Perché non si dovrebbe abilitare la crittografia FIPS-compliant su Windows

Windows ha un'impostazione nascosta che abiliterà solo la crittografia "conforme ai FIPS" certificata dal governo. Potrebbe sembrare un modo per aumentare la sicurezza del PC, ma non lo è. Non dovresti abilitare questa impostazione a meno che non lavori nel governo o devi testare come si comporterà il software sui PC governativi.

Questo tweak si adatta perfettamente ad altri inutili miti di Windows. Se ti sei imbattuto in questa impostazione in Windows o se ne hai accennato altrove, non abilitarlo. Se l'hai già abilitato senza una buona ragione, usa i passaggi sottostanti per disabilitare "Modalità FIPS".

Cos'è la crittografia conforme a FIPS?

FIPS è l'acronimo di "Federal Information Processing Standards". È un insieme di standard governativi che definiscono il modo in cui determinate cose vengono utilizzate nel governo, ad esempio gli algoritmi di crittografia. FIPS definisce determinati metodi di crittografia specifici che possono essere utilizzati, nonché metodi per generare chiavi di crittografia. È pubblicato dal National Institute of Standards and Technology, o NIST.

L'impostazione in Windows è conforme allo standard FIPS 140 del governo degli Stati Uniti. Quando è abilitato, obbliga Windows a utilizzare solo schemi di crittografia convalidati da FIPS e consiglia anche alle applicazioni di farlo.

"Modalità FIPS" non rende Windows più sicuro. Blocca semplicemente l'accesso a schemi di crittografia più recenti che non sono stati convalidati da FIPS. Ciò significa che non sarà in grado di utilizzare nuovi schemi di crittografia o modi più veloci di utilizzare gli stessi schemi di crittografia. In altre parole, rende il computer più lento, meno funzionale e discutibilmente Di meno sicuro.

Come funziona Windows in modo diverso se si attiva questa impostazione

Microsoft spiega che cosa fa questa impostazione in un post del blog intitolato "Perché non stiamo raccomandando" Modalità FIPS "Anymore". Microsoft consiglia di utilizzare la modalità FIPS solo se necessario. Ad esempio, se si utilizza un computer del governo degli Stati Uniti, si suppone che il computer abbia la "modalità FIPS" abilitata in base ai regolamenti del governo stesso. Non esiste un vero caso in cui si desideri abilitarlo sul proprio personal computer, a meno che non si stia verificando il comportamento del software nei computer dei governi degli Stati Uniti con questa impostazione abilitata.

Questa impostazione fa due cose su Windows stesso. Costringe i servizi Windows e Windows a utilizzare solo la crittografia convalidata da FIPS. Ad esempio, il servizio Schannel integrato in Windows non funzionerà con i precedenti protocolli SSL 2.0 e 3.0 e richiederà almeno TLS 1.0 anziché.

Il framework .NET di Microsoft bloccherà anche l'accesso ad algoritmi che non sono convalidati da FIPS. Il framework .NET offre diversi algoritmi per la maggior parte degli algoritmi di crittografia e non tutti sono stati inviati per la convalida. Ad esempio, Microsoft nota che ci sono tre diverse versioni dell'algoritmo di hash SHA256 nel framework .NET. Il più veloce non è stato presentato per la convalida, ma dovrebbe essere altrettanto sicuro. Quindi, abilitando la modalità FIPS, si interromperanno le applicazioni .NET che utilizzano l'algoritmo più efficiente o le obbligheranno a utilizzare l'algoritmo meno efficiente e saranno più lente.

Oltre a questi due aspetti, la modalità FIPS consente alle applicazioni di utilizzare solo la crittografia convalidata da FIPS. Ma non costringe altro. Le tradizionali applicazioni desktop di Windows possono scegliere di implementare qualsiasi codice di crittografia che desiderano, anche crittografia orribilmente vulnerabile o nessuna crittografia. La modalità FIPS non fa nulla ad altre applicazioni a meno che non obbediscano a questa impostazione.

