Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Cumplimiento de FIPS de Dell Encryption

Summary: Los Estándares federales de procesamiento de información (FIPS) son un conjunto de reglas que describen métodos para la forma en que los algoritmos de cifrado manejan y procesan los datos en los terminales y a través de varios canales de comunicación. Dell Encryption aprovecha varias bibliotecas de cifrado, con los aspectos principales de cifrado controlados por una biblioteca criptográfica configurable. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Productos afectados:

  • Dell Encryption
  • Dell Data Protection | Encryption

En la versión 10.1.0, el software de Dell Encryption (anteriormente Dell Data Protection | Cifrado) El cifrado basado en políticas utiliza el módulo criptográfico RSA BSAFE validado por FIPS. Este nuevo proveedor criptográfico está habilitado de manera predeterminada en la actualización a Dell Encryption v10.1.0 o posterior si CSSStartFlags DWord no se completa previamente.

Este mismo cambio en los proveedores criptográficos se realizó para el cifrado de disco completo basado en software de Dell en Dell Encryption v10.3.0.

RSA BSAFE Crypto Module funciona en modo FIPS de manera predeterminada.

El certificado FIPS para el módulo criptográfico RSA BSAFE está disponible en NIST CMVP aquí:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

Cause

No corresponde

Resolution

Advertencia: El siguiente paso es una edición del registro de Windows:

Cifrado basado en políticas

Una clave de registro se puede modificar para seleccionar un cryptoprovider y método de criptología con, para modificar la biblioteca criptográfica que utiliza el agente de cifrado de Dell:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Los archivos de registro de Dell Encryption generan líneas dentro del archivo de CMGshield.log para indicar el modo en el que operan los proveedores de cifrado (ubicación predeterminada de C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Una línea que indica el proveedor que se está cargando está representada por:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Más allá de esta línea, se escribe otra línea que describe el valor que se consumió en el registro:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Nota: La modificación de CSSStartFlags requiere un reinicio del dispositivo para que surta efecto. Este valor de registro se consume si está presente durante el proceso de configuración, lo que significa que el cliente Dell Encryption respeta el valor de la clave de registro y aprovecha esa biblioteca criptográfica después de la actualización o instalación.

Si las marcas IPP de Intel están desactivadas o no están presentes, Dell Encryption realiza operaciones criptográficas llamando a la biblioteca criptográfica validada por FIPS de Dell (que funciona en modo FIPS).

Cuando las marcas de IPP de Intel están habilitadas, se realizan las mismas llamadas de función criptográfica a las bibliotecas validadas por FIPS de Dell, pero el proceso funciona dentro de la aplicación en modo no FIPS y las operaciones de cifrado utilizan la biblioteca de IPP de Intel para mejorar el rendimiento.

Para seleccionar el modo de operación, modifique (o cree) la clave de registro:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Los administradores pueden validar el ajuste después de configurar este registro después del reinicio mediante el archivo CMGShield.log:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Nota: Dell Encryption para Mac siempre procesa dentro de un modo validado por FIPS y no se requieren modificaciones por parte del administrador de Dell Encryption.

    El proveedor de productos criptográficos heredado de Dell Encryption Credant’s CMGCrypto El NIST ya no valida, aunque los números de certificación anteriores son los siguientes: 2156 y 2150

    Cifrado de disco completo basado en software

    Una clave de registro se puede modificar para seleccionar un cryptoprovider y método de criptología con, para modificar la biblioteca criptográfica que utiliza el agente de cifrado de Dell:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Los archivos de registro de Dell Encryption generan líneas dentro del archivo de DellCommon.log para indicar el modo en el que operan los proveedores de cifrado (ubicación predeterminada de C:\ProgramData\Dell\Dell Data Protection\).

    Una línea que indica el proveedor que se está cargando está representada por:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Nota: La modificación del registro de Enable_Provider requiere un reinicio del dispositivo para que surta efecto. Este valor de registro se consume si está presente durante el proceso de configuración, lo que significa que el cliente Dell Encryption respeta el valor de la clave de registro y aprovecha esa biblioteca criptográfica después de la actualización o instalación.

    El modo FIPS se administra mediante las bibliotecas FIPS de Microsoft, a las que se hace referencia como BCrypt. Estas opciones se pueden habilitar mediante un objeto de directiva de grupo para máquinas administradas de forma remota, lo que se puede hacer a través de la consola de administración de directivas de grupo en un equipo que tenga instalado el kit de herramientas de administración de sistemas remotos (que se encuentra aquí: https://support.microsoft.com/en-us/help/2693643) Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

    Puede encontrar información sobre la implementación de las bibliotecas validadas FIPS por parte de Microsoft aquí: https://technet.microsoft.com/en-us/library/cc750357.aspx Este hipervínculo lo redirige a un sitio web fuera de Dell Technologies.

    Para revisar las certificaciones FIPS para las bibliotecas criptográficas de Microsoft que aprovecha Full Disk Encryption de Dell Encryption, consulte NIST.gov enlaces:

    Dispositivos administrados de forma remota mediante Active Directory

    Para habilitar mediante la Consola de administración de políticas de grupo (gpmc.msc):

    Seleccione la unidad organizacional en la que se requiere este cambio.

