Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Відповідність стандарту FIPS із шифруванням Dell

Summary: Федеральні стандарти обробки інформації (FIPS) – це набір правил, який визначає методи обробки даних за допомогою алгоритмів шифрування на кінцевих точках і в різних каналах зв'язку. Dell Encryption використовує кілька бібліотек шифрування, а основні аспекти шифрування контролюються налаштовуваною криптографічною бібліотекою. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Продукти, на які впливають:

  • Шифрування Dell
  • Захист даних Dell | Шифрування

У версії 10.1.0 Dell Encryption (раніше Dell Data Protection | Encryption) Шифрування на основі політики використовує криптографічний модульRSA BSAFE Crypto Module, перевірений FIPS. Цей новий постачальник криптографічних даних увімкнено за замовчуванням під час оновлення до Dell Encryption версії 10.1.0 або пізнішої, якщо CSSStartFlags DWord не є попередньо заселеним.

Така ж зміна в постачальниках криптографічних даних була зроблена для програмного забезпечення Dell Full Disk Encryption в Dell Encryption v10.3.0.

Криптомодуль RSA BSAFE за замовчуванням працює в режимі FIPS.

Сертифікат FIPS для криптомодуля RSA BSAFE доступний на NIST CMVP тут:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Це гіперпосилання спрямовує вас на веб-сайт за межами Dell Technologies.

Cause

Не застосовується

Resolution

Попередження: Наступним кроком є редагування реєстру Windows:

Шифрування на основі політик

Розділ реєстру можна змінити для вибору певного cryptoprovider і метод криптології з модифікацією криптографічної бібліотеки, яку використовує агент Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Файли журналу Dell Encryption генерують рядки у файлі CMGshield.log, щоб вказати режим, у якому працюють постачальники криптографічних послуг (розташування за замовчуванням C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Рядок, що вказує на провайдера, який завантажується, представлений:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

За цим рядком пишеться ще один рядок, що позначає значення, яке було спожито в реєстрі:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Примітка: Модифікація CSSStartFlags вимагає перезавантаження пристрою, щоб він набув чинності. Це значення реєстру споживається, якщо воно присутнє під час процесу налаштування, тобто клієнт Dell Encryption поважає значення ключа реєстру та використовує цю криптографічну бібліотеку після оновлення або встановлення.

Якщо прапорці Intel IPP вимкнені або відсутні, Dell Encryption виконує криптографічні операції, викликаючи криптографічну бібліотеку Dell, перевірену FIPS (працює в режимі FIPS).

Коли прапорці Intel IPP увімкнено, ті самі виклики криптографічних функцій здійснюються до бібліотек Dell, перевірених FIPS, але процес працює в програмі в режимі без FIPS, а операції шифрування використовують бібліотеку Intel IPP для підвищення продуктивності.

Щоб вибрати режим роботи, змініть (або створіть) розділ реєстру:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Адміністратори можуть перевірити налаштування після встановлення цього реєстру після перезавантаження за допомогою файлу CMGShield.log:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Примітка: Dell Encryption для Mac завжди працює в режимі перевірки FIPS, і адміністратор Dell Encryption не потребує жодних змін.

    Застарілий криптографічний постачальник Dell Encryption Credant’s CMGCrypto більше не підтверджується NIST, хоча попередні сертифікаційні номери: 2156 і 2150

    Програмне повне шифрування диска

    Розділ реєстру можна змінити для вибору певного cryptoprovider і метод криптології з модифікацією криптографічної бібліотеки, яку використовує агент Dell Encryption:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Файли журналу Dell Encryption генерують рядки у файлі DellCommon.log, які вказують на режим, у якому працюють постачальники криптографічних послуг (розташування за замовчуванням C:\ProgramData\Dell\Dell Data Protection\).

    Рядок, що вказує на провайдера, який завантажується, представлений:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Примітка: Для зміни реєстру Enable_Provider потрібно перезавантажити пристрій, щоб він вступив в силу. Це значення реєстру споживається, якщо воно присутнє під час процесу налаштування, тобто клієнт Dell Encryption поважає значення ключа реєстру та використовує цю криптографічну бібліотеку після оновлення або встановлення.

    Керування режимом FIPS здійснюється за допомогою бібліотек FIPS від Microsoft, на які посилаються як BCrypt. Ці параметри можна ввімкнути за допомогою об'єкта групової політики для віддалено керованих машин, що можна зробити за допомогою консолі керування груповою політикою на комп'ютері, на якому встановлено Remote System Administration Toolkit (можна знайти тут: https://support.microsoft.com/en-us/help/2693643) Це гіперпосилання спрямовує вас на веб-сайт за межами Dell Technologies.

    Інформацію про реалізацію корпорацією Майкрософт перевірених бібліотек FIPS можна знайти тут: https://technet.microsoft.com/en-us/library/cc750357.aspx Це гіперпосилання спрямовує вас на веб-сайт за межами Dell Technologies.

    Щоб переглянути сертифікати FIPS для криптографічних бібліотек Microsoft, які використовує Dell Encryption Full Disk Encryption, перейдіть за посиланнями NIST.gov:

    Віддалено керовані пристрої за допомогою Active Directory

    Щоб увімкнути використання консолі керування груповими політиками (gpmc.msc), виконайте такі дії:

    Виберіть організаційну одиницю, в якій ця зміна необхідна.

    Примітка: Dell рекомендує тестувати та перевіряти будь-які зміни об'єкта групової політики, перш ніж застосовувати зміни у виробництві.

    Керування груповою політикою
    Малюнок 1: (Лише англійською мовою) Керування груповою політикою

    1. Назвіть новий об'єкт групової політики.

    Назвіть об'єкт групової політики
    Малюнок 2: (Лише англійською мовою) Назвіть об'єкт групової політики

    1. Клацніть правою кнопкою миші новий об'єкт групової політики та виберіть Редагувати.

    Редагування об'єкта групової політики
    Малюнок 3: (Лише англійською мовою) Редагування об'єкта групової політики

     
    Примітка: Політика, про яку йде мова, міститься в розділах «Політики конфігурації > комп'ютера», «Параметри > Windows», «Параметри > безпеки», «Локальні політики>», «Параметри > безпеки». Назва - Системна криптографія: Використовуйте FIPS-сумісні алгоритми для шифрування, хешування та підписання.
    1. Клацніть правою кнопкою миші політику та виберіть властивості , які потрібно змінити.

    Виберіть Властивості
    Малюнок 4: (Лише англійською мовою) Виберіть Властивості

    1. Увімкніть параметр Визначити цей параметр політики, а потім натисніть радіальну кнопку Увімкнено .

    Увімкніть параметр Визначити цей параметр політики
    Малюнок 5: (Лише англійською мовою) Увімкніть параметр Визначити цей параметр політики

    1. Натисніть застосувати.
    2. Закрийте редактор керування груповими політиками.

    Після додавання пристроїв до організаційної групи або будь-якої підгрупи (за винятком груп, успадкування яких заблоковано), цей новий об'єкт групової політики застосовується до цих пристроїв як оновлення політик груп машин. За замовчуванням це оновлення використовується кожні 2 години або під час перезавантаження комп'ютера.

    Після застосування цієї політики, коли на програмному забезпеченні Dell налаштовано шифрування повного диска, пристрій шифрується за допомогою FIPS-сумісних алгоритмів Microsoft.

    Локально керовані пристрої

    Ці опції також можна увімкнути локально за допомогою редактора локальної групової політики (gpedit.msc) або редактора локальної політики безпеки (secpol.msc).

    У локальному редакторі групової політики

    Політика, про яку йде мова, міститься в розділі «Конфігурація> комп'ютера», «Параметри>Windows», «Параметри> безпеки», «Локальні політики>», «Параметри безпеки». Назва - Системна криптографія: Використовуйте FIPS-сумісні алгоритми для шифрування, хешування та підписання.

    1. Клацніть правою кнопкою миші політику та виберіть властивості , які потрібно змінити.

    Властивості поліса
    Малюнок 6: (Лише англійською мовою) Властивості поліса

    1. Увімкніть параметр Визначити цей параметр політики, а потім натисніть радіальну кнопку Увімкнено .

    Увімкніть параметр Визначити цей параметр політики
    Малюнок 7: (Лише англійською мовою) Увімкніть параметр Визначити цей параметр політики

    1. Натисніть застосувати.
    2. Закрийте редактор керування груповими політиками.

    Це нове правило застосовується до цих пристроїв, коли їхні політики щодо комп'ютерів оновлюються. За замовчуванням це оновлення використовується кожні 2 години або під час перезавантаження комп'ютера.

    Після застосування цієї політики, коли на програмному забезпеченні Dell налаштовано шифрування повного диска, пристрій шифрується за допомогою FIPS-сумісних алгоритмів Microsoft.

    У редакторі локальної політики безпеки

    Політика, про яку йде мова, знаходиться в налаштуваннях> безпеки, локальних політиках>, параметрах безпеки. Назва - Системна криптографія: Використовуйте FIPS-сумісні алгоритми для шифрування, хешування та підписання.

    1. Клацніть правою кнопкою миші політику та виберіть властивості , які потрібно змінити.

    Властивості полісу
    Малюнок 8: (Лише англійською мовою) Властивості полісу

    1. Увімкніть параметр Визначити цей параметр політики, а потім натисніть радіальну кнопку Увімкнено .

    Увімкніть параметр Визначити цей параметр політики
    Малюнок 9: (Лише англійською мовою) Увімкніть параметр Визначити цей параметр політики

    1. Натисніть застосувати.
    2. Закрийте редактор керування груповими політиками.

    Це нове правило застосовується до цих пристроїв, коли їхні політики щодо комп'ютерів оновлюються. За замовчуванням це оновлення використовується кожні 2 години або під час перезавантаження комп'ютера.

    Після застосування цієї політики, коли на програмному забезпеченні Dell налаштовано шифрування повного диска, пристрій шифрується за допомогою FIPS-сумісних алгоритмів Microsoft.

    Увімкнути за допомогою запису реєстру

    FIPS-сумісні алгоритми Microsoft також можна ввімкнути за допомогою реєстру. Щоб увімкнути FIPS-сумісні бібліотеки, можна змінити розділ реєстру:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    При перезавантаженні ця політика вступає в силу. Після застосування цієї політики, коли на програмному забезпеченні Dell налаштовано шифрування повного диска, пристрій шифрується за допомогою FIPS-сумісних алгоритмів Microsoft.


    Щоб зв'язатися зі службою підтримки, зверніться за номерами телефонів міжнародної служби підтримки Dell Data Security.
    Перейдіть до TechDirect , щоб згенерувати запит на технічну підтримку онлайн.
    Щоб отримати додаткову інформацію та ресурси, приєднуйтесь до форуму спільноти Dell Security Community.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.