Dell Encryption FIPS Uyumluluğu
Summary: Federal Bilgi İşleme Standartları (FIPS), verilerin uç noktalarda ve çeşitli iletişim kanallarında şifreleme algoritmaları tarafından nasıl işlendiğine ve işlendiğine ilişkin yöntemleri özetleyen bir kural setidir. Dell Encryption, yapılandırılabilir bir şifreleme kitaplığı tarafından kontrol edilen temel şifreleme özellikleriyle birden fazla şifreleme kitaplığından yararlanır. ...
This article applies to
This article does not apply to
Symptoms
Etkilenen Ürünler:
- Dell Encryption
- Dell Data Protection | Encryption
v10.1.0 sürümünde Dell Encryption'ın (eski adıyla Dell Data Protection | Şifreleme) İlke tabanlı şifreleme, FIPS onaylı şifreleme modülüRSA BSAFE Şifreleme Modülünü kullanır. Bu yeni şifreleme sağlayıcısı, Dell Encryption v10.1.0 veya daha sonraki bir sürüme yükseltme yapıldığında CSSStartFlags DWord önceden doldurulmamış.
Şifreleme sağlayıcılarındaki aynı değişiklik, Dell Encryption v10.3.0'daki Dell in Yazılım Tabanlı Tam Disk Şifrelemesi için de yapılmıştır.
RSA BSAFE Şifreleme Modülü , varsayılan olarak FIPS modunda çalışır.
RSA BSAFE Şifreleme Modülü için FIPS sertifikası NIST CMVP'de şu adreste mevcuttur:
https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409
Cause
Geçerli Değil
Resolution
Uyarı: Bir sonraki adım, bir Windows Kayıt Defteri düzenlemesidir:
- Devam etmeden önce Kayıt Defterini yedekleyin; How to Back Up and Restore the Registry in Windows (Windows'da Kayıt Defterini Yedekleme ve Geri Yükleme)
adlı sayfaya başvurun.
- Kayıt Defterini düzenlemek, bilgisayarın bir sonraki yeniden başlatmada yanıt vermemesine neden olabilir.
- Bu adımı gerçekleştirme konusunda endişeleriniz varsa yardım için Dell Data Security Uluslararası Destek Telefon Numaraları ile iletişime geçin.
Politika Tabanlı Şifreleme
Belirli bir seçmek için bir kayıt defteri anahtarı değiştirilebilir cryptoprovider ve ile şifreleme yöntemi, Dell Encryption aracısının kullandığı Şifreleme kitaplığını değiştirmek için:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE DWORD: CssStartFlags Various "Flags" can be set, with the options being: 0x80000000 BSAFE 0x80000010 BSAFE with reduced key security for higher performance 0x40000000 BCrypt 0x40000010 BCrypt with reduced key security for higher performance 0x20000000 CmgCrypt Non-Fips 0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance 0x20000002 CmgCrypt FIPS
Dell Encryption'ın günlük dosyaları, şifreleme sağlayıcılarının çalıştığı modu belirtmek için CMGshield.log dosyası içinde satırlar oluşturur (Varsayılan konum: C:\ProgramData\Dell\Dell Data Protection\Encryption\).
Yüklenmekte olan sağlayıcıyı gösteren bir satır şu şekilde temsil edilir:
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption CffeEncrypterStartup -- Configuring MS BCRYPT Encryption CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x
Bu satırın ötesinde, kayıt defterinde tüketilen değeri özetleyen başka bir satır yazılır:
CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Not: CSSStartFlags'i değiştirmek, etkili olması için cihazın yeniden başlatılmasını gerektirir. Bu kayıt defteri değeri, kurulum işlemi sırasında mevcutsa tüketilir; yani Dell Encryption istemcisi, kayıt defteri anahtarının değerini dikkate alır ve yükseltme veya yükleme sonrasında bu şifreleme kitaplığından yararlanır.
Intel IPP bayrakları devre dışıysa veya mevcut değilse Dell Encryption, Dell'in FIPS onaylı şifreleme kitaplığını (FIPS modunda çalışan) arayarak şifreleme işlemleri gerçekleştirir.
Intel IPP Bayrakları etkinleştirildiğinde, Dell'in FIPS onaylı kitaplıklarına aynı şifreleme işlevi çağrıları yapılır ancak işlem, uygulama içinde FIPS olmayan modda çalışır ve şifreleme işlemleri gelişmiş performans için Intel IPP kitaplığını kullanır.
