Dell Encryption FIPS 규정 준수

레지스트리 키를 수정하여 특정 cryptoprovider 및 암호화 방법을 사용하여 Dell Encryption 에이전트에서 사용하는 암호화 라이브러리를 수정합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryption의 로그 파일은 CMGshield.log 파일 내에 줄을 생성하여 암호화 공급자가 작동하는 모드(기본 위치: C:\ProgramData\Dell\Dell Data Protection\Encryption\)를 나타냅니다.

로드 중인 공급자를 나타내는 줄은 다음과 같이 표시됩니다.

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

이 줄 너머에는 레지스트리에서 사용된 값을 간략하게 설명하는 또 다른 줄이 작성됩니다.

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

인텔 IPP 플래그가 비활성화되어 있거나 없는 경우 Dell Encryption은 Dell의 FIPS 검증 암호화 라이브러리(FIPS 모드에서 작동)를 호출하여 암호화 작업을 수행합니다.

인텔 IPP 플래그가 활성화되면 Dell의 FIPS 검증 라이브러리에 대해 동일한 암호화 함수 호출이 수행되지만 프로세스는 애플리케이션 내에서 비 FIPS 모드로 작동하며 암호화 작업은 성능 향상을 위해 인텔 IPP 라이브러리를 사용합니다.

작업 모드를 선택하려면 레지스트리 키를 수정(또는 생성)합니다.

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

관리자는 이 레지스트리를 설정한 후 재부팅 후 CMGShield.log 파일을 사용하여 설정을 검증할 수 있습니다.

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Dell Encryption의 레거시 암호화 공급업체인 Credant’s CMGCrypto 이전 인증 번호는 다음과 같지만 더 이상 NIST에서 유효성을 검사하지 않습니다. 2156 및 2150

레지스트리 키를 수정하여 특정 cryptoprovider 및 암호화 방법을 사용하여 Dell Encryption 에이전트에서 사용하는 암호화 라이브러리를 수정합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Dell Encryption의 로그 파일은 DellCommon.log 파일 내에 줄을 생성하여 암호화 공급자가 작동하는 모드(기본 위치: C:\ProgramData\Dell\Dell Data Protection\)를 나타냅니다.

로드 중인 공급자를 나타내는 줄은 다음과 같이 표시됩니다.

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

FIPS 모드는 Microsoft의 FIPS 라이브러리를 사용하여 관리됩니다. BCrypt를 검색합니다. 이러한 옵션은 원격으로 관리되는 컴퓨터용 그룹 정책 개체를 사용하여 사용하도록 설정할 수 있으며, 이 작업은 Remote System Administration Toolkit이 설치된 컴퓨터의 그룹 정책 관리 콘솔을 통해 수행할 수 있습니다(위치: https://support.microsoft.com/en-us/help/2693643)

Microsoft의 FIPS 검증 라이브러리 구현에 대한 정보는 여기에서 확인할 수 있습니다 https://technet.microsoft.com/en-us/library/cc750357.aspx

Dell Encryption의 Full Disk Encryption에서 활용하는 Microsoft의 암호화 라이브러리에 대한 FIPS 인증을 검토하려면 NIST.gov 링크를 참조하십시오.

• 암호화 기본 형식에 대한 수준 2 인증서: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• 커널 암호화 기능에 대한 레벨 2 인증서: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Active Directory를 사용하여 원격으로 관리되는 디바이스

그룹 정책 관리 콘솔(gpmc.msc)을 사용하여 활성화하려면 다음을 수행합니다.

변경이 필요한 조직 단위를 선택합니다.

그림 1: (영어로만 제공) 그룹 정책 관리

1. 새 그룹 정책 개체의 이름을 지정합니다.

그림 2: (영어로만 제공) 그룹 정책 개체 이름 지정

2. 새 그룹 정책 개체를 마우스 오른쪽 버튼으로 클릭하고 Edit를 선택합니다.

그림 3: (영어로만 제공) 그룹 정책 개체 편집

3. 정책을 마우스 오른쪽 버튼으로 클릭하고 수정할 속성을 선택합니다.

