Почему вы не должны включать FIPS-совместимое шифрование в Windows

В Windows есть скрытый параметр, который включает только сертифицированное правительством «FIPS-совместимое» шифрование. Это может звучать как способ повысить безопасность вашего ПК, но это не так. Вам не следует включать этот параметр, если вы не работаете в правительстве или не хотите проверить, как программное обеспечение будет работать на государственных ПК.

Этот твик отлично сочетается с другими бесполезными мифами о настройке Windows. Если вы наткнулись на этот параметр в Windows или видели, что он упоминался в другом месте, не включайте его. Если вы уже включили его без уважительной причины, выполните следующие действия, чтобы отключить «Режим FIPS»..

Что такое FIPS-совместимое шифрование?

FIPS расшифровывается как «Федеральные стандарты обработки информации». Это набор государственных стандартов, которые определяют, как определенные вещи используются в правительстве, например, алгоритмы шифрования. FIPS определяет определенные конкретные методы шифрования, которые можно использовать, а также методы генерации ключей шифрования. Он публикуется Национальным институтом стандартов и технологий или NIST.

Настройка в Windows соответствует стандарту FIPS 140 правительства США. Когда он включен, он заставляет Windows использовать только схемы шифрования, проверенные FIPS, и рекомендует приложениям также.

«Режим FIPS» не делает Windows более безопасной. Он просто блокирует доступ к новым схемам криптографии, которые не прошли FIPS-проверку. Это означает, что он не сможет использовать новые схемы шифрования или более быстрые способы использования тех же схем шифрования. Другими словами, это делает ваш компьютер медленнее, менее функциональным и, возможно, Меньше безопасный.

Как Windows ведет себя по-другому, если вы включите этот параметр

Microsoft объясняет, что на самом деле делает этот параметр, в своем блоге, озаглавленном «Почему мы больше не рекомендуем« режим FIPS ».» Microsoft рекомендует использовать режим FIPS только в случае необходимости. Например, если вы используете компьютер правительства США, на этом компьютере должен быть включен «режим FIPS» в соответствии с собственными нормативными актами правительства. Нет реального случая, когда вы захотите включить это на своем персональном компьютере, если только вы не тестировали поведение своего программного обеспечения на компьютерах правительства США с включенным этим параметром..

Этот параметр делает две вещи для самой Windows. Это заставляет службы Windows и Windows использовать только проверенную FIPS криптографию. Например, служба Schannel, встроенная в Windows, не будет работать со старыми протоколами SSL 2.0 и 3.0, и вместо этого потребуется как минимум TLS 1.0.

Microsoft .NET Framework также будет блокировать доступ к алгоритмам, не прошедшим FIPS-проверку. .NET Framework предлагает несколько различных алгоритмов для большинства алгоритмов криптографии, и не все из них даже были представлены для проверки. В качестве примера Microsoft отмечает, что в .NET Framework есть три разные версии алгоритма хеширования SHA256. Самый быстрый из них не был представлен для проверки, но должен быть таким же безопасным. Таким образом, включение режима FIPS приведет к поломке приложений .NET, которые используют более эффективный алгоритм, или заставит их использовать менее эффективный алгоритм и будет медленнее..

Помимо этих двух вещей, включение режима FIPS рекомендует приложениям использовать только проверенное шифрование FIPS. Но это не заставляет больше ничего. Традиционные настольные приложения Windows могут выбрать любой код шифрования, какой пожелают, даже ужасно уязвимое, или вообще не шифровать. Режим FIPS ничего не делает с другими приложениями, если они не подчиняются этому параметру.

Как отключить режим FIPS (или включить его, если нужно)

Вам не следует включать этот параметр, если вы не используете государственный компьютер и не обязаны это делать. Если вы включите этот параметр, некоторые потребительские приложения могут фактически попросить вас отключить режим FIPS, чтобы они могли нормально работать.

Если вам нужно включить или отключить режим FIPS - возможно, вы увидели сообщение об ошибке после его включения, вам нужно проверить, как ваше программное обеспечение будет работать на компьютере с включенным режимом FIPS, или вы используете правительственный компьютер и имеете чтобы включить его - вы можете сделать это несколькими способами. Режим FIPS можно включить только при подключении к определенной сети или через общесистемный параметр, который всегда будет применяться.

Чтобы включить режим FIPS только при подключении к определенной сети, выполните следующие действия:

1. Откройте окно панели управления.
2. Нажмите «Просмотр состояния сети и задач» в разделе «Сеть и Интернет»..
3. Нажмите «Изменить настройки адаптера».
4. Щелкните правой кнопкой мыши сеть, для которой вы хотите включить FIPS, и выберите «Статус».
5. Нажмите кнопку «Свойства беспроводной сети» в окне статуса Wi-Fi..
6. Перейдите на вкладку «Безопасность» в окне свойств сети..
7. Нажмите кнопку «Дополнительные настройки».
8. Установите флажок «Включить соответствие федеральным стандартам обработки информации (FIPS) для этой сети» в настройках 802.11.

Этот параметр также можно изменить в масштабе всей системы в редакторе групповой политики. Этот инструмент доступен только в Профессиональной, Корпоративной и Образовательной версиях Windows-not Home. Вы можете использовать редактор локальной групповой политики только для изменения этого инструмента, если вы находитесь на компьютере, который не присоединен к домену, который управляет параметрами групповой политики вашего компьютера для вас. Если ваш компьютер присоединен к домену и параметры групповой политики централизованно управляются вашей организацией, вы не сможете изменить его самостоятельно. Чтобы изменить этот параметр в групповой политике:

1. Нажмите клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить».
2. Введите «gpedit.msc» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
3. Перейдите к «Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности» в редакторе групповой политики..
4. Найдите параметр «Системная криптография: используйте FIPS-совместимые алгоритмы для шифрования, хэширования и подписи» на правой панели и дважды щелкните его.
5. Установите параметр «Отключено» и нажмите «ОК».
6. Перезагрузите компьютер.

В домашних версиях Windows вы все равно можете включить или отключить параметр FIPS через параметр реестра. Чтобы проверить, включен или выключен FIPS в реестре, выполните следующие действия:

1. Нажмите клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить».
2. Введите «regedit» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
3. Перейдите к «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \».
4. Посмотрите на значение «Включено» на правой панели. Если установлено значение «0», режим FIPS отключен. Если установлено значение «1», режим FIPS включен. Чтобы изменить настройку, дважды щелкните значение «Включено» и установите для него значение «0» или «1»..
5. Перезагрузите компьютер.

Спасибо @SwiftOnSecurity в Твиттере за вдохновение в этот пост!