λειτουργία FIPS - ίσως έχετε δει ένα μήνυμα σφάλματος αφού την έχετε ενεργοποιήσει, πρέπει να ελέγξετε με ποιον τρόπο θα συμπεριφερθεί το λογισμικό σας σε έναν υπολογιστή με λειτουργία FIPS ή αν χρησιμοποιείτε κυβερνητικό υπολογιστή και έχετε για να το ενεργοποιήσετε - μπορείτε να το κάνετε με διάφορους τρόπους. Η λειτουργία FIPS μπορεί να ενεργοποιηθεί μόνο όταν είναι συνδεδεμένη σε ένα συγκεκριμένο δίκτυο ή μέσω μιας ρύθμισης σε όλο το σύστημα που θα ισχύει πάντα.

Για να ενεργοποιήσετε τη λειτουργία FIPS μόνο όταν είστε συνδεδεμένοι σε ένα συγκεκριμένο δίκτυο, ακολουθήστε τα παρακάτω βήματα:

1. Ανοίξτε το παράθυρο του πίνακα ελέγχου.
2. Κάντε κλικ στην επιλογή "Προβολή κατάστασης δικτύου και εργασιών" στο Δίκτυο και στο Internet.
3. Κάντε κλικ στην επιλογή "Αλλαγή ρυθμίσεων προσαρμογέα".
4. Κάντε δεξιό κλικ στο δίκτυο στο οποίο θέλετε να ενεργοποιήσετε το FIPS και επιλέξτε "Κατάσταση".
5. Κάντε κλικ στο κουμπί "Ιδιότητες ασύρματου δικτύου" στο παράθυρο Κατάσταση Wi-Fi.
6. Κάντε κλικ στην καρτέλα "Ασφάλεια" στο παράθυρο ιδιοτήτων δικτύου.
7. Κάντε κλικ στο κουμπί "Ρυθμίσεις για προχωρημένους".
8. Εναλλαγή της επιλογής "Ενεργοποίηση της συμμόρφωσης με τα πρότυπα της Διεθνούς Επεξεργασίας Πληροφοριών (FIPS) για αυτό το δίκτυο" στις ρυθμίσεις 802.11.

Αυτή η ρύθμιση μπορεί επίσης να αλλάξει σε όλο το σύστημα στον επεξεργαστή πολιτικής ομάδας. Αυτό το εργαλείο είναι διαθέσιμο μόνο σε εκδόσεις Επαγγελματικών, Επιχείρησης και Εκπαίδευσης των εκδόσεων Windows, όχι σε Home. Μπορείτε να χρησιμοποιήσετε τον τοπικό επεξεργαστή πολιτικής ομάδων για να αλλάξετε αυτό το εργαλείο εάν βρίσκεστε σε έναν υπολογιστή που δεν είναι συνδεδεμένος σε έναν τομέα ο οποίος διαχειρίζεται τις ρυθμίσεις πολιτικής ομάδας του υπολογιστή σας για εσάς. Εάν ο υπολογιστής σας είναι συνδεδεμένος σε έναν τομέα και οι ρυθμίσεις πολιτικής ομάδας ομαδοποιούνται από τον οργανισμό σας, δεν θα μπορείτε να το αλλάξετε μόνοι σας. Για να αλλάξετε αυτήν τη ρύθμιση στην Πολιτική ομάδας:

1. Πατήστε το πλήκτρο Windows + R για να ανοίξετε το παράθυρο διαλόγου Εκτέλεση.
2. Πληκτρολογήστε "gpedit.msc" στο παράθυρο διαλόγου "Εκτέλεση" (χωρίς τα εισαγωγικά) και πατήστε Enter.
3. Μεταβείτε στην ενότητα "Ρυθμίσεις υπολογιστή \ Ρυθμίσεις Windows \ Ρυθμίσεις ασφαλείας \ Τοπικές πολιτικές \ Επιλογές ασφαλείας" στον Επεξεργαστή πολιτικής ομάδας.
4. Εντοπίστε το "Κρυπτογραφία συστήματος: Χρησιμοποιήστε αλγόριθμους συμβατούς με FIPS για κρυπτογράφηση, αντιστοίχιση και υπογραφή" στο δεξί παράθυρο και κάντε διπλό κλικ.
5. Ορίστε τη ρύθμιση σε "Disabled" και κάντε κλικ στο "OK".
6. Κάντε επανεκκίνηση του υπολογιστή.

Στις αρχικές εκδόσεις των Windows, μπορείτε να ενεργοποιήσετε ή να απενεργοποιήσετε τη ρύθμιση FIPS μέσω μιας ρύθμισης μητρώου. Για να ελέγξετε αν το FIPS είναι ενεργοποιημένο ή απενεργοποιημένο στο μητρώο, ακολουθήστε τα παρακάτω βήματα:

1. Πατήστε το πλήκτρο Windows + R για να ανοίξετε το παράθυρο διαλόγου Εκτέλεση.
2. Πληκτρολογήστε "regedit" στο παράθυρο διαλόγου "Εκτέλεση" (χωρίς τα εισαγωγικά) και πατήστε Enter.
3. Μεταβείτε στην επιλογή "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Κοιτάξτε την τιμή "Enabled" στο δεξιό παράθυρο. Αν έχει οριστεί σε "0", η λειτουργία FIPS είναι απενεργοποιημένη. Αν έχει οριστεί σε "1", η λειτουργία FIPS είναι ενεργοποιημένη. Για να αλλάξετε τη ρύθμιση, κάντε διπλό κλικ στην τιμή "Enabled" και ορίστε την είτε στο "0" είτε στο "1".
5. Κάντε επανεκκίνηση του υπολογιστή.

Χάρη στην @SwiftOnSecurity στο Twitter για να εμπνεύσει αυτή τη θέση!