İşlem modunu seçmek için kayıt defteri anahtarını değiştirin (veya oluşturun):
HKLM\System\CurrentControlSet\Services\CmgShieldFFE DWORD: UseIPPFlags Value: 0 or 2 (decimal) 0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode 2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.
Yöneticiler, bu kayıt defteri ayarlandıktan sonra, yeniden başlatma sonrasında CMGShield.log dosyasını kullanarak ayarı doğrulayabilir:
"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
Not: Mac için Dell Encryption her zaman FIPS onaylı modda çalışır ve Dell Encryption yöneticisi tarafından herhangi bir değişiklik yapılması gerekmez.
Dell Encryption'ın eski şifreleme sağlayıcısı Credant’s CMGCrypto artık NIST tarafından doğrulanmamaktadır, ancak eski sertifika numaraları: 2156 ve 2150
Yazılım Tabanlı Tam Disk Şifreleme
Belirli bir seçmek için bir kayıt defteri anahtarı değiştirilebilir cryptoprovider ve ile şifreleme yöntemi, Dell Encryption aracısının kullandığı Şifreleme kitaplığını değiştirmek için:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE DWORD: Enable_Provider Various providers can be set, with the options being: 0x00000001 Software-based AES 0x00000002 Processor-driven AES-NI 0x00000004 Microsoft BCrypt 0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance) 0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance) 0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
Dell Encryption'ın günlük dosyaları, şifreleme sağlayıcılarının çalıştığı modu belirtmek için DellCommon.log dosyasının içinde satırlar oluşturur (Varsayılan konum: C:\ProgramData\Dell\Dell Data Protection\).
Yüklenmekte olan sağlayıcıyı gösteren bir satır şu şekilde temsil edilir:
FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
Not: Enable_Provider kayıt defterinde değişiklik yapılmasının etkili olması için aygıtın yeniden başlatılması gerekir. Bu kayıt defteri değeri, kurulum işlemi sırasında mevcutsa tüketilir; yani Dell Encryption istemcisi, kayıt defteri anahtarının değerini dikkate alır ve yükseltme veya yükleme sonrasında bu şifreleme kitaplığından yararlanır.
FIPS modu, Microsoft'un FIPS kitaplıkları kullanılarak yönetilir. BCrypt. Bu seçenekler, uzaktan yönetilen makineler için bir Grup İlkesi Nesnesi kullanılarak etkinleştirilebilir. Bu işlem, Remote System Administration Toolkit yüklü olan bir bilgisayardaki Grup İlkesi Yönetimi konsolu aracılığıyla yapılabilir (burada bulunur: https://support.microsoft.com/en-us/help/2693643)
Microsoft'un FIPS doğrulanmış kitaplıklarını uygulaması hakkında bilgi burada bulunabilir: https://technet.microsoft.com/en-us/library/cc750357.aspx
Dell Encryption'ın Tam Disk Şifrelemesinin yararlandığı Microsoft şifreleme kitaplıkları için FIPS Sertifikalarını incelemek için NIST.gov bağlantılara başvurun:
- Şifreleme Temel Öğeleri için Düzey 2 Sertifikası: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
- Çekirdek Şifreleme işlevleri için Düzey 2 Sertifikası: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095
Active Directory kullanan Uzaktan Yönetilen aygıtlar
Grup İlkesi Yönetim Konsolu'nu (gpmc.msc) kullanmayı etkinleştirmek için:
Bu değişikliğin gerekli olduğu Kuruluş Birimini seçin.
Not: Dell, Grup İlkesi Nesnesi değişikliklerini üretime uygulamadan önce test edilmesini ve doğrulanmasını önerir.
Şekil 1: (Yalnızca İngilizce) Grup İlkesi Yönetimi
- Yeni Grup İlkesi Nesnesini adlandırın.
Şekil 2: (Yalnızca İngilizce) Grup İlkesi Nesnesini Adlandırma
- Yeni Grup İlkesi Nesnesi'ne sağ tıklayın ve Düzenle'yi seçin.
Şekil 3: (Yalnızca İngilizce) Grup İlkesi Nesnesini Düzenleme
Not: Söz konusu ilke, Bilgisayar Yapılandırma > İlkeleri, Windows Ayarları>, Güvenlik Ayarları>, Yerel İlkeler>, Güvenlik Seçenekleri'ndedir>. Başlık Sistem şifrelemesi: Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmalar kullanın.
- Politikaya sağ tıklayın ve değiştirilecek özellikleri seçin.
Şekil 4: (Yalnızca İngilizce) Özellikler öğesini seçme
- Bu politika ayarını tanımla seçeneğini etkinleştirin ve ardından Enabled radyal düğmesini seçin.