    Nota: Dell recomienda probar y validar los cambios en los objetos de las políticas de grupo antes de aplicarlos a producción.

    Administración de políticas de grupo
    Figura 1: (Solo en inglés) Administración de políticas de grupo

    1. Asigne un nombre al nuevo objeto de política de grupo.

    Asigne un nombre al objeto de política de grupo
    Figura 2: (Solo en inglés) Asigne un nombre al objeto de política de grupo

    1. Haga clic con el botón secundario en el nuevo objeto de política de grupo y seleccione Editar.

    Editar el objeto de política de grupo
    Figura 3: (Solo en inglés) Editar el objeto de política de grupo

     
    Nota: La directiva en cuestión se encuentra en Configuración > del equipoDirectivas > , Configuración de Windows, Configuración > de seguridad, Directivas >> locales, Opciones de seguridad. El título es Criptografía del sistema: Utilice algoritmos compatibles con FIPS para el cifrado, el hash y la firma.
    1. Haga clic con el botón secundario en la política y seleccione las propiedades que desea modificar.

    Seleccione Propiedades.
    Figura 4: (Solo en inglés) Seleccione Properties

    1. Active la opción Definir esta configuración de directiva y, a continuación, seleccione el botón de opción Activado .

    Habilitar Definir esta configuración de política
    Figura 5: (Solo en inglés) Habilitar Definir esta configuración de política

    1. Haga clic en Aplicar.
    2. Cierre el Editor de administración de políticas de grupo.

    Una vez que los dispositivos se agregan al grupo organizativo o a cualquier subgrupo (sin incluir los grupos que tienen la herencia bloqueada), este nuevo objeto de política de grupo se aplica a esos dispositivos a medida que se actualizan sus políticas de grupo de máquinas. La configuración predeterminada para esta actualización es cada 2 horas o en el reinicio de la máquina.

    Una vez que se aplica esta política, una vez que el cifrado de disco completo basado en software de Dell se establece en cifrado, el dispositivo se cifra aprovechando los algoritmos compatibles con FIPS de Microsoft.

    Dispositivos administrados localmente

    Estas opciones también se pueden habilitar localmente a través del editor de políticas de grupo local (gpedit.msc) o a través del editor de políticas de seguridad local (secpol.msc).

    En el Editor de políticas de grupo local

    La directiva en cuestión se encuentra en Configuración del equipo, Ajustes>de Windows,>Ajustes de seguridad, Directivas>>locales, Opciones de seguridad. El título es Criptografía del sistema: Utilice algoritmos compatibles con FIPS para el cifrado, el hash y la firma.

    1. Haga clic con el botón secundario en la política y seleccione las propiedades que desea modificar.

    Propiedades de la política
    Figura 6: (Solo en inglés) Propiedades de la política

    1. Active la opción Definir esta configuración de directiva y, a continuación, seleccione el botón de opción Activado .

    Habilitar Definir esta configuración de política
    Figura 7: (Solo en inglés) Habilitar Definir esta configuración de política

    1. Haga clic en Aplicar.
    2. Cierre el Editor de administración de políticas de grupo.

    Esta nueva política se aplica a esos dispositivos a medida que se actualizan las políticas de máquina. La configuración predeterminada para esta actualización es cada 2 horas o en el reinicio de la máquina.

    Una vez que se aplica esta política, una vez que el cifrado de disco completo basado en software de Dell se establece en cifrado, el dispositivo se cifra aprovechando los algoritmos compatibles con FIPS de Microsoft.

    En el editor de políticas de seguridad local

    La política en cuestión se encuentra en Security Settings>Local Policies>Security Options. El título es Criptografía del sistema: Utilice algoritmos compatibles con FIPS para el cifrado, el hash y la firma.

    1. Haga clic con el botón secundario en la política y seleccione las propiedades que desea modificar.

    Propiedades de la política
    Figura 8: (Solo en inglés) Propiedades de la política

    1. Active la opción Definir esta configuración de directiva y, a continuación, seleccione el botón de opción Activado .

    Habilitar Definir esta configuración de política
    Figura 9: (Solo en inglés) Habilitar Definir esta configuración de política

    1. Haga clic en Aplicar.
    2. Cierre el Editor de administración de políticas de grupo.

    Esta nueva política se aplica a esos dispositivos a medida que se actualizan las políticas de máquina. La configuración predeterminada para esta actualización es cada 2 horas o en el reinicio de la máquina.

    Una vez que se aplica esta política, una vez que el cifrado de disco completo basado en software de Dell se establece en cifrado, el dispositivo se cifra aprovechando los algoritmos compatibles con FIPS de Microsoft.

    Habilitar mediante la entrada del registro

    Los algoritmos compatibles con FIPS de Microsoft también se pueden habilitar mediante el registro. Para habilitar las bibliotecas compatibles con FIPS, puede modificar la clave de registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Tras el reinicio, esta política se establece en vigor. Una vez que se aplica esta política, una vez que el cifrado de disco completo basado en software de Dell se establece en cifrado, el dispositivo se cifra aprovechando los algoritmos compatibles con FIPS de Microsoft.


    Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
    Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
    Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.