Warum Sie die FIPS-kompatible Verschlüsselung unter Windows nicht aktivieren sollten

Windows verfügt über eine verborgene Einstellung, die nur von der Regierung zertifizierte "FIPS-kompatible" Verschlüsselung ermöglicht. Das hört sich vielleicht nach einer Möglichkeit an, die Sicherheit Ihres PCs zu erhöhen, ist es aber nicht. Sie sollten diese Einstellung nicht aktivieren, es sei denn, Sie arbeiten in der Regierung oder müssen testen, wie sich die Software auf den Regierungs-PCs verhält.

Dieser Tweak passt direkt neben andere nutzlose Windows-Mythen. Wenn Sie über diese Einstellung in Windows gestolpert sind oder an anderer Stelle erwähnt haben, aktivieren Sie sie nicht. Wenn Sie es bereits ohne triftigen Grund aktiviert haben, deaktivieren Sie den FIPS-Modus wie folgt:.

Was ist FIPS-kompatible Verschlüsselung??

FIPS steht für "Federal Information Processing Standards" (Federal Information Processing Standards). Es ist eine Reihe von Regierungsstandards, die festlegen, wie bestimmte Dinge in der Regierung verwendet werden, beispielsweise Verschlüsselungsalgorithmen. FIPS definiert bestimmte bestimmte Verschlüsselungsmethoden, die verwendet werden können, sowie Methoden zum Erzeugen von Verschlüsselungsschlüsseln. Es wird vom National Institute of Standards and Technology (NIST) herausgegeben.

Die Einstellung in Windows entspricht dem US-amerikanischen FIPS 140-Standard. Wenn diese Option aktiviert ist, wird Windows dazu gezwungen, nur FIPS-validierte Verschlüsselungsschemata zu verwenden, und Anwendungen werden ebenfalls dazu aufgefordert.

Der "FIPS-Modus" macht Windows nicht sicherer. Es blockiert lediglich den Zugriff auf neuere Verschlüsselungsschemata, die nicht FIPS-validiert wurden. Das bedeutet, dass es nicht in der Lage ist, neue Verschlüsselungsschemas oder schnellere Methoden zur Verwendung derselben Verschlüsselungsschemas zu verwenden. Mit anderen Worten, es macht Ihren Computer langsamer, weniger funktionsfähig und unbestreitbar Weniger sichern.

Wie Windows sich anders verhält, wenn Sie diese Einstellung aktivieren

Was diese Einstellung tatsächlich bewirkt, erläutert Microsoft in einem Blogbeitrag mit dem Titel "Warum wir den" FIPS-Modus "nicht mehr empfehlen." Microsoft empfiehlt nur, den FIPS-Modus zu verwenden, wenn dies erforderlich ist. Wenn Sie beispielsweise einen Computer der US-Regierung verwenden, soll dieser Computer den "FIPS-Modus" gemäß den behördlichen Vorschriften aktiviert haben. Es gibt keinen konkreten Fall, in dem Sie dies auf Ihrem eigenen Computer aktivieren möchten - es sei denn, Sie haben getestet, wie sich Ihre Software auf Computern der US-Regierung verhält, wenn diese Einstellung aktiviert ist.

Diese Einstellung wirkt sich auf Windows zwei Dinge aus. Es zwingt Windows und Windows-Dienste, nur FIPS-validierte Kryptografie zu verwenden. Beispielsweise funktioniert der in Windows integrierte Schannel-Dienst nicht mit älteren SSL 2.0- und 3.0-Protokollen und erfordert stattdessen mindestens TLS 1.0.

Das .NET-Framework von Microsoft blockiert auch den Zugriff auf Algorithmen, die nicht FIPS-validiert sind. Das .NET-Framework bietet verschiedene Algorithmen für die meisten Kryptographiealgorithmen, von denen nicht alle zur Validierung eingereicht wurden. Microsoft stellt beispielsweise fest, dass es drei verschiedene Versionen des SHA256-Hash-Algorithmus im .NET-Framework gibt. Der schnellste wurde nicht zur Validierung eingereicht, sollte aber genauso sicher sein. Wenn Sie den FIPS-Modus aktivieren, werden .NET-Anwendungen, die den effizienteren Algorithmus verwenden, entweder beschädigt oder werden gezwungen, den weniger effizienten Algorithmus zu verwenden, und sind langsamer.

Abgesehen von diesen beiden Dingen empfiehlt das Aktivieren des FIPS-Modus den Anwendungen auch, nur die mit FIPS validierte Verschlüsselung zu verwenden. Aber es erzwingt nichts anderes. Herkömmliche Windows-Desktopanwendungen können beliebigen Verschlüsselungscode implementieren, den sie möchten - sogar eine äußerst anfällig anfällige Verschlüsselung - oder gar keine Verschlüsselung. Der FIPS-Modus wirkt sich nicht auf andere Anwendungen aus, es sei denn, sie entsprechen dieser Einstellung.

