Dell Encryption FIPS-overholdelse

En registreringsdatabasenøgle kan ændres for at vælge en bestemt cryptoprovider og kryptologimetode med henblik på at ændre det kryptografiske bibliotek, som Dell Encryption Agent bruger:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryptions logfiler genererer linjer i CMGshield.log-filen for at angive den tilstand, som de kryptografiske udbydere opererer i (standardplaceringen af C:\ProgramData\Dell\Dell Data Protection\Encryption\).

En linje, der angiver den udbyder, der indlæses, er repræsenteret af:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Ud over denne linje skrives en anden linje, der beskriver den værdi, der blev forbrugt i registreringsdatabasen:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Hvis Intel IPP-flagene er deaktiveret eller ikke findes, udfører Dell Encryption kryptografiske handlinger ved at kalde Dells FIPS-validerede kryptografiske bibliotek (der fungerer i FIPS-tilstand).

Når Intel IPP-flag er aktiveret, foretages de samme kryptografiske funktionskald til Dells FIPS-validerede biblioteker, men processen fungerer i programmet i ikke-FIPS-tilstand, og krypteringshandlingerne bruger Intel IPP-biblioteket til forbedret ydeevne.

Hvis du vil vælge driftstilstand, skal du ændre (eller oprette) registreringsdatabasenøglen:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Administratorer kan validere indstillingen, når registreringsdatabasen er indstillet, efter genstart ved hjælp af CMGShield.log filen:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Dell Encryptions ældre kryptografiske udbyder af Credant’s CMGCrypto ikke længere valideres af NIST, selvom de tidligere certificeringsnumre er: 2156 og 2150

En registreringsdatabasenøgle kan ændres for at vælge en bestemt cryptoprovider og kryptologimetode med henblik på at ændre det kryptografiske bibliotek, som Dell Encryption Agent bruger:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Dell Encryptions logfiler genererer linjer i DellCommon.log-filen for at angive den tilstand, som de kryptografiske udbydere arbejder i (standardplacering for C:\ProgramData\Dell\Dell Data Protection\).

En linje, der angiver den udbyder, der indlæses, er repræsenteret af:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

FIPS-tilstand administreres ved hjælp af Microsofts FIPS-biblioteker, der refereres til som BCrypt. Disse indstillinger kan aktiveres ved hjælp af et gruppepolitikobjekt til fjernadministrerede maskiner, hvilket kan gøres via gruppepolitikadministrationskonsollen på en computer, hvor værktøjssættet til fjernsystemadministration er installeret (findes her: https://support.microsoft.com/en-us/help/2693643)

Du kan finde oplysninger om Microsofts implementering af de FIPS-validerede biblioteker her: https://technet.microsoft.com/en-us/library/cc750357.aspx

Du kan gennemse FIPS-certificeringerne til Microsofts kryptografiske biblioteker, som Dell Encryptions Full Disk Encryption udnytter, ved at se NIST.gov links:

• Niveau 2-certifikat for kryptografiske primitiver: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Niveau 2-certifikat til kernekryptografiske funktioner: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Fjernadministrerede enheder ved brug af Active Directory

Sådan aktiveres brug af gruppepolitikadministrationskonsol (gpmc.msc):

Vælg den afdeling, hvor denne ændring er påkrævet.

Figur 1: (Kun på engelsk) Administration af gruppepolitik

1. Navngiv det nye gruppepolitikobjekt.

Figur 2: (Kun på engelsk) Navngiv gruppepolitikobjektet

2. Højreklik på det nye gruppepolitikobjekt, og vælg Rediger.

Figur 3: (Kun på engelsk) Rediger gruppepolitikobjektet

3. Højreklik på politikken, og vælg egenskaber , der skal redigeres.

Figur 4: (Kun på engelsk) Vælg egenskaber

4. Aktivér indstillingen Definer denne politikindstilling, og vælg derefter radialknappen Aktiveret .

Figur 5: (Kun på engelsk) Aktivér indstillingen Definer denne politik

5. Klik på Anvend.
6. Luk editoren for styring af gruppepolitik.

Når enhederne er føjet til organisationsgruppen eller en undergruppe (undtagen grupper, hvor nedarvning er blokeret), gælder dette nye gruppepolitikobjekt for disse enheder som deres opdatering af maskingruppepolitikker. Standardindstillingen for denne opdatering er hver 2. time, eller ved genstart af maskinen.

Når denne politik er anvendt, og når Dells softwarebaserede fulde diskkryptering er indstillet til kryptering, krypteres enheden ved hjælp af Microsofts FIPS-kompatible algoritmer.

Lokalt administrerede enheder

Disse indstillinger kan også aktiveres lokalt via den lokale Group Policy Editor (gpedit.msc) eller via editoren Local Security Policy (secpol.msc).

I den lokale gruppepolitikeditor

Den pågældende politik findes i Computerkonfiguration,>Windows-indstillinger>, sikkerhedsindstillinger>, lokale politikker>, sikkerhedsindstillinger. Titlen er Systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering.

1. Højreklik på politikken, og vælg egenskaber , der skal redigeres.

Figur 6: (Kun på engelsk) Egenskaber for politikken

2. Aktivér indstillingen Definer denne politikindstilling, og vælg derefter radialknappen Aktiveret .

Figur 7: (Kun på engelsk) Aktivér indstillingen Definer denne politik

3. Klik på Anvend.
4. Luk editoren for styring af gruppepolitik.

Denne nye politik gælder for disse enheder, efterhånden som deres maskinpolitikker opdateres. Standardindstillingen for denne opdatering er hver 2. time, eller ved genstart af maskinen.

Når denne politik er anvendt, og når Dells softwarebaserede fulde diskkryptering er indstillet til kryptering, krypteres enheden ved hjælp af Microsofts FIPS-kompatible algoritmer.

I Editor til lokal sikkerhedspolitik

Den pågældende politik findes i Sikkerhedsindstillinger>, Lokale politikker>, Sikkerhedsindstillinger. Titlen er Systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering.

1. Højreklik på politikken, og vælg egenskaber , der skal redigeres.

Figur 8: (Kun på engelsk) Egenskaber for politik

2. Aktivér indstillingen Definer denne politikindstilling, og vælg derefter radialknappen Aktiveret .

Figur 9: (Kun på engelsk) Aktivér indstillingen Definer denne politik

3. Klik på Anvend.
4. Luk editoren for styring af gruppepolitik.

Denne nye politik gælder for disse enheder, efterhånden som deres maskinpolitikker opdateres. Standardindstillingen for denne opdatering er hver 2. time, eller ved genstart af maskinen.

Når denne politik er anvendt, og når Dells softwarebaserede fulde diskkryptering er indstillet til kryptering, krypteres enheden ved hjælp af Microsofts FIPS-kompatible algoritmer.

Aktivér brug af post i registreringsdatabasen

Microsofts FIPS-kompatible algoritmer kan også aktiveres ved hjælp af registreringsdatabasen. Hvis du vil aktivere FIPS-kompatible biblioteker, kan du ændre registreringsdatabasenøglen:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Denne politik træder i kraft ved genstart. Når denne politik er anvendt, og når Dells softwarebaserede fulde diskkryptering er indstillet til kryptering, krypteres enheden ved hjælp af Microsofts FIPS-kompatible algoritmer.