Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Zgodność Dell Encryption ze standardem FIPS

Summary: Federalne standardy przetwarzania informacji (FIPS) to zestaw reguł, które określają metody obsługi i przetwarzania danych przez algorytmy szyfrowania na punktach końcowych i w różnych kanałach komunikacji. Dell Encryption korzysta z wielu bibliotek szyfrowania, przy czym podstawowe aspekty szyfrowania są kontrolowane przez konfigurowalną bibliotekę kryptograficzną. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Dotyczy produktów:

  • Dell Encryption
  • Dell Data Protection | Encryption Client

W wersji 10.1.0 oprogramowanie Dell Encryption (dawniej Dell Data Protection | Szyfrowanie) Szyfrowanie oparte na zasadach korzysta z zatwierdzonego przez FIPS modułukryptograficznego RSA BSAFE Crypto Module. Ten nowy dostawca kryptograficzny jest domyślnie włączony podczas aktualizacji do oprogramowania Dell Encryption w wersji 10.1.0 lub nowszej, jeśli CSSStartFlags DWord nie jest wstępnie wypełniony.

Ta sama zmiana dostawców usług kryptograficznych została wprowadzona w przypadku programowego szyfrowania Full Disk Encryption firmy Dell w oprogramowaniu Dell Encryption w wersji 10.3.0.

Moduł kryptograficzny RSA BSAFE domyślnie działa w trybie FIPS.

Certyfikat FIPS dla modułu kryptograficznego RSA BSAFE jest dostępny na stronie NIST CMVP tutaj:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

Cause

Nie dotyczy

Resolution

Ostrzeżenie: Następnym krokiem jest edycja rejestru systemu Windows:

Szyfrowanie oparte na zasadach

Klucz rejestru można zmodyfikować w celu wybrania określonego cryptoprovider i metody kryptologii, aby zmodyfikować bibliotekę kryptograficzną używaną przez agenta Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Pliki dziennika Dell Encryption generują wiersze w pliku CMGshield.log wskazujące tryb działania dostawców usług kryptograficznych (domyślna lokalizacja C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Wiersz wskazujący ładowanego dostawcę jest reprezentowany przez:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Poza tym wierszem jest napisany kolejny wiersz przedstawiający wartość, która została wykorzystana w rejestrze:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Uwaga: Modyfikacja CSSStartFlags wymaga ponownego uruchomienia urządzenia, aby odniosła skutek. Ta wartość rejestru jest wykorzystywana, jeśli jest obecna podczas procesu konfiguracji, co oznacza, że klient Dell Encryption respektuje wartość klucza rejestru i korzysta z tej biblioteki kryptograficznej po uaktualnieniu lub instalacji.

Jeśli flagi IPP firmy Intel są wyłączone lub ich nie ma, program Dell Encryption wykonuje operacje kryptograficzne, wywołując bibliotekę kryptograficzną firmy Dell zweryfikowaną przez FIPS (działającą w trybie FIPS).

Kiedy flagi IPP firmy Intel są włączone, te same wywołania funkcji kryptograficznych są wykonywane do bibliotek Dell zweryfikowanych przez FIPS, ale proces działa w aplikacji w trybie innym niż FIPS, a operacje szyfrowania korzystają z biblioteki IPP firmy Intel w celu zwiększenia wydajności.

Aby wybrać tryb działania, zmodyfikuj (lub utwórz) klucz rejestru:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Administratorzy mogą sprawdzić poprawność ustawienia po skonfigurowaniu tego rejestru po ponownym uruchomieniu przy użyciu pliku CMGShield.log:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Uwaga: Dell Encryption dla komputerów Mac zawsze przetwarza dane w trybie zweryfikowanym przez FIPS i nie są wymagane żadne modyfikacje ze strony administratora Dell Encryption.

    Dotychczasowy dostawca usług kryptograficznych Dell Encryption Credant’s CMGCrypto nie jest już zatwierdzany przez NIST, chociaż poprzednie numery certyfikatów to: 2156 oraz 2150

    Szyfrowanie całego dysku oparte na oprogramowaniu

    Klucz rejestru można zmodyfikować w celu wybrania określonego cryptoprovider i metody kryptologii, aby zmodyfikować bibliotekę kryptograficzną używaną przez agenta Dell Encryption:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Pliki dziennika Dell Encryption generują wiersze w pliku DellCommon.log wskazujące tryb, w którym działają dostawcy usług kryptograficznych (domyślna lokalizacja C:\ProgramData\Dell\Dell Data Protection\).