So deaktivieren Sie den FIPS-Modus (oder aktivieren Sie ihn gegebenenfalls)

Sie sollten diese Einstellung nur aktivieren, wenn Sie einen Regierungscomputer verwenden und dazu gezwungen werden. Wenn Sie diese Einstellung aktivieren, werden Sie möglicherweise von einigen Consumer-Anwendungen aufgefordert, den FIPS-Modus zu deaktivieren, damit sie ordnungsgemäß funktionieren.

Wenn Sie den FIPS-Modus aktivieren oder deaktivieren müssen. Möglicherweise haben Sie nach der Aktivierung eine Fehlermeldung erhalten. Sie müssen testen, wie sich Ihre Software auf einem Computer mit aktiviertem FIPS-Modus verhält, oder Sie verwenden einen Regierungscomputer Um es zu aktivieren, gibt es mehrere Möglichkeiten. Der FIPS-Modus kann nur aktiviert werden, wenn eine Verbindung zu einem bestimmten Netzwerk besteht, oder über eine systemweite Einstellung, die immer gilt.

Führen Sie die folgenden Schritte aus, um den FIPS-Modus nur bei Verbindung mit einem bestimmten Netzwerk zu aktivieren:

1. Öffnen Sie das Fenster der Systemsteuerung.
2. Klicken Sie unter Netzwerk und Internet auf "Netzwerkstatus und -aufgaben anzeigen".
3. Klicken Sie auf "Adaptereinstellungen ändern".
4. Klicken Sie mit der rechten Maustaste auf das Netzwerk, für das Sie FIPS aktivieren möchten, und wählen Sie "Status".
5. Klicken Sie im Wi-Fi-Statusfenster auf die Schaltfläche "Wireless Properties".
6. Klicken Sie im Netzwerkfenster auf die Registerkarte "Sicherheit".
7. Klicken Sie auf die Schaltfläche "Erweiterte Einstellungen".
8. Aktivieren Sie unter den 802.11-Einstellungen die Option "Aktivieren der Federal Information Processing Standards (FIPS) -Konformität für dieses Netzwerk".

Diese Einstellung kann auch systemweit im Gruppenrichtlinien-Editor geändert werden. Dieses Tool ist nur für die Professional-, Enterprise- und Education-Versionen von Windows-Home-Versionen verfügbar. Sie können den lokalen Gruppenrichtlinien-Editor nur verwenden, um dieses Tool zu ändern, wenn Sie sich auf einem Computer befinden, der keiner Domäne angehört, die die Gruppenrichtlinieneinstellungen Ihres Computers für Sie verwaltet. Wenn Ihr Computer einer Domäne angehört und die Gruppenrichtlinieneinstellungen zentral von Ihrer Organisation verwaltet werden, können Sie sie nicht selbst ändern. So ändern Sie diese Einstellung in den Gruppenrichtlinien:

1. Drücken Sie die Windows-Taste + R, um das Dialogfeld "Ausführen" zu öffnen.
2. Geben Sie "gpedit.msc" in das Dialogfeld "Ausführen" (ohne Anführungszeichen) ein und drücken Sie die Eingabetaste.
3. Navigieren Sie im Gruppenrichtlinien-Editor zu „Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Sicherheitsoptionen“.
4. Suchen Sie im rechten Bereich die Einstellung „Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung verwenden“ und doppelklicken Sie darauf.
5. Setzen Sie die Einstellung auf "Deaktiviert" und klicken Sie auf "OK".
6. Starte den Computer neu.

Unter Windows-Versionen können Sie die FIPS-Einstellung weiterhin über eine Registrierungseinstellung aktivieren oder deaktivieren. Gehen Sie folgendermaßen vor, um zu überprüfen, ob FIPS in der Registrierung aktiviert oder deaktiviert ist:

1. Drücken Sie die Windows-Taste + R, um das Dialogfeld "Ausführen" zu öffnen.
2. Geben Sie "regedit" in das Dialogfeld "Ausführen" (ohne Anführungszeichen) ein und drücken Sie die Eingabetaste.
3. Navigieren Sie zu "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \"..
4. Sehen Sie sich den Wert "Enabled" im rechten Bereich an. Bei der Einstellung „0“ ist der FIPS-Modus deaktiviert. Bei der Einstellung „1“ ist der FIPS-Modus aktiviert. Um die Einstellung zu ändern, doppelklicken Sie auf den Wert "Enabled" und setzen Sie ihn auf "0" oder "1"..
5. Starte den Computer neu.

Vielen Dank an @SwiftOnSecurity auf Twitter für die Inspiration dieses Beitrags!