Come disabilitare la modalità FIPS (o abilitarla, se necessario)

Non dovresti abilitare questa impostazione a meno che tu non stia usando un computer governativo e sia obbligato a farlo. Se abiliti questa impostazione, alcune applicazioni consumer potrebbero chiederti di disabilitare la modalità FIPS in modo che possano funzionare correttamente.

Se hai bisogno di abilitare o disabilitare la modalità FIPS, forse hai visto un messaggio di errore dopo averlo abilitato, devi testare il comportamento del tuo software su un computer con la modalità FIPS abilitata, oppure stai utilizzando un computer governativo e per abilitarlo, puoi farlo in diversi modi. La modalità FIPS può essere abilitata solo se collegata a una rete specifica o tramite un'impostazione a livello di sistema che verrà sempre applicata.

Per abilitare la modalità FIPS solo quando si è connessi a una rete specifica, effettuare le seguenti operazioni:

1. Apri la finestra del pannello di controllo.
2. Fai clic su "Visualizza stato della rete e attività" in Rete e Internet.
3. Fai clic su "Modifica impostazioni adattatore".
4. Fare clic con il pulsante destro del mouse sulla rete per cui si desidera abilitare FIPS e selezionare "Stato".
5. Fare clic sul pulsante "Proprietà wireless" nella finestra Stato Wi-Fi.
6. Fare clic sulla scheda "Protezione" nella finestra delle proprietà di rete.
7. Fai clic sul pulsante "Impostazioni avanzate".
8. Attiva o disattiva l'opzione "Abilita conformità normativa FIPS (Federal Information Processing Standards) per questa rete" nelle impostazioni 802.11.

Questa impostazione può anche essere modificata a livello di sistema nell'editor dei criteri di gruppo. Questo strumento è disponibile solo nelle versioni Professional, Enterprise e Education di Windows, non nelle versioni Home. È possibile utilizzare l'editor dei criteri di gruppo locale solo per modificare questo strumento se ci si trova su un computer non collegato a un dominio che gestisce le impostazioni dei criteri di gruppo del computer. Se il tuo computer è collegato a un dominio e le impostazioni dei criteri di gruppo sono gestite centralmente dalla tua organizzazione, non sarai in grado di modificarlo da solo. Per modificare questa impostazione in Criteri di gruppo:

1. Premi il tasto Windows + R per aprire la finestra di dialogo Esegui.
2. Digitare "gpedit.msc" nella finestra di dialogo Esegui (senza virgolette) e premere Invio.
3. Passare a "Configurazione computer \ Impostazioni di Windows \ Impostazioni di protezione \ Criteri locali \ Opzioni di sicurezza" nell'Editor criteri di gruppo.
4. Individuare l'impostazione "Crittografia di sistema: Utilizza algoritmi FIPS per crittografia, hashing e firma" nel riquadro destro e fare doppio clic su di esso.
5. Impostare l'impostazione su "Disabilitato" e fare clic su "OK".
6. Riavvia il computer.

Nelle versioni Home di Windows, è comunque possibile abilitare o disabilitare l'impostazione FIPS tramite un'impostazione del Registro di sistema. Per verificare se FIPS è abilitato o disabilitato nel registro, attenersi alla seguente procedura:

1. Premi il tasto Windows + R per aprire la finestra di dialogo Esegui.
2. Digitare "regedit" nella finestra di dialogo Esegui (senza virgolette) e premere Invio.
3. Passare a "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Guarda il valore "Abilitato" nel riquadro di destra. Se è impostato su "0", la modalità FIPS è disabilitata. Se è impostato su "1", la modalità FIPS è abilitata. Per modificare l'impostazione, fai doppio clic sul valore "Abilitato" e impostalo su "0" o "1".
5. Riavvia il computer.

Grazie a @SwiftOnSecurity su Twitter per aver ispirato questo post!