Soulad se standardem FIPS v nástroji Dell Encryption
Summary: Federální standardy pro zpracování informací (FIPS) jsou sadou pravidel, která popisují metody pro zpracování dat a jejich zpracování šifrovacími algoritmy na koncových bodech a napříč různými komunikačními kanály. Nástroj Dell Encryption využívá několik šifrovacích knihoven, přičemž základní aspekty šifrování jsou řízeny konfigurovatelnou kryptografickou knihovnou. ...
This article applies to
This article does not apply to
Symptoms
Dotčené produkty:
- Dell Encryption
- Dell Data Protection | Encryption
Ve verzi 10.1.0 byla aplikace Dell Encryption (dříve Dell Data Protection | Šifrování) Policy-Based Encryption používá kryptografický modulRSA BSAFE Crypto Module ověřený standardem FIPS. Tento nový zprostředkovatel kryptografických služeb je ve výchozím nastavení povolen při upgradu na nástroj Dell Encryption verze 10.1.0 nebo novější, pokud CSSStartFlags DWord není předvyplněný.
Stejná změna v poskytovatelích kryptografických služeb byla provedena pro softwarové šifrování celého disku společnosti Dell v nástroji Dell Encryption verze 10.3.0.
Kryptografický modul RSA BSAFE pracuje ve výchozím nastavení v režimu FIPS.
Certifikát FIPS pro kryptografický modul RSA BSAFE je k dispozici v nástroji NIST CMVP zde:
https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409
Cause
Není k dispozici
Resolution
Varování: Dalším krokem je úprava registru systému Windows:
- Než budete pokračovat, zálohujte registr. Postup zálohování a obnovení registru v systému Windows
.
- Úprava registru může způsobit, že počítač přestane po příštím restartování reagovat.
- Pokud máte obavy ohledně provedení tohoto kroku, použijte telefonická čísla mezinárodní podpory Dell Data Security a požádejte o pomoc.
Policy-Based Encryption
Klíč registru lze upravit tak, aby vybíral konkrétní cryptoprovider a metody kryptologie k úpravě kryptografické knihovny, kterou používá agent Dell Encryption:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE DWORD: CssStartFlags Various "Flags" can be set, with the options being: 0x80000000 BSAFE 0x80000010 BSAFE with reduced key security for higher performance 0x40000000 BCrypt 0x40000010 BCrypt with reduced key security for higher performance 0x20000000 CmgCrypt Non-Fips 0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance 0x20000002 CmgCrypt FIPS
Soubory protokolu nástroje Dell Encryption generují v souboru CMGshield.log řádky, které označují režim, ve kterém zprostředkovatelé kryptografických služeb pracují (výchozí umístění C:\ProgramData\Dell\Dell Data Protection\Encryption\).
Řádek označující poskytovatele, který se načítá, je reprezentován:
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption CffeEncrypterStartup -- Configuring MS BCRYPT Encryption CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x
Za tímto řádkem je napsán další řádek s popisem hodnoty, která byla spotřebována v registru:
CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Poznámka: Úprava CSSStartFlags vyžaduje restartování zařízení, aby se projevila. Tato hodnota registru se spotřebuje, pokud je přítomna během procesu instalace, což znamená, že klient Dell Encryption bude respektovat hodnotu klíče registru a využije tuto kryptografickou knihovnu po upgradu nebo instalaci.
Pokud jsou příznaky Intel IPP zakázány nebo nejsou přítomny, nástroj Dell Encryption provádí kryptografické operace voláním kryptografické knihovny ověřené standardem FIPS společnosti Dell (pracující v režimu FIPS).
Když jsou povoleny příznaky Intel IPP, do knihoven ověřených standardem FIPS společnosti Dell se volají stejné kryptografické funkce, proces však pracuje v aplikaci v režimu bez FIPS a operace šifrování používají knihovnu Intel IPP pro lepší výkon.