그림 4: (영어로만 제공) 속성 선택

4. 이 정책 설정 정의 옵션을 사용하도록 설정한 다음, 사용 방사형 단추를 선택합니다.

그림 5: (영어로만 제공) 이 정책 정의 설정 사용

5. 적용을 클릭합니다.
6. 그룹 정책 관리 편집기를 닫습니다.

장치가 조직 그룹 또는 하위 그룹( 상속 이 차단된 그룹 제외)에 추가되면 이 새 그룹 정책 개체는 컴퓨터 그룹 정책이 업데이트될 때 해당 장치에 적용됩니다. 이 업데이트의 기본 설정은 2시간마다 또는 컴퓨터 재부팅 시입니다.

이 정책이 적용된 후 Dell의 소프트웨어 기반 전체 디스크 암호화가 암호화로 설정되면 디바이스는 Microsoft의 FIPS 호환 알고리듬을 사용하여 암호화됩니다.

로컬로 관리되는 디바이스

이러한 옵션은 로컬 그룹 정책 편집기(gpedit.msc) 또는 로컬 보안 정책 편집기(secpol.msc)를 통해 로컬로 사용하도록 설정할 수도 있습니다.

로컬 그룹 정책 편집기에서

문제의 정책은 컴퓨터 구성> Windows 설정>보안 설정>로컬 정책보안>옵션에 있습니다. 제목은 시스템 암호화입니다. 암호화, 해싱 및 서명에 FIPS 호환 알고리듬을 사용합니다.

1. 정책을 마우스 오른쪽 버튼으로 클릭하고 수정할 속성을 선택합니다.

그림 6: (영어로만 제공) 정책의 속성

2. 이 정책 설정 정의 옵션을 사용하도록 설정한 다음, 사용 방사형 단추를 선택합니다.

그림 7: (영어로만 제공) 이 정책 정의 설정 사용

3. 적용을 클릭합니다.
4. 그룹 정책 관리 편집기를 닫습니다.

이 새 정책은 컴퓨터 정책이 업데이트됨에 따라 해당 장치에 적용됩니다. 이 업데이트의 기본 설정은 2시간마다 또는 컴퓨터 재부팅 시입니다.

이 정책이 적용된 후 Dell의 소프트웨어 기반 전체 디스크 암호화가 암호화로 설정되면 디바이스는 Microsoft의 FIPS 호환 알고리듬을 사용하여 암호화됩니다.

로컬 보안 정책 편집기에서

문제의 정책은 Security SettingsLocal>PoliciesSecurity Options> 에 있습니다. 제목은 시스템 암호화입니다. 암호화, 해싱 및 서명에 FIPS 호환 알고리듬을 사용합니다.

1. 정책을 마우스 오른쪽 버튼으로 클릭하고 수정할 속성을 선택합니다.

그림 8: (영어로만 제공) 정책의 속성

2. 이 정책 설정 정의 옵션을 사용하도록 설정한 다음, 사용 방사형 단추를 선택합니다.

그림 9: (영어로만 제공) 이 정책 정의 설정 사용

3. 적용을 클릭합니다.
4. 그룹 정책 관리 편집기를 닫습니다.

이 새 정책은 컴퓨터 정책이 업데이트됨에 따라 해당 장치에 적용됩니다. 이 업데이트의 기본 설정은 2시간마다 또는 컴퓨터 재부팅 시입니다.

이 정책이 적용된 후 Dell의 소프트웨어 기반 전체 디스크 암호화가 암호화로 설정되면 디바이스는 Microsoft의 FIPS 호환 알고리듬을 사용하여 암호화됩니다.

레지스트리 항목을 사용하여 활성화

레지스트리를 사용하여 Microsoft의 FIPS 호환 알고리즘을 사용하도록 설정할 수도 있습니다. FIPS 규격 라이브러리를 사용하도록 설정하려면 레지스트리 키를 수정할 수 있습니다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

재부팅 시 이 정책이 적용됩니다. 이 정책이 적용된 후 Dell의 소프트웨어 기반 전체 디스크 암호화가 암호화로 설정되면 디바이스는 Microsoft의 FIPS 호환 알고리듬을 사용하여 암호화됩니다.