    Wiersz wskazujący ładowanego dostawcę jest reprezentowany przez:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Uwaga: Modyfikacja rejestru Enable_Provider wymaga ponownego uruchomienia urządzenia, aby odniosła skutek. Ta wartość rejestru jest wykorzystywana, jeśli jest obecna podczas procesu konfiguracji, co oznacza, że klient Dell Encryption respektuje wartość klucza rejestru i korzysta z tej biblioteki kryptograficznej po uaktualnieniu lub instalacji.

    Trybem FIPS zarządza się za pomocą bibliotek FIPS firmy Microsoft, określanych jako BCrypt. Te opcje można włączyć za pomocą obiektu zasad grupy dla zdalnie zarządzanych maszyn, co można zrobić za pomocą konsoli Zarządzanie zasadami grupy na komputerze z zainstalowanym zestawem narzędzi Remote System Administration Toolkit (znajdującym się tutaj: https://support.microsoft.com/en-us/help/2693643) Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

    Informacje na temat implementacji zweryfikowanych bibliotek FIPS przez firmę Microsoft można znaleźć tutaj: https://technet.microsoft.com/en-us/library/cc750357.aspx Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.

    Aby zapoznać się z certyfikatami FIPS dla bibliotek kryptograficznych firmy Microsoft, z których korzysta oprogramowanie Dell Encryption Full Disk Encryption, należy zapoznać się NIST.gov łączami:

    Zdalne zarządzanie urządzeniami za pomocą usługi Active Directory

    Aby włączyć za pomocą konsoli zarządzającej zasadami grupy (gpmc.msc):

    Wybierz jednostkę organizacyjną, w której ta zmiana jest wymagana.

    Uwaga: Firma Dell zaleca przetestowanie i zweryfikowanie wszelkich zmian obiektów zasad grupy przed zastosowaniem ich w środowisku produkcyjnym.

    Zarządzanie zasadami grupy
    Rysunek 1. (Tylko w języku angielskim) Zarządzanie zasadami grupy

    1. Nazwij nowy obiekt zasad grupy.

    Nazwij obiekt zasad grupy
    Rysunek 2. (Tylko w języku angielskim) Nazwij obiekt zasad grupy

    1. Kliknij prawym przyciskiem myszy nowy obiekt zasad grupy i wybierz polecenie Edytuj.

    Edytowanie obiektu zasad grupy
    Rysunek 3. (Tylko w języku angielskim) Edytowanie obiektu zasad grupy

     
    Uwaga: Zasady, o których mowa, znajdują się w następujących artykułach: Konfiguracja > komputera, Zasady > , Ustawienia systemu Windows > , Ustawienia > zabezpieczeń, Zasady > lokalne, Opcje zabezpieczeń. Tytuł to Kryptografia systemowa: Używaj algorytmów zgodnych ze standardem FIPS do szyfrowania, tworzenia skrótów i podpisywania.
    1. Kliknij prawym przyciskiem myszy zasadę i wybierz właściwości , które chcesz zmodyfikować.

    Wybierz opcję Właściwości
    Rysunek 4. (Tylko w języku angielskim) Wybierz opcję Properties

    1. Włącz opcję Define this policy setting, a następnie wybierz przycisk kołowy Enabled .

    Enable Define this policy setting
    Rysunek 5: (Tylko w języku angielskim) Enable Define this policy setting

    1. Kliknij przycisk Zastosuj.
    2. Zamknij edytor zarządzania zasadami grupy.

    Po dodaniu urządzeń do grupy organizacyjnej lub dowolnej podgrupy (z wyłączeniem grup, które mają zablokowane dziedziczenie ), ten nowy obiekt zasad grupy ma zastosowanie do tych urządzeń jako aktualizacja zasad grupy maszyn. Domyślne ustawienie tej aktualizacji to częstotliwość co 2 godziny lub po ponownym uruchomieniu komputera.

    Po zastosowaniu tej zasady, gdy oprogramowanie Full Disk Encryption firmy Dell jest ustawione na szyfrowanie, urządzenie jest szyfrowane przy użyciu algorytmów firmy Microsoft zgodnych ze standardem FIPS.

    Lokalnie zarządzane urządzenia

    Te opcje można również włączyć lokalnie za pomocą lokalnego edytora zasad grupy (gpedit.msc) lub za pomocą edytora lokalnych zasad zabezpieczeń (secpol.msc).

    W lokalnym edytorze zasad grupy

    Zasady, o których mowa, znajdują się w : Konfiguracja komputera,>Ustawienia>systemu Windows, Ustawienia> zabezpieczeń , Zasady> lokalne , Opcje zabezpieczeń. Tytuł to Kryptografia systemowa: Używaj algorytmów zgodnych ze standardem FIPS do szyfrowania, tworzenia skrótów i podpisywania.

    1. Kliknij prawym przyciskiem myszy zasadę i wybierz właściwości , które chcesz zmodyfikować.

    Właściwości zasady
    Rysunek 6. (Tylko w języku angielskim) Właściwości zasady

    1. Włącz opcję Define this policy setting, a następnie wybierz przycisk kołowy Enabled .

    Enable Define this policy setting
    Rysunek 7. (Tylko w języku angielskim) Enable Define this policy setting

    1. Kliknij przycisk Zastosuj.
    2. Zamknij edytor zarządzania zasadami grupy.

    Te nowe zasady mają zastosowanie do tych urządzeń po zaktualizowaniu zasad ich maszyn. Domyślne ustawienie tej aktualizacji to częstotliwość co 2 godziny lub po ponownym uruchomieniu komputera.

    Po zastosowaniu tej zasady, gdy oprogramowanie Full Disk Encryption firmy Dell jest ustawione na szyfrowanie, urządzenie jest szyfrowane przy użyciu algorytmów firmy Microsoft zgodnych ze standardem FIPS.

    W edytorze lokalnych zasad zabezpieczeń

    Zasada, o której mowa, znajduje się w sekcji >Ustawienia zabezpieczeńZasady> lokalne Opcje zabezpieczeń. Tytuł to Kryptografia systemowa: Używaj algorytmów zgodnych ze standardem FIPS do szyfrowania, tworzenia skrótów i podpisywania.

    1. Kliknij prawym przyciskiem myszy zasadę i wybierz właściwości , które chcesz zmodyfikować.

    Właściwości zasad
    Rysunek 8. (Tylko w języku angielskim) Właściwości zasad

    1. Włącz opcję Define this policy setting, a następnie wybierz przycisk kołowy Enabled .

    Enable Define this policy setting
    Rysunek 9. (Tylko w języku angielskim) Enable Define this policy setting

    1. Kliknij przycisk Zastosuj.
    2. Zamknij edytor zarządzania zasadami grupy.

    Te nowe zasady mają zastosowanie do tych urządzeń po zaktualizowaniu zasad ich maszyn. Domyślne ustawienie tej aktualizacji to częstotliwość co 2 godziny lub po ponownym uruchomieniu komputera.

    Po zastosowaniu tej zasady, gdy oprogramowanie Full Disk Encryption firmy Dell jest ustawione na szyfrowanie, urządzenie jest szyfrowane przy użyciu algorytmów firmy Microsoft zgodnych ze standardem FIPS.

    Włącz przy użyciu wpisu rejestru

    Algorytmy firmy Microsoft zgodne ze standardem FIPS można również włączyć przy użyciu rejestru. Aby włączyć biblioteki zgodne ze standardem FIPS, możesz zmodyfikować klucz rejestru:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Po ponownym uruchomieniu ta zasada zaczyna obowiązywać. Po zastosowaniu tej zasady, gdy oprogramowanie Full Disk Encryption firmy Dell jest ustawione na szyfrowanie, urządzenie jest szyfrowane przy użyciu algorytmów firmy Microsoft zgodnych ze standardem FIPS.


    Aby skontaktować się z pomocą techniczną, przejdź do sekcji Numery telefonów międzynarodowej pomocy technicznej Dell Data Security.
    Przejdź do TechDirect, aby wygenerować zgłoszenie online do pomocy technicznej.
    Aby uzyskać dodatkowe informacje i zasoby, dołącz do Forum społeczności Dell Security.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.