Chcete-li vybrat provozní režim, upravte (nebo vytvořte) klíč registru:
HKLM\System\CurrentControlSet\Services\CmgShieldFFE DWORD: UseIPPFlags Value: 0 or 2 (decimal) 0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode 2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.
Správci mohou ověřit nastavení po nastavení tohoto registru po restartování pomocí souboru CMGShield.log:
"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
Poznámka: Nástroj Dell Encryption for Mac vždy probíhá v režimu ověřeném standardem FIPS a správce nástroje Dell Encryption jej nemusí upravovat.
Starší poskytovatel kryptografických služeb Dell Encryption Credant’s CMGCrypto již není validován NIST, i když dřívější certifikační čísla jsou: 2156 a 2150
Softwarové šifrování celého disku
Klíč registru lze upravit tak, aby vybíral konkrétní cryptoprovider a metody kryptologie k úpravě kryptografické knihovny, kterou používá agent Dell Encryption:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE DWORD: Enable_Provider Various providers can be set, with the options being: 0x00000001 Software-based AES 0x00000002 Processor-driven AES-NI 0x00000004 Microsoft BCrypt 0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance) 0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance) 0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
Soubory protokolu nástroje Dell Encryption generují v souboru DellCommon.log řádky, které označují režim, ve kterém zprostředkovatelé kryptografických služeb pracují (výchozí umístění C:\ProgramData\Dell\Dell Data Protection\).
Řádek označující poskytovatele, který se načítá, je reprezentován:
FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
Poznámka: Aby se změna Enable_Provider projevila, je nutné restartovat zařízení. Tato hodnota registru se spotřebuje, pokud je přítomna během procesu instalace, což znamená, že klient Dell Encryption bude respektovat hodnotu klíče registru a využije tuto kryptografickou knihovnu po upgradu nebo instalaci.
Režim FIPS se spravuje pomocí knihoven FIPS společnosti Microsoft, které se označují jako BCrypt. Tyto možnosti lze povolit pomocí objektu zásad skupiny pro vzdáleně spravované počítače, což lze provést prostřednictvím konzole pro správu zásad skupiny v počítači s nainstalovanou sadou nástrojů pro vzdálenou správu systému (nachází se zde: https://support.microsoft.com/en-us/help/2693643)
Informace o implementaci ověřených knihoven FIPS společností Microsoft najdete zde: https://technet.microsoft.com/en-us/library/cc750357.aspx
Chcete-li se seznámit s certifikacemi FIPS pro kryptografické knihovny společnosti Microsoft, které využívá nástroj Full Disk Encryption nástroje Dell Encryption, přečtěte si NIST.gov odkazy:
- Certifikát úrovně 2 pro kryptografická primitiva: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
- Certifikát úrovně 2 pro kryptografické funkce jádra: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095
Vzdáleně spravovaná zařízení pomocí služby Active Directory
Povolení pomocí Konzole pro správu zásad skupiny (gpmc.msc):
Vyberte organizační jednotku, ve které je tato změna vyžadována.
Poznámka: Společnost Dell doporučuje před použitím změn v produkčním prostředí otestovat a ověřit veškeré změny objektu zásad skupiny.
Obrázek 1: (Pouze v angličtině) Správa zásad skupiny
- Pojmenujte nový objekt zásad skupiny.
Obrázek 2: (Pouze v angličtině) Pojmenování objektu zásad skupiny
- Klikněte pravým tlačítkem myši na nový objekt zásad skupiny a vyberte možnost Upravit.
Obrázek 3: (Pouze v angličtině) Úprava objektu zásad skupiny
Poznámka: Dotyčná zásada se nachází v části Konfigurace > počítače, > Nastavení > systému Windows, Nastavení > zabezpečení, Místní zásady > , Možnosti zabezpečení. Název je Systémová kryptografie: K šifrování, hashování a podepisování používejte algoritmy kompatibilní se standardem FIPS.
- Klikněte pravým tlačítkem na zásadu a vyberte vlastnosti, které chcete upravit.
Obrázek 4: (Pouze v angličtině) Výběr možnosti Vlastnosti.
