Dell Encryption FIPSコンプライアンス

レジストリー キーを変更して、特定の cryptoprovider Dell Encryptionエージェントが使用する暗号ライブラリーを変更するには、暗号化の方法を使用します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryptionのログ ファイルは、暗号化プロバイダーが動作しているモード(C:\ProgramData\Dell\Dell Data Protection\Encryption\のデフォルトの場所)を示す行をCMGshield.logファイル内に生成します。

読み込まれているプロバイダーを示す行は、次のように表されます。

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

この行の先には、レジストリで使用された値の概要を示す別の行が書き込まれます。

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

インテルIPPフラグが無効になっているか存在しない場合、Dell EncryptionはDellのFIPS検証済み暗号ライブラリー(FIPSモードで動作)を呼び出して暗号操作を実行します。

インテル(R) IPP フラグを有効にすると、デルの FIPS 検証済みライブラリに対して同じ暗号関数呼び出しが行われますが、プロセスは非 FIPS モードでアプリケーション内で動作し、暗号化操作ではパフォーマンス向上のためにインテル(R) IPP ライブラリを使用します。

動作モードを選択するには、レジストリー キーを変更(または作成)します。

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

管理者は、このレジストリーを設定した後、再起動後にCMGShield.logファイルを使用して設定を検証できます。

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Dell Encryptionのレガシー暗号化プロバイダーである Credant’s CMGCrypto NISTによる検証は行われなくなりましたが、以前の認定番号は次のとおりです。2156および2150

レジストリー キーを変更して、特定の cryptoprovider Dell Encryptionエージェントが使用する暗号ライブラリーを変更するには、暗号化の方法を使用します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Dell Encryptionのログ ファイルは、暗号化プロバイダーが動作しているモード(C:\ProgramData\Dell\Dell Data Protection\のデフォルトの場所)を示す行をDellCommon.logファイル内に生成します。

読み込まれているプロバイダーを示す行は、次のように表されます。

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

FIPSモードは、MicrosoftのFIPSライブラリを使用して管理されます。 BCrypt」これらのオプションは、リモートで管理されているマシンのグループ ポリシー オブジェクトを使用して有効にできます。これは、Remote System Administration Toolkit がインストールされているコンピューター上のグループ ポリシー管理コンソールを使用して実行できます (次の場所にあります)。https://support.microsoft.com/en-us/help/2693643)

MicrosoftによるFIPS検証済みライブラリーの実装に関する情報については、https://technet.microsoft.com/en-us/library/cc750357.aspx を参照してください。

Dell Encryptionのフル ディスク暗号化で活用されているMicrosoftの暗号化ライブラリーのFIPS認定を確認するには、次のリンクを参照してください NIST.gov。

• 暗号化プリミティブのレベル2証明書: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• カーネル暗号化機能のレベル2証明書: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Active Directoryを使用したリモート管理デバイス

グループ ポリシー管理コンソール (gpmc.msc) を使用して有効にするには:

この変更が必要な組織単位を選択します。

図1: (英語のみ)グループ ポリシー管理

1. 新しいグループ ポリシー オブジェクトに名前を付けます。

図2：(英語のみ)グループ ポリシー オブジェクトに名前を付ける

2. 新しいグループ ポリシー オブジェクトを右クリックし、[ 編集]を選択します。

図3：(英語のみ)グループ ポリシー オブジェクトの編集

3. ポリシーを右クリックし、変更する プロパティ を選択します。

図4：（英語のみ）［Properties］の選択

4. [このポリシー設定を定義する] オプションを有効にし、[有効] ラジオ ボタンを選択します。

図5：(英語のみ)[このポリシー設定を定義する] を有効にします

5. [適用] をクリックします。
6. グループ ポリシー管理エディターを閉じます。

デバイスが組織グループまたはサブグループ( 継承 がブロックされているグループを除く)に追加されると、マシン グループ ポリシーの更新時に、この新しいグループ ポリシー オブジェクトがそれらのデバイスに適用されます。このアップデートのデフォルト設定は、2時間ごと、またはマシンの再起動時です。

このポリシーが適用されると、Dellのソフトウェアベースのフル ディスク暗号化が暗号化に設定されると、デバイスはMicrosoftのFIPS準拠アルゴリズムを使用して暗号化されます。

ローカルで管理されるデバイス

これらのオプションは、ローカル グループ ポリシー エディター (gpedit.msc) またはローカル セキュリティ ポリシー エディター (secpol.msc) を使用してローカルで有効にすることもできます。

ローカル グループ ポリシー エディターで、次の手順を実行します。

問題のポリシーは、[コンピューターの構成>]、[Windowsの設定]>、[セキュリティ設定>]、[ローカル ポリシー]>、[セキュリティ オプション]にあります。タイトルは 「System cryptography: 暗号化、ハッシュ、署名にFIPS準拠のアルゴリズムを使用します。

1. ポリシーを右クリックし、変更する プロパティ を選択します。

図6：(英語のみ)ポリシーのプロパティ

2. [このポリシー設定を定義する] オプションを有効にし、[有効] ラジオ ボタンを選択します。

図7：(英語のみ)[このポリシー設定を定義する] を有効にします

3. [適用] をクリックします。
4. グループ ポリシー管理エディターを閉じます。

この新しいポリシーは、マシンポリシーの更新時にこれらのデバイスに適用されます。このアップデートのデフォルト設定は、2時間ごと、またはマシンの再起動時です。

このポリシーが適用されると、Dellのソフトウェアベースのフル ディスク暗号化が暗号化に設定されると、デバイスはMicrosoftのFIPS準拠アルゴリズムを使用して暗号化されます。

ローカル セキュリティ ポリシー エディター

問題のポリシーは、 セキュリティ設定>ローカルポリシーセキュリティ>オプションにあります。タイトルは 「System cryptography: 暗号化、ハッシュ、署名にFIPS準拠のアルゴリズムを使用します。

1. ポリシーを右クリックし、変更する プロパティ を選択します。

図8：(英語のみ)ポリシーのプロパティ

2. [このポリシー設定を定義する] オプションを有効にし、[有効] ラジオ ボタンを選択します。

図9：(英語のみ)[このポリシー設定を定義する] を有効にします

3. [適用] をクリックします。
4. グループ ポリシー管理エディターを閉じます。

この新しいポリシーは、マシンポリシーの更新時にこれらのデバイスに適用されます。このアップデートのデフォルト設定は、2時間ごと、またはマシンの再起動時です。

このポリシーが適用されると、Dellのソフトウェアベースのフル ディスク暗号化が暗号化に設定されると、デバイスはMicrosoftのFIPS準拠アルゴリズムを使用して暗号化されます。

レジストリー エントリーを使用して有効にする

Microsoft の FIPS 準拠アルゴリズムは、レジストリを使用して有効にすることもできます。FIPS準拠のライブラリを有効にするには、レジストリー キーを変更します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

再起動時に、このポリシーが有効に設定されます。このポリシーが適用されると、Dellのソフトウェアベースのフル ディスク暗号化が暗号化に設定されると、デバイスはMicrosoftのFIPS準拠アルゴリズムを使用して暗号化されます。