Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Encryption FIPS-Compliance

Summary: Bei den Federal Information Processing Standards (FIPS) handelt es sich um einen Regelsatz, der die Methoden für die Verarbeitung von Daten durch Verschlüsselungsalgorithmen auf Endpunkten und über verschiedene Kommunikationskanäle beschreibt. Dell Encryption nutzt mehrere Verschlüsselungsbibliotheken, wobei die wichtigsten Verschlüsselungsaspekte durch eine konfigurierbare kryptografische Bibliothek gesteuert werden. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Betroffene Produkte:

  • Dell Encryption
  • Dell Data Protection | Encryption

In Version 10.1.0 bietet Dell Encryption (ehemals Dell Data Protection | Verschlüsselung) Bei der Policy-basierten Verschlüsselung wird das FIPS-validierte kryptografische ModulRSA BSAFE Crypto Module verwendet. Dieser neue kryptografische Anbieter ist standardmäßig beim Upgrade auf Dell Encryption v10.1.0 oder höher aktiviert, wenn die CSSStartFlags DWord ist nicht vorab ausgefüllt.

Dieselbe Änderung bei den kryptografischen Anbietern wurde für die softwarebasierte vollständige Festplattenverschlüsselung von Dell in Dell Encryption v10.3.0 vorgenommen.

Das RSA BSAFE Crypto-Modul arbeitet standardmäßig im FIPS-Modus.

Das FIPS-Zertifikat für das RSA BSAFE Crypto Module ist auf NIST CMVP hier verfügbar:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

Cause

Nicht zutreffend

Resolution

Warnung: Der nächste Schritt ist eine Bearbeitung der Windows-Registrierung:

Policy-basierte Verschlüsselung

Ein Registrierungsschlüssel kann geändert werden, um eine bestimmte cryptoprovider und Methode der Kryptologie mit, um die kryptografische Bibliothek zu ändern, die der Dell Encryption-Agent verwendet:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Die Protokolldateien von Dell Encryption erzeugen Zeilen in der CMGshield.log Datei, um den Modus anzugeben, in dem die kryptografischen Anbieter arbeiten (Standardspeicherort: C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Eine Zeile, die den Provider angibt, der geladen wird, wird dargestellt durch:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Hinter dieser Zeile wird eine weitere Zeile geschrieben, die den Wert beschreibt, der in der Registrierung verbraucht wurde:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Hinweis: Das Ändern der CSSStartFlags erfordert einen Neustart des Geräts, damit es wirksam wird. Dieser Registrierungswert wird verbraucht, wenn er während des Setup-Prozesses vorhanden ist, d. h., der Dell Encryption-Client respektiert den Wert des Registrierungsschlüssels und nutzt diese kryptografische Bibliothek nach dem Upgrade oder der Installation.

Wenn die Intel IPP-Flags deaktiviert oder nicht vorhanden sind, führt Dell Encryption kryptografische Vorgänge durch, indem die FIPS-validierte kryptografische Bibliothek von Dell aufgerufen wird (Betrieb im FIPS-Modus).

Wenn die Intel IPP-Flags aktiviert sind, werden dieselben kryptografischen Funktionsaufrufe an die FIPS-validierten Bibliotheken von Dell durchgeführt, aber der Prozess wird innerhalb der Anwendung im Nicht-FIPS-Modus ausgeführt und die Verschlüsselungsvorgänge verwenden die Intel IPP-Bibliothek für eine verbesserte Leistung.

Um den Betriebsmodus auszuwählen, ändern (oder erstellen) Sie den Registrierungsschlüssel:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Administratoren können die Einstellung nach dem Festlegen dieser Registrierung nach dem Neustart mithilfe der CMGShield.log Datei überprüfen:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Hinweis: Dell Encryption for Mac wird immer in einem FIPS-validierten Modus verarbeitet und es sind keine Änderungen durch den Dell Encryption-Administrator erforderlich.

    Der bisherige kryptografische Anbieter von Dell Encryption Credant’s CMGCrypto wird nicht mehr von NIST validiert, obwohl die früheren Zertifizierungsnummern wie folgt lauten: 2156 und 2150

    Softwarebasierte vollständige Datenträgerverschlüsselung

    Ein Registrierungsschlüssel kann geändert werden, um eine bestimmte cryptoprovider und Methode der Kryptologie mit, um die kryptografische Bibliothek zu ändern, die der Dell Encryption-Agent verwendet:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Die Protokolldateien von Dell Encryption erzeugen Zeilen in der DellCommon.log Datei, um den Modus anzugeben, in dem die kryptografischen Anbieter arbeiten (Standardspeicherort: C:\ProgramData\Dell\Dell Data Protection\).

