Соответствие стандарту Dell Encryption FIPS

Раздел реестра можно изменить, чтобы выбрать определенный cryptoprovider и метод шифрования с целью изменения криптографической библиотеки, используемой агентом Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Файлы журнала Dell Encryption создают строки в CMGshield.log файле, указывающие режим, в котором работают поставщики шифрования (расположение по умолчанию C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Строка, указывающая загружаемый поставщик, представлена следующими символами:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

За этой строкой пишется еще одна строка, описывающая значение, которое было использовано в реестре:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Если флаги Intel IPP отключены или отсутствуют, Dell Encryption выполняет криптографические операции, вызывая криптографическую библиотеку Dell, проверенную на соответствие стандарту FIPS (работающую в режиме FIPS).

Когда флаги Intel IPP включены, в библиотеки Dell, проверенные на соответствие стандарту FIPS, выполняются те же вызовы криптографических функций, но процесс выполняется в приложении в режиме, отличном от FIPS, а операции шифрования используют библиотеку Intel IPP для повышения производительности.

Чтобы выбрать режим работы, измените (или создайте) раздел реестра:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Администраторы могут проверить настройку после установки этого реестра после перезагрузки с помощью CMGShield.log файла:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Устаревший поставщик шифрования Dell Encryption Credant’s CMGCrypto больше не проверяется NIST, хотя прежние номера сертификатов следующие: 2156 и 2150

Раздел реестра можно изменить, чтобы выбрать определенный cryptoprovider и метод шифрования с целью изменения криптографической библиотеки, используемой агентом Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Файлы журнала Dell Encryption создают строки в файле DellCommon.log, указывающие режим, в котором работают поставщики шифрования (расположение по умолчанию C:\ProgramData\Dell\Dell Data Protection\).

Строка, указывающая загружаемый поставщик, представлена следующими символами:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

Управление режимом FIPS осуществляется с помощью библиотек Microsoft FIPS, которые обозначаются как BCrypt. Эти параметры можно включить с помощью объекта групповой политики для удаленно управляемых компьютеров, что можно сделать через консоль управления групповыми политиками на компьютере, на котором установлен набор инструментов для администрирования удаленной системы (расположенный здесь: https://support.microsoft.com/en-us/help/2693643)

Информацию о реализации Microsoft библиотек, проверенных FIPS, можно найти здесь: https://technet.microsoft.com/en-us/library/cc750357.aspx

Чтобы ознакомиться с сертификатами FIPS для криптографических библиотек Microsoft, которые использует Dell Encryption Full Disk Encryption, см. NIST.gov ссылки:

• Сертификат уровня 2 для криптографических примитивов: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Сертификат уровня 2 для криптографических функций ядра: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Удаленно управляемые устройства с помощью Active Directory

Чтобы включить с помощью консоли управления групповыми политиками (gpmc.msc), выполните следующие действия.

Выберите организационное подразделение, в котором требуется это изменение.

Рис. 1. (Только на английском языке) Управление групповыми политиками

1. Назовите новый объект групповой политики.

Рис. 2. (Только на английском языке) Присвоение имени объекту групповой политики

2. Нажмите правой кнопкой мыши на новом объекте групповой политики и выберите опцию Edit.

Рис. 3. (Только на английском языке) Изменение объекта групповой политики

3. Нажмите правой кнопкой мыши на политику и выберите свойства для изменения.

Рис. 4. Выбор параметра свойств (только на английском языке)

4. Включите параметр Define this policy setting, а затем нажмите переключатель Enabled .

Рис. 5. (Только на английском языке) Установите флажок Определить этот параметр политики

5. Нажмите кнопку Применить.
6. Закройте редактор «Управление групповыми политиками».

После добавления устройств в организационную группу или любую подгруппу (за исключением групп, для которых заблокировано наследование), этот новый объект групповой политики применяется к этим устройствам при обновлении политик группы компьютеров. Значение по умолчанию для этого обновления — каждые 2 часа или при перезагрузке компьютера.

После применения этой политики, когда программное обеспечение Dell Full Disk Encryption настроено на шифрование, устройство шифруется с использованием алгоритмов Microsoft, совместимых с FIPS.

Локально управляемые устройства

Эти параметры также можно включить локально с помощью локального редактора групповой политики (gpedit.msc) или локального редактора политики безопасности (secpol.msc).

В локальном редакторе групповой политики

Политика, о которой идет речь, находится в разделе Конфигурация> компьютера Параметры Windows Параметры>>безопасностиЛокальные политики Параметры>безопасности. Она называется «Системная криптография». Используйте FIPS-совместимые алгоритмы для шифрования, хэширования и добавления подписей.

1. Нажмите правой кнопкой мыши на политику и выберите свойства для изменения.

Рис. 6. (Только на английском языке) Свойства политики

2. Включите параметр Define this policy setting, а затем нажмите переключатель Enabled .

Рис. 7. (Только на английском языке) Установите флажок Определить этот параметр политики

3. Нажмите кнопку Применить.
4. Закройте редактор «Управление групповыми политиками».

Эта новая политика применяется к этим устройствам по мере обновления политик их компьютеров. Значение по умолчанию для этого обновления — каждые 2 часа или при перезагрузке компьютера.

После применения этой политики, когда программное обеспечение Dell Full Disk Encryption настроено на шифрование, устройство шифруется с использованием алгоритмов Microsoft, совместимых с FIPS.

В редакторе локальной политики безопасности

Политика, о которой идет речь, находится в разделе Security Settings>Local Policies>Security Options. Она называется «Системная криптография». Используйте FIPS-совместимые алгоритмы для шифрования, хэширования и добавления подписей.

1. Нажмите правой кнопкой мыши на политику и выберите свойства для изменения.

Рис. 8. (Только на английском языке) Свойства политики

2. Включите параметр Define this policy setting, а затем нажмите переключатель Enabled .

Рис. 9. (Только на английском языке) Установите флажок Определить этот параметр политики

3. Нажмите кнопку Применить.
4. Закройте редактор «Управление групповыми политиками».

Эта новая политика применяется к этим устройствам по мере обновления политик их компьютеров. Значение по умолчанию для этого обновления — каждые 2 часа или при перезагрузке компьютера.

После применения этой политики, когда программное обеспечение Dell Full Disk Encryption настроено на шифрование, устройство шифруется с использованием алгоритмов Microsoft, совместимых с FIPS.

Включить использование записи реестра

Алгоритмы Microsoft, совместимые с FIPS, также можно включить с помощью реестра. Чтобы включить библиотеки, совместимые с FIPS, можно изменить раздел реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

При перезагрузке эта политика начинает действовать. После применения этой политики, когда программное обеспечение Dell Full Disk Encryption настроено на шифрование, устройство шифруется с использованием алгоритмов Microsoft, совместимых с FIPS.