Conformità FIPS di Dell Encryption

È possibile modificare una chiave del Registro di sistema per selezionare un cryptoprovider e metodo di crittografia con, per modificare la libreria crittografica utilizzata dall'agent Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

I file di registro di Dell Encryption generano righe all'interno del file CMGshield.log per indicare la modalità in cui operano i provider di crittografia (percorso predefinito C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Una riga che indica il provider che viene caricato è rappresentata da:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Oltre questa riga, viene scritta un'altra riga che descrive il valore utilizzato nel registro:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Se i flag Intel IPP sono disabilitati o non sono presenti, Dell Encryption esegue operazioni crittografiche richiamando la libreria crittografica convalidata FIPS di Dell (che opera in modalità FIPS).

Quando i flag Intel IPP sono abilitati, le stesse chiamate di funzione crittografica vengono effettuate alle librerie convalidate FIPS di Dell, ma il processo funziona all'interno dell'applicazione in modalità non FIPS e le operazioni di crittografia utilizzano la libreria Intel IPP per migliorare le prestazioni.

Per selezionare la modalità operativa, modificare (o creare) la chiave del Registro di sistema:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Gli amministratori possono convalidare l'impostazione dopo l'impostazione del registro, dopo il riavvio, utilizzando il file CMGShield.log:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Il provider di crittografia legacy di Dell Encryption Credant’s CMGCrypto non è più convalidato da NIST, anche se i numeri di certificazione precedenti sono: 2156 e 2150

È possibile modificare una chiave del Registro di sistema per selezionare un cryptoprovider e metodo di crittografia con, per modificare la libreria crittografica utilizzata dall'agent Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

I file di registro di Dell Encryption generano righe all'interno del file DellCommon.log per indicare la modalità in cui operano i provider di crittografia (percorso predefinito C:\ProgramData\Dell\Dell Data Protection\).

Una riga che indica il provider che viene caricato è rappresentata da:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

La modalità FIPS viene gestita utilizzando le librerie FIPS di Microsoft, indicate come BCrypt. Queste opzioni possono essere abilitate utilizzando un oggetto Criteri di gruppo per i computer gestiti in remoto, operazione che può essere eseguita tramite la console Gestione Criteri di gruppo in un computer in cui è installato il toolkit Amministrazione sistemi remota (disponibile qui: https://support.microsoft.com/en-us/help/2693643)

Informazioni sull'implementazione da parte di Microsoft delle librerie validate FIPS sono disponibili qui: https://technet.microsoft.com/en-us/library/cc750357.aspx

Per esaminare le certificazioni FIPS per le librerie crittografiche Microsoft utilizzate tramite Full Disk Encryption di Dell Encryption, consultare NIST.gov link:

• Certificato di livello 2 per primitive crittografiche: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Certificato di livello 2 per le funzioni crittografiche del kernel: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Dispositivi gestiti in remoto tramite Active Directory

Per abilitare l'utilizzo della Console Gestione Criteri di gruppo (gpmc.msc):

Selezionare l'unità organizzativa in cui è richiesta questa modifica.

Figura 1. (solo in inglese) Gestione Criteri di gruppo

1. Assegnare un nome al nuovo oggetto Criteri di gruppo.

Figura 2. (solo in inglese) Assegnare un nome all'oggetto Criteri di gruppo

2. Cliccare con il pulsante destro del mouse sul nuovo oggetto Criteri di gruppo e scegliere Modifica.

Figura 3. (solo in inglese) Modificare l'oggetto Criteri di gruppo

3. Cliccare con il pulsante destro del mouse sulla policy e selezionare le proprietà da modificare.

Figura 4. Selezione di Properties (solo in inglese)

4. Abilitare l'opzione Definisci l'impostazione della policy, quindi selezionare il pulsante di comando Abilitato .

Figura 5. (solo in inglese) Abilitare Definisci questa impostazione policy

5. Fare clic su Applica.
6. Chiudere l'Editor Gestione Criteri di gruppo.

Una volta aggiunti i dispositivi al gruppo organizzativo o a un sottogruppo (esclusi i gruppi con ereditarietà bloccata), il nuovo oggetto Criteri di gruppo si applica a tali dispositivi quando i relativi Criteri di gruppo computer vengono aggiornati. L'impostazione predefinita per questo aggiornamento è ogni 2 ore o al riavvio del computer.

Una volta applicato questo criterio, una volta impostata su crittografia Full Disk Encryption basata su software di Dell, il dispositivo viene crittografato sfruttando gli algoritmi conformi a FIPS di Microsoft.

Dispositivi gestiti localmente

Queste opzioni possono essere abilitate anche localmente tramite l'Editor Criteri di gruppo locale (gpedit.msc) o tramite l'editor dei criteri di protezione locale (secpol.msc).

Nell'Editor Criteri di gruppo locale

Il criterio in questione si trova in Configurazione computer,> Impostazioni di Windows>, Impostazioni di sicurezza, Criteri> locali, Opzioni> di sicurezza. Il titolo è System cryptography: Utilizzare algoritmi conformi a FIPS per la crittografia, l'hashing e la firma.

1. Cliccare con il pulsante destro del mouse sulla policy e selezionare le proprietà da modificare.

Figura 6. (solo in inglese) Proprietà della policy

2. Abilitare l'opzione Definisci l'impostazione della policy, quindi selezionare il pulsante di comando Abilitato .

Figura 7. (solo in inglese) Abilitare Definisci questa impostazione policy

3. Fare clic su Applica.
4. Chiudere l'Editor Gestione Criteri di gruppo.

Questo nuovo criterio si applica a tali dispositivi man mano che i criteri del computer vengono aggiornati. L'impostazione predefinita per questo aggiornamento è ogni 2 ore o al riavvio del computer.

Una volta applicato questo criterio, una volta impostata su crittografia Full Disk Encryption basata su software di Dell, il dispositivo viene crittografato sfruttando gli algoritmi conformi a FIPS di Microsoft.

Nell'editor dei criteri di protezione locali

Il criterio in questione si trova in Impostazioni di sicurezza>, Criteri> locali , Opzioni di protezione. Il titolo è System cryptography: Utilizzare algoritmi conformi a FIPS per la crittografia, l'hashing e la firma.

1. Cliccare con il pulsante destro del mouse sulla policy e selezionare le proprietà da modificare.

Figura 8. (solo in inglese) Proprietà dei criteri

2. Abilitare l'opzione Definisci l'impostazione della policy, quindi selezionare il pulsante di comando Abilitato .

Figura 9. (solo in inglese) Abilitare Definisci questa impostazione policy

3. Fare clic su Applica.
4. Chiudere l'Editor Gestione Criteri di gruppo.

Questo nuovo criterio si applica a tali dispositivi man mano che i criteri del computer vengono aggiornati. L'impostazione predefinita per questo aggiornamento è ogni 2 ore o al riavvio del computer.

Una volta applicato questo criterio, una volta impostata su crittografia Full Disk Encryption basata su software di Dell, il dispositivo viene crittografato sfruttando gli algoritmi conformi a FIPS di Microsoft.

Abilita tramite voce del Registro di sistema

Gli algoritmi conformi a FIPS di Microsoft possono essere abilitati anche utilizzando il Registro di sistema. Per abilitare librerie conformi a FIPS, è possibile modificare la chiave del Registro di sistema:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Al riavvio, questo criterio è attivo. Una volta applicato questo criterio, una volta impostata su crittografia Full Disk Encryption basata su software di Dell, il dispositivo viene crittografato sfruttando gli algoritmi conformi a FIPS di Microsoft.