    Eine Zeile, die den Provider angibt, der geladen wird, wird dargestellt durch:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Hinweis: Die Änderung der Enable_Provider Registrierung erfordert einen Neustart des Geräts, damit sie wirksam wird. Dieser Registrierungswert wird verbraucht, wenn er während des Setup-Prozesses vorhanden ist, d. h., der Dell Encryption-Client respektiert den Wert des Registrierungsschlüssels und nutzt diese kryptografische Bibliothek nach dem Upgrade oder der Installation.

    Der FIPS-Modus wird mithilfe der FIPS-Bibliotheken von Microsoft verwaltet, die als referenziert werden BCrypt. Diese Optionen können mithilfe eines Gruppenrichtlinienobjekts für remoteverwaltete Computer aktiviert werden, was über die Gruppenrichtlinienverwaltungskonsole auf einem Computer erfolgen kann, auf dem das Remotesystemadministrationstoolkit installiert ist (hier zu finden: https://support.microsoft.com/en-us/help/2693643) Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

    Informationen zur Implementierung der FIPS-validierten Bibliotheken durch Microsoft finden Sie hier: https://technet.microsoft.com/en-us/library/cc750357.aspx Dieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.

    Informationen zu den FIPS-Zertifizierungen für die kryptografischen Bibliotheken von Microsoft, die von Dell Encryption Full Disk Encryption genutzt werden, finden Sie unter NIST.gov Links:

    Remotemanagement von Geräten mithilfe von Active Directory

    So aktivieren Sie die Verwendung der Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc):

    Wählen Sie die Organisationseinheit aus, in der diese Änderung erforderlich ist.

    Hinweis: Dell empfiehlt, alle Änderungen am Gruppenrichtlinienobjekt zu testen und zu validieren, bevor die Änderungen auf die Produktion angewendet werden.

    Gruppenrichtlinienverwaltung
    Abbildung 1: (Nur Englisch) Gruppenrichtlinienverwaltung

    1. Benennen Sie das neue Gruppenrichtlinienobjekt.

    Benennen des Gruppenrichtlinienobjekts
    Abbildung 2: (Nur Englisch) Benennen des Gruppenrichtlinienobjekts

    1. Klicken Sie mit der rechten Maustaste auf das neue Gruppenrichtlinienobjekt und wählen Sie Bearbeiten aus.

    Bearbeiten des Gruppenrichtlinienobjekts
    Abbildung 3: (Nur Englisch) Bearbeiten des Gruppenrichtlinienobjekts

     
    Hinweis: Die fragliche Richtlinie befindet sich in Computerkonfigurationsrichtlinien >> Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen. Der Titel lautet Systemkryptografie: Verwenden Sie FIPS-konforme Algorithmen für Verschlüsselung, Hashing und Signierung.
    1. Klicken Sie mit der rechten Maustaste auf die Policy und wählen Sie die zu ändernden Eigenschaften aus.

    Wählen Sie Eigenschaften aus.
    Abbildung 4: (Nur auf Englisch) Select Properties

    1. Aktivieren Sie die Option Diese Richtlinieneinstellung definieren und wählen Sie dann die Schaltfläche Aktiviert aus.

    Aktivieren Sie diese Richtlinieneinstellung definieren
    Abbildung 5: (Nur Englisch) Aktivieren Sie diese Richtlinieneinstellung definieren

    1. Klicken Sie auf Übernehmen.
    2. Schließen Sie den Gruppenrichtlinienverwaltungseditor.

    Sobald die Geräte der Organisationsgruppe oder einer Untergruppe hinzugefügt wurden (mit Ausnahme von Gruppen, für die Vererbung blockiert ist), wird dieses neue Gruppenrichtlinienobjekt auf diese Geräte angewendet, wenn ihre Computergruppenrichtlinien aktualisiert werden. Die Standardeinstellung für dieses Update ist alle 2 Stunden oder beim Neustart des Computers.