Şekil 5: (Yalnızca İngilizce) Bu ilke ayarını tanımla seçeneğini etkinleştirin
- Uygula'ya tıklayın.
- Grup İlkesi Yönetimi Düzenleyicisi'ni kapatın.
Aygıtlar Kuruluş Grubuna veya herhangi bir alt gruba ( devralmanın engellendiği gruplar hariç) eklendikten sonra, bu yeni Grup İlkesi Nesnesi, Makine Grup İlkeleri güncelleştirmesi olarak bu aygıtlara uygulanır. Bu güncelleştirme için varsayılan ayar her 2 saatte bir veya makine yeniden başlatılır.
Bu ilke uygulandıktan sonra Dell'in yazılım tabanlı Tam Disk Şifrelemesi şifrelemek üzere ayarlandığında, aygıt Microsoft'un FIPS Uyumlu algoritmalarından yararlanarak şifrelenir.
Yerel Olarak Yönetilen Aygıtlar
Bu seçenekler, yerel Grup İlkesi Düzenleyicisi (gpedit.msc) veya Yerel Güvenlik İlkesi Düzenleyicisi (secpol.msc) aracılığıyla yerel olarak da etkinleştirilebilir.
Yerel Grup İlkesi Düzenleyicisi'nde
Söz konusu ilke, Bilgisayar Yapılandırması>, Windows Ayarları>, Güvenlik Ayarları>, Yerel İlkeler>, Güvenlik Seçenekleri'ndedir. Başlık Sistem şifrelemesi: Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmalar kullanın.
- Politikaya sağ tıklayın ve değiştirilecek özellikleri seçin.
Şekil 6: (Yalnızca İngilizce) Politikanın özellikleri
- Bu politika ayarını tanımla seçeneğini etkinleştirin ve ardından Enabled radyal düğmesini seçin.
Şekil 7: (Yalnızca İngilizce) Bu ilke ayarını tanımla seçeneğini etkinleştirin
- Uygula'ya tıklayın.
- Grup İlkesi Yönetimi Düzenleyicisi'ni kapatın.
Bu yeni politika, makine politikaları güncellendikçe bu cihazlar için geçerlidir. Bu güncelleştirme için varsayılan ayar her 2 saatte bir veya makine yeniden başlatılır.
Bu ilke uygulandıktan sonra Dell'in yazılım tabanlı Tam Disk Şifrelemesi şifrelemek üzere ayarlandığında, aygıt Microsoft'un FIPS Uyumlu algoritmalarından yararlanarak şifrelenir.
Yerel Güvenlik İlkesi düzenleyicisinde
Söz konusu ilke, Güvenlik Ayarları>, Yerel İlkeler,>Güvenlik Seçenekleri'ndedir. Başlık Sistem şifrelemesi: Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmalar kullanın.
- Politikaya sağ tıklayın ve değiştirilecek özellikleri seçin.
Şekil 8: (Yalnızca İngilizce) Politikanın Özellikleri
- Bu politika ayarını tanımla seçeneğini etkinleştirin ve ardından Enabled radyal düğmesini seçin.
Şekil 9: (Yalnızca İngilizce) Bu ilke ayarını tanımla seçeneğini etkinleştirin
- Uygula'ya tıklayın.
- Grup İlkesi Yönetimi Düzenleyicisi'ni kapatın.
Bu yeni politika, makine politikaları güncellendikçe bu cihazlar için geçerlidir. Bu güncelleştirme için varsayılan ayar her 2 saatte bir veya makine yeniden başlatılır.
Bu ilke uygulandıktan sonra Dell'in yazılım tabanlı Tam Disk Şifrelemesi şifrelemek üzere ayarlandığında, aygıt Microsoft'un FIPS Uyumlu algoritmalarından yararlanarak şifrelenir.
Kayıt Defteri girdisini kullanarak etkinleştirme
Microsoft'un FIPS uyumlu algoritmaları, kayıt defteri kullanılarak da etkinleştirilebilir. FIPS uyumlu kitaplıkları etkinleştirmek için kayıt defteri anahtarını değiştirebilirsiniz:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy DWORD: Enabled Value: 1
Yeniden başlatmada bu politika geçerli olarak ayarlanır. Bu ilke uygulandıktan sonra Dell'in yazılım tabanlı Tam Disk Şifrelemesi şifrelemek üzere ayarlandığında, aygıt Microsoft'un FIPS Uyumlu algoritmalarından yararlanarak şifrelenir.
Destek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.