Soulad se standardem FIPS v nástroji Dell Encryption

Klíč registru lze upravit tak, aby vybíral konkrétní cryptoprovider a metody kryptologie k úpravě kryptografické knihovny, kterou používá agent Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Soubory protokolu nástroje Dell Encryption generují v souboru CMGshield.log řádky, které označují režim, ve kterém zprostředkovatelé kryptografických služeb pracují (výchozí umístění C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Řádek označující poskytovatele, který se načítá, je reprezentován:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Za tímto řádkem je napsán další řádek s popisem hodnoty, která byla spotřebována v registru:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Pokud jsou příznaky Intel IPP zakázány nebo nejsou přítomny, nástroj Dell Encryption provádí kryptografické operace voláním kryptografické knihovny ověřené standardem FIPS společnosti Dell (pracující v režimu FIPS).

Když jsou povoleny příznaky Intel IPP, do knihoven ověřených standardem FIPS společnosti Dell se volají stejné kryptografické funkce, proces však pracuje v aplikaci v režimu bez FIPS a operace šifrování používají knihovnu Intel IPP pro lepší výkon.

Chcete-li vybrat provozní režim, upravte (nebo vytvořte) klíč registru:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Správci mohou ověřit nastavení po nastavení tohoto registru po restartování pomocí souboru CMGShield.log:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Starší poskytovatel kryptografických služeb Dell Encryption Credant’s CMGCrypto již není validován NIST, i když dřívější certifikační čísla jsou: 2156 a 2150

Klíč registru lze upravit tak, aby vybíral konkrétní cryptoprovider a metody kryptologie k úpravě kryptografické knihovny, kterou používá agent Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Soubory protokolu nástroje Dell Encryption generují v souboru DellCommon.log řádky, které označují režim, ve kterém zprostředkovatelé kryptografických služeb pracují (výchozí umístění C:\ProgramData\Dell\Dell Data Protection\).

Řádek označující poskytovatele, který se načítá, je reprezentován:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

Režim FIPS se spravuje pomocí knihoven FIPS společnosti Microsoft, které se označují jako BCrypt. Tyto možnosti lze povolit pomocí objektu zásad skupiny pro vzdáleně spravované počítače, což lze provést prostřednictvím konzole pro správu zásad skupiny v počítači s nainstalovanou sadou nástrojů pro vzdálenou správu systému (nachází se zde: https://support.microsoft.com/en-us/help/2693643)

Informace o implementaci ověřených knihoven FIPS společností Microsoft najdete zde: https://technet.microsoft.com/en-us/library/cc750357.aspx

Chcete-li se seznámit s certifikacemi FIPS pro kryptografické knihovny společnosti Microsoft, které využívá nástroj Full Disk Encryption nástroje Dell Encryption, přečtěte si NIST.gov odkazy:

• Certifikát úrovně 2 pro kryptografická primitiva: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Certifikát úrovně 2 pro kryptografické funkce jádra: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Vzdáleně spravovaná zařízení pomocí služby Active Directory

Povolení pomocí Konzole pro správu zásad skupiny (gpmc.msc):

Vyberte organizační jednotku, ve které je tato změna vyžadována.

Obrázek 1: (Pouze v angličtině) Správa zásad skupiny

1. Pojmenujte nový objekt zásad skupiny.

Obrázek 2: (Pouze v angličtině) Pojmenování objektu zásad skupiny

2. Klikněte pravým tlačítkem myši na nový objekt zásad skupiny a vyberte možnost Upravit.

Obrázek 3: (Pouze v angličtině) Úprava objektu zásad skupiny

3. Klikněte pravým tlačítkem na zásadu a vyberte vlastnosti, které chcete upravit.

Obrázek 4: (Pouze v angličtině) Výběr možnosti Vlastnosti.

4. Povolte možnost Definovat toto nastavení zásad a poté vyberte přepínač Povoleno .

Obrázek 5: (Pouze v angličtině) Povolte možnost Definovat toto nastavení zásad

5. Klikněte na tlačítko Použít.
6. Zavřete Editor pro správu zásad skupiny.

Jakmile jsou zařízení přidána do organizační skupiny nebo jakékoli podskupiny (s výjimkou skupin, které mají blokovanou dědičnost ), tento nový objekt Zásady skupiny se použije na tato zařízení jako aktualizace zásad skupiny počítačů. Výchozí nastavení této aktualizace je každé 2 hodiny nebo při restartování počítače.

Po použití této zásady a nastavení softwarového šifrování celého disku společnosti Dell na šifrování se zařízení zašifruje pomocí algoritmů společnosti Microsoft kompatibilních se standardem FIPS.

Místně spravovaná zařízení

Tyto možnosti lze také povolit místně pomocí místního Editoru zásad skupiny (gpedit.msc) nebo pomocí Editoru místních zásad zabezpečení (secpol.msc).

V místním Editoru zásad skupiny

Dotyčná zásada se nachází v části Konfigurace> počítače, Nastavení> systému Windows, Nastavení> zabezpečení , Místní zásady>, Možnosti zabezpečení. Název je Systémová kryptografie: K šifrování, hashování a podepisování používejte algoritmy kompatibilní se standardem FIPS.

1. Klikněte pravým tlačítkem na zásadu a vyberte vlastnosti, které chcete upravit.

Obrázek 6: (Pouze v angličtině) Vlastnosti zásady

2. Povolte možnost Definovat toto nastavení zásad a poté vyberte přepínač Povoleno .

Obrázek 7: (Pouze v angličtině) Povolte možnost Definovat toto nastavení zásad

3. Klikněte na tlačítko Použít.
4. Zavřete Editor pro správu zásad skupiny.

Tato nová zásada se vztahuje na tato zařízení, protože se aktualizují zásady počítače. Výchozí nastavení této aktualizace je každé 2 hodiny nebo při restartování počítače.

Po použití této zásady a nastavení softwarového šifrování celého disku společnosti Dell na šifrování se zařízení zašifruje pomocí algoritmů společnosti Microsoft kompatibilních se standardem FIPS.

V editoru místních zásad zabezpečení

Dotyčná zásada se nachází v části Nastavení> zabezpečení, Místní zásady>, Možnosti zabezpečení. Název je Systémová kryptografie: K šifrování, hashování a podepisování používejte algoritmy kompatibilní se standardem FIPS.

1. Klikněte pravým tlačítkem na zásadu a vyberte vlastnosti, které chcete upravit.

Obrázek 8: (Pouze v angličtině) Vlastnosti zásady

2. Povolte možnost Definovat toto nastavení zásad a poté vyberte přepínač Povoleno .

Obrázek 9: (Pouze v angličtině) Povolte možnost Definovat toto nastavení zásad

3. Klikněte na tlačítko Použít.
4. Zavřete Editor pro správu zásad skupiny.

Tato nová zásada se vztahuje na tato zařízení, protože se aktualizují zásady počítače. Výchozí nastavení této aktualizace je každé 2 hodiny nebo při restartování počítače.

Po použití této zásady a nastavení softwarového šifrování celého disku společnosti Dell na šifrování se zařízení zašifruje pomocí algoritmů společnosti Microsoft kompatibilních se standardem FIPS.

Povolit pomocí položky registru

Algoritmy Microsoftu kompatibilní se standardem FIPS je také možné povolit pomocí registru. Pokud chcete povolit knihovny kompatibilní se standardem FIPS, můžete upravit klíč registru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Při restartování se tato zásada projeví. Po použití této zásady a nastavení softwarového šifrování celého disku společnosti Dell na šifrování se zařízení zašifruje pomocí algoritmů společnosti Microsoft kompatibilních se standardem FIPS.