- Povolte možnost Definovat toto nastavení zásad a poté vyberte přepínač Povoleno .
Obrázek 5: (Pouze v angličtině) Povolte možnost Definovat toto nastavení zásad
- Klikněte na tlačítko Použít.
- Zavřete Editor pro správu zásad skupiny.
Jakmile jsou zařízení přidána do organizační skupiny nebo jakékoli podskupiny (s výjimkou skupin, které mají blokovanou dědičnost ), tento nový objekt Zásady skupiny se použije na tato zařízení jako aktualizace zásad skupiny počítačů. Výchozí nastavení této aktualizace je každé 2 hodiny nebo při restartování počítače.
Po použití této zásady a nastavení softwarového šifrování celého disku společnosti Dell na šifrování se zařízení zašifruje pomocí algoritmů společnosti Microsoft kompatibilních se standardem FIPS.
Místně spravovaná zařízení
Tyto možnosti lze také povolit místně pomocí místního Editoru zásad skupiny (gpedit.msc) nebo pomocí Editoru místních zásad zabezpečení (secpol.msc).
V místním Editoru zásad skupiny
Dotyčná zásada se nachází v části Konfigurace> počítače, Nastavení> systému Windows, Nastavení> zabezpečení , Místní zásady>, Možnosti zabezpečení. Název je Systémová kryptografie: K šifrování, hashování a podepisování používejte algoritmy kompatibilní se standardem FIPS.
- Klikněte pravým tlačítkem na zásadu a vyberte vlastnosti, které chcete upravit.
Obrázek 6: (Pouze v angličtině) Vlastnosti zásady
- Povolte možnost Definovat toto nastavení zásad a poté vyberte přepínač Povoleno .
Obrázek 7: (Pouze v angličtině) Povolte možnost Definovat toto nastavení zásad
- Klikněte na tlačítko Použít.
- Zavřete Editor pro správu zásad skupiny.
Tato nová zásada se vztahuje na tato zařízení, protože se aktualizují zásady počítače. Výchozí nastavení této aktualizace je každé 2 hodiny nebo při restartování počítače.
Po použití této zásady a nastavení softwarového šifrování celého disku společnosti Dell na šifrování se zařízení zašifruje pomocí algoritmů společnosti Microsoft kompatibilních se standardem FIPS.
V editoru místních zásad zabezpečení
Dotyčná zásada se nachází v části Nastavení> zabezpečení, Místní zásady>, Možnosti zabezpečení. Název je Systémová kryptografie: K šifrování, hashování a podepisování používejte algoritmy kompatibilní se standardem FIPS.
- Klikněte pravým tlačítkem na zásadu a vyberte vlastnosti, které chcete upravit.
Obrázek 8: (Pouze v angličtině) Vlastnosti zásady
- Povolte možnost Definovat toto nastavení zásad a poté vyberte přepínač Povoleno .
Obrázek 9: (Pouze v angličtině) Povolte možnost Definovat toto nastavení zásad
- Klikněte na tlačítko Použít.
- Zavřete Editor pro správu zásad skupiny.
Tato nová zásada se vztahuje na tato zařízení, protože se aktualizují zásady počítače. Výchozí nastavení této aktualizace je každé 2 hodiny nebo při restartování počítače.
Po použití této zásady a nastavení softwarového šifrování celého disku společnosti Dell na šifrování se zařízení zašifruje pomocí algoritmů společnosti Microsoft kompatibilních se standardem FIPS.
Povolit pomocí položky registru
Algoritmy Microsoftu kompatibilní se standardem FIPS je také možné povolit pomocí registru. Pokud chcete povolit knihovny kompatibilní se standardem FIPS, můžete upravit klíč registru:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy DWORD: Enabled Value: 1
Při restartování se tato zásada projeví. Po použití této zásady a nastavení softwarového šifrování celého disku společnosti Dell na šifrování se zařízení zašifruje pomocí algoritmů společnosti Microsoft kompatibilních se standardem FIPS.
Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
Další informace a zdroje získáte na fóru komunity Dell Security.