    Sobald diese Richtlinie angewendet wird und die softwarebasierte vollständige Datenträgerverschlüsselung von Dell auf Verschlüsselung eingestellt ist, wird das Gerät mithilfe der FIPS-konformen Algorithmen von Microsoft verschlüsselt.

    Lokal verwaltete Geräte

    Diese Optionen können auch lokal über den lokalen Gruppenrichtlinien-Editor (gpedit.msc) oder über den lokalen Sicherheitsrichtlinien-Editor (secpol.msc) aktiviert werden.

    Im lokalen Gruppenrichtlinien-Editor

    Die fragliche Policy befindet sich in Computer Configuration Windows>Settings>Security Settings>Local Policies>Security Options. Der Titel lautet Systemkryptografie: Verwenden Sie FIPS-konforme Algorithmen für Verschlüsselung, Hashing und Signierung.

    1. Klicken Sie mit der rechten Maustaste auf die Policy und wählen Sie die zu ändernden Eigenschaften aus.

    Eigenschaften der Policy
    Abbildung 6: (Nur Englisch) Eigenschaften der Policy

    1. Aktivieren Sie die Option Diese Richtlinieneinstellung definieren und wählen Sie dann die Schaltfläche Aktiviert aus.

    Aktivieren Sie diese Richtlinieneinstellung definieren
    Abbildung 7: (Nur Englisch) Aktivieren Sie diese Richtlinieneinstellung definieren

    1. Klicken Sie auf Übernehmen.
    2. Schließen Sie den Gruppenrichtlinienverwaltungseditor.

    Diese neue Richtlinie gilt für diese Geräte, wenn ihre Computerrichtlinien aktualisiert werden. Die Standardeinstellung für dieses Update ist alle 2 Stunden oder beim Neustart des Computers.

    Sobald diese Richtlinie angewendet wird und die softwarebasierte vollständige Datenträgerverschlüsselung von Dell auf Verschlüsselung eingestellt ist, wird das Gerät mithilfe der FIPS-konformen Algorithmen von Microsoft verschlüsselt.

    Im Editor für lokale Sicherheitsrichtlinien

    Die fragliche Policy befindet sich in Security Settings>Local Policies>Security Options. Der Titel lautet Systemkryptografie: Verwenden Sie FIPS-konforme Algorithmen für Verschlüsselung, Hashing und Signierung.

    1. Klicken Sie mit der rechten Maustaste auf die Policy und wählen Sie die zu ändernden Eigenschaften aus.

    Eigenschaften der Policy
    Abbildung 8: (Nur Englisch) Eigenschaften der Policy

    1. Aktivieren Sie die Option Diese Richtlinieneinstellung definieren und wählen Sie dann die Schaltfläche Aktiviert aus.

    Aktivieren Sie diese Richtlinieneinstellung definieren
    Abbildung 9: (Nur Englisch) Aktivieren Sie diese Richtlinieneinstellung definieren

    1. Klicken Sie auf Übernehmen.
    2. Schließen Sie den Gruppenrichtlinienverwaltungseditor.

    Diese neue Richtlinie gilt für diese Geräte, wenn ihre Computerrichtlinien aktualisiert werden. Die Standardeinstellung für dieses Update ist alle 2 Stunden oder beim Neustart des Computers.

    Sobald diese Richtlinie angewendet wird und die softwarebasierte vollständige Datenträgerverschlüsselung von Dell auf Verschlüsselung eingestellt ist, wird das Gerät mithilfe der FIPS-konformen Algorithmen von Microsoft verschlüsselt.

    Über Registrierungseintrag aktivieren

    Die FIPS-konformen Algorithmen von Microsoft können auch über die Registrierung aktiviert werden. Um FIPS-konforme Bibliotheken zu aktivieren, können Sie den Registrierungsschlüssel ändern:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Beim Neustart wird diese Richtlinie aktiviert. Sobald diese Richtlinie angewendet wird und die softwarebasierte vollständige Datenträgerverschlüsselung von Dell auf Verschlüsselung eingestellt ist, wird das Gerät mithilfe der FIPS-konformen Algorithmen von Microsoft verschlüsselt.


    Nutzen Sie zur Kontaktaufnahme mit dem Support die internationalen Support-Telefonnummern von Dell Data Security.
    Gehen Sie zu TechDirect, um online eine Anfrage an den technischen Support zu erstellen.
    Zusätzliche Einblicke und Ressourcen erhalten Sie im Dell Security Community Forum.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.