Conformité Dell Encryption FIPS

Une clé de registre peut être modifiée pour sélectionner un cryptoprovider et méthode de cryptologie avec, pour modifier la bibliothèque cryptographique utilisée par l’agent Dell Encryption :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Les fichiers journaux de Dell Encryption génèrent des lignes dans le fichier CMGshield.log pour indiquer le mode de fonctionnement des fournisseurs de chiffrement (emplacement par défaut : C :\ProgramData\Dell\Dell Data Protection\Encryption\).

Une ligne indiquant le fournisseur en cours de chargement est représentée par :

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Au-delà de cette ligne, une autre ligne est écrite décrivant la valeur qui a été consommée dans le registre :

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Si les balises Intel IPP sont désactivées ou absentes, Dell Encryption effectue des opérations cryptographiques en appelant la bibliothèque cryptographique validée par FIPS de Dell (fonctionnant en mode FIPS).

Lorsque les balises Intel IPP sont activées, les mêmes appels de fonction cryptographique sont effectués vers les bibliothèques validées FIPS de Dell, mais le processus fonctionne dans l’application en mode non FIPS, et les opérations de chiffrement utilisent la bibliothèque Intel IPP pour améliorer les performances.

Pour sélectionner le mode de fonctionnement, modifiez (ou créez) la clé de registre :

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Les administrateurs peuvent valider le paramètre après la définition de ce registre, après le redémarrage à l’aide du fichier CMGShield.log :

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

L’ancien fournisseur cryptographique de Dell Encryption Credant’s CMGCrypto n’est plus validée par le NIST, bien que les anciens numéros de certification soient les suivants : 2156 et 2150

Une clé de registre peut être modifiée pour sélectionner un cryptoprovider et méthode de cryptologie avec, pour modifier la bibliothèque cryptographique utilisée par l’agent Dell Encryption :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Les fichiers journaux de Dell Encryption génèrent des lignes dans le fichier DellCommon.log pour indiquer le mode de fonctionnement des fournisseurs de chiffrement (emplacement par défaut : C :\ProgramData\Dell\Dell Data Protection\).

Une ligne indiquant le fournisseur en cours de chargement est représentée par :

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

Le mode FIPS est géré à l’aide des bibliothèques FIPS de Microsoft, référencées comme BCrypt. Ces options peuvent être activées à l’aide d’un objet de stratégie de groupe pour les machines gérées à distance, ce qui peut être effectué via la console de gestion des stratégies de groupe sur un ordinateur sur lequel est installé le Remote System Administration Toolkit (disponible ici : https://support.microsoft.com/en-us/help/2693643)

Vous trouverez des informations sur l’implémentation par Microsoft des bibliothèques validées FIPS ici : https://technet.microsoft.com/en-us/library/cc750357.aspx

Pour passer en revue les certifications FIPS pour les bibliothèques cryptographiques de Microsoft utilisées par Full Disk Encryption de Dell Encryption, consultez les liens NIST.gov :

• Certificat de niveau 2 pour les primitives cryptographiques : https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Certificat de niveau 2 pour les fonctions cryptographiques du noyau : https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Appareils gérés à distance à l’aide d’Active Directory

Pour activer à l’aide de la console de gestion des stratégies de groupe (gpmc.msc) :

Sélectionnez l’unité organisationnelle dans laquelle cette modification est requise.

Figure 1 : (En anglais uniquement) Gestion des stratégies de groupe

1. Nommez le nouvel objet de stratégie de groupe.

Figure 2 : (En anglais uniquement) Nommez l’objet de stratégie de groupe

2. Cliquez avec le bouton droit de la souris sur le nouvel objet de stratégie de groupe et sélectionnez Modifier.

Figure 3 : (En anglais uniquement) Modifier l’objet de stratégie de groupe

3. Cliquez avec le bouton droit de la souris sur la politique et sélectionnez les propriétés à modifier.

Figure 4 : Sélectionner Properties (en anglais uniquement)

4. Activez l’option Define this policy setting, puis sélectionnez le bouton Radial Enabled .

Figure 5 : (En anglais uniquement) Activer le paramètre Define this policy

5. Cliquez sur Appliquer.
6. Fermez l’éditeur de gestion des stratégies de groupe.

Une fois que les appareils sont ajoutés au groupe organisationnel ou à un sous-groupe (à l’exception des groupes dont l’héritage est bloqué), ce nouvel objet de stratégie de groupe s’applique à ces appareils lors de la mise à jour de leurs politiques de groupe d’ordinateurs. Le paramètre par défaut pour cette mise à jour est toutes les 2 heures, ou au redémarrage de la machine.

Une fois cette règle appliquée, une fois que la fonctionnalité logicielle Full Disk Encryption de Dell est définie sur chiffrer, l’appareil est chiffré à l’aide des algorithmes conformes à la norme FIPS de Microsoft.

Périphériques gérés localement

Ces options peuvent également être activées localement via l’éditeur de stratégie de groupe local (gpedit.msc) ou via l’éditeur de stratégie de sécurité locale (secpol.msc).

Dans l’éditeur de stratégie de groupe local

La stratégie en question se trouve dans Configuration >de l’ordinateurParamètres Windows Paramètres>de sécurité Stratégies>>localesOptions de sécurité. Le titre est Cryptographie système : Utilisez des algorithmes conformes à la norme FIPS pour le chiffrement, le hachage et la signature.

1. Cliquez avec le bouton droit de la souris sur la politique et sélectionnez les propriétés à modifier.

Figure 6 : (En anglais uniquement) Propriétés de la règle

2. Activez l’option Define this policy setting, puis sélectionnez le bouton Radial Enabled .

Figure 7 : (En anglais uniquement) Activer le paramètre Define this policy

3. Cliquez sur Appliquer.
4. Fermez l’éditeur de gestion des stratégies de groupe.

Cette nouvelle règle s’applique à ces périphériques lors de la mise à jour des règles de leur machine. Le paramètre par défaut pour cette mise à jour est toutes les 2 heures, ou au redémarrage de la machine.

Une fois cette règle appliquée, une fois que la fonctionnalité logicielle Full Disk Encryption de Dell est définie sur chiffrer, l’appareil est chiffré à l’aide des algorithmes conformes à la norme FIPS de Microsoft.

Dans l’éditeur de politique de sécurité locale

La stratégie en question se trouve dans Paramètres >de sécuritéStratégies> locales Options de sécurité. Le titre est Cryptographie système : Utilisez des algorithmes conformes à la norme FIPS pour le chiffrement, le hachage et la signature.

1. Cliquez avec le bouton droit de la souris sur la politique et sélectionnez les propriétés à modifier.

Figure 8 : (En anglais uniquement) Propriétés de la politique

2. Activez l’option Define this policy setting, puis sélectionnez le bouton Radial Enabled .

Figure 9 : (En anglais uniquement) Activer le paramètre Define this policy

3. Cliquez sur Appliquer.
4. Fermez l’éditeur de gestion des stratégies de groupe.

Cette nouvelle règle s’applique à ces périphériques lors de la mise à jour des règles de leur machine. Le paramètre par défaut pour cette mise à jour est toutes les 2 heures, ou au redémarrage de la machine.

Une fois cette règle appliquée, une fois que la fonctionnalité logicielle Full Disk Encryption de Dell est définie sur chiffrer, l’appareil est chiffré à l’aide des algorithmes conformes à la norme FIPS de Microsoft.

Activer à l’aide d’une entrée de registre

Les algorithmes conformes à la norme FIPS de Microsoft peuvent également être activés à l’aide du registre. Pour activer les bibliothèques conformes à FIPS, vous pouvez modifier la clé de registre :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Lors du redémarrage, cette stratégie est définie comme effective. Une fois cette règle appliquée, une fois que la fonctionnalité logicielle Full Disk Encryption de Dell est définie sur chiffrer, l’appareil est chiffré à l’aide des algorithmes conformes à la norme FIPS de Microsoft.