Dell Encryption FIPSコンプライアンス
Summary: 連邦情報処理標準(FIPS)は、エンドポイントやさまざまな通信チャネルにおける暗号化アルゴリズムによるデータの取り扱いおよび処理方法を定めたルールセットです。Dell Encryptionは複数の暗号化ライブラリーを利用しており、暗号化のコア部分は構成可能な暗号化ライブラリーによって制御されます。
This article applies to
This article does not apply to
Symptoms
対象製品:
- Dell Encryption
- Dell Data Protection | Encryption
v10.1.0では、Dell Encryptionの(旧Dell Data Protection |暗号化)ポリシーベースの暗号化では、FIPS検証済みの暗号モジュールであるRSA BSAFE Crypto Moduleを使用します。この新しい暗号化プロバイダーは、次の場合、Dell Encryption v10.1.0以降にアップグレードするとデフォルトで有効になります。 CSSStartFlags DWord は事前入力されていません。
暗号化プロバイダーにおけるこの同じ変更は、Dell Encryption v10.3.0のDellのソフトウェアベースのフル ディスク暗号化に対して行われました。
RSA BSAFE Crypto Module は、デフォルトでFIPSモードで動作します。
RSA BSAFE Crypto ModuleのFIPS証明書は、NIST CMVPの次の場所で入手できます。
https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409
Cause
-
Resolution
Warning: 次の手順は、Windowsレジストリーの編集です。
- 続行する前にレジストリーをバックアップします。「Windows
でレジストリーをバックアップおよび復元する方法」を参照してください。
- レジストリーを編集すると、次回の再起動時にコンピューターが応答しなくなる可能性があります。
- この手順の実行について懸念がある場合は、「デル データ セキュリティのインターナショナル サポート電話番号」にお問い合わせください。
ポリシーベースの暗号化
レジストリー キーを変更して、特定の cryptoprovider Dell Encryptionエージェントが使用する暗号ライブラリーを変更するには、暗号化の方法を使用します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE DWORD: CssStartFlags Various "Flags" can be set, with the options being: 0x80000000 BSAFE 0x80000010 BSAFE with reduced key security for higher performance 0x40000000 BCrypt 0x40000010 BCrypt with reduced key security for higher performance 0x20000000 CmgCrypt Non-Fips 0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance 0x20000002 CmgCrypt FIPS
Dell Encryptionのログ ファイルは、暗号化プロバイダーが動作しているモード(C:\ProgramData\Dell\Dell Data Protection\Encryption\のデフォルトの場所)を示す行をCMGshield.logファイル内に生成します。
読み込まれているプロバイダーを示す行は、次のように表されます。
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption CffeEncrypterStartup -- Configuring MS BCRYPT Encryption CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x
この行の先には、レジストリで使用された値の概要を示す別の行が書き込まれます。
CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
注:CSSStartFlags を変更するには、デバイスを再起動する必要があります。このレジストリー値は、セットアップ プロセス中に存在する場合に使用されます。つまり、Dell Encryptionクライアントはレジストリー キーの値を尊重し、アップグレードまたはインストール後にその暗号化ライブラリーを活用します。
インテルIPPフラグが無効になっているか存在しない場合、Dell EncryptionはDellのFIPS検証済み暗号ライブラリー(FIPSモードで動作)を呼び出して暗号操作を実行します。
インテル(R) IPP フラグを有効にすると、デルの FIPS 検証済みライブラリに対して同じ暗号関数呼び出しが行われますが、プロセスは非 FIPS モードでアプリケーション内で動作し、暗号化操作ではパフォーマンス向上のためにインテル(R) IPP ライブラリを使用します。
動作モードを選択するには、レジストリー キーを変更(または作成)します。
HKLM\System\CurrentControlSet\Services\CmgShieldFFE DWORD: UseIPPFlags Value: 0 or 2 (decimal) 0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode 2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.
管理者は、このレジストリーを設定した後、再起動後にCMGShield.logファイルを使用して設定を検証できます。
"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
注:Dell Encryption for Macは常にFIPS検証済みモードで処理されるため、Dell Encryption管理者による変更は必要ありません。
Dell Encryptionのレガシー暗号化プロバイダーである Credant’s CMGCrypto NISTによる検証は行われなくなりましたが、以前の認定番号は次のとおりです。2156および2150
ソフトウェアベースのフル ディスク暗号化
レジストリー キーを変更して、特定の cryptoprovider Dell Encryptionエージェントが使用する暗号ライブラリーを変更するには、暗号化の方法を使用します。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE DWORD: Enable_Provider Various providers can be set, with the options being: 0x00000001 Software-based AES 0x00000002 Processor-driven AES-NI 0x00000004 Microsoft BCrypt 0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance) 0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance) 0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
Dell Encryptionのログ ファイルは、暗号化プロバイダーが動作しているモード(C:\ProgramData\Dell\Dell Data Protection\のデフォルトの場所)を示す行をDellCommon.logファイル内に生成します。
読み込まれているプロバイダーを示す行は、次のように表されます。
FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
注:Enable_Providerレジストリーの変更を有効にするには、デバイスを再起動する必要があります。このレジストリー値は、セットアップ プロセス中に存在する場合に使用されます。つまり、Dell Encryptionクライアントはレジストリー キーの値を尊重し、アップグレードまたはインストール後にその暗号化ライブラリーを活用します。
FIPSモードは、MicrosoftのFIPSライブラリを使用して管理されます。 BCrypt」これらのオプションは、リモートで管理されているマシンのグループ ポリシー オブジェクトを使用して有効にできます。これは、Remote System Administration Toolkit がインストールされているコンピューター上のグループ ポリシー管理コンソールを使用して実行できます (次の場所にあります)。https://support.microsoft.com/en-us/help/2693643)
MicrosoftによるFIPS検証済みライブラリーの実装に関する情報については、https://technet.microsoft.com/en-us/library/cc750357.aspx を参照してください。
Dell Encryptionのフル ディスク暗号化で活用されているMicrosoftの暗号化ライブラリーのFIPS認定を確認するには、次のリンクを参照してください NIST.gov。
- 暗号化プリミティブのレベル2証明書: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
- カーネル暗号化機能のレベル2証明書: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095
Active Directoryを使用したリモート管理デバイス
グループ ポリシー管理コンソール (gpmc.msc) を使用して有効にするには:
この変更が必要な組織単位を選択します。
注:Dellでは、本番環境に変更を適用する前に、グループ ポリシー オブジェクトの変更をテストおよび検証することをお勧めします。
図1: (英語のみ)グループ ポリシー管理
- 新しいグループ ポリシー オブジェクトに名前を付けます。
図2:(英語のみ)グループ ポリシー オブジェクトに名前を付ける
- 新しいグループ ポリシー オブジェクトを右クリックし、[ 編集]を選択します。
図3:(英語のみ)グループ ポリシー オブジェクトの編集
注:問題のポリシーは、[コンピューターの構成>ポリシー] [Windows の設定>] > [セキュリティ設定>] [ローカル ポリシー] > [セキュリティ オプション] にあります。タイトルは 「System cryptography: 暗号化、ハッシュ、署名にFIPS準拠のアルゴリズムを使用します。
- ポリシーを右クリックし、変更する プロパティ を選択します。
図4:(英語のみ)[Properties]の選択
- [このポリシー設定を定義する] オプションを有効にし、[有効] ラジオ ボタンを選択します。
![[このポリシー設定を定義する] を有効にします](https://supportkb.dell.com/img/ka06P0000008zUhQAI/ka06P0000008zUhQAI_ja_5.jpeg)
図5:(英語のみ)[このポリシー設定を定義する] を有効にします
- [適用] をクリックします。
- グループ ポリシー管理エディターを閉じます。
デバイスが組織グループまたはサブグループ( 継承 がブロックされているグループを除く)に追加されると、マシン グループ ポリシーの更新時に、この新しいグループ ポリシー オブジェクトがそれらのデバイスに適用されます。このアップデートのデフォルト設定は、2時間ごと、またはマシンの再起動時です。
このポリシーが適用されると、Dellのソフトウェアベースのフル ディスク暗号化が暗号化に設定されると、デバイスはMicrosoftのFIPS準拠アルゴリズムを使用して暗号化されます。
ローカルで管理されるデバイス
これらのオプションは、ローカル グループ ポリシー エディター (gpedit.msc) またはローカル セキュリティ ポリシー エディター (secpol.msc) を使用してローカルで有効にすることもできます。
ローカル グループ ポリシー エディターで、次の手順を実行します。
問題のポリシーは、[コンピューターの構成>]、[Windowsの設定]>、[セキュリティ設定>]、[ローカル ポリシー]>、[セキュリティ オプション]にあります。タイトルは 「System cryptography: 暗号化、ハッシュ、署名にFIPS準拠のアルゴリズムを使用します。
- ポリシーを右クリックし、変更する プロパティ を選択します。
図6:(英語のみ)ポリシーのプロパティ
- [このポリシー設定を定義する] オプションを有効にし、[有効] ラジオ ボタンを選択します。
![[このポリシー設定を定義する] を有効にします](https://supportkb.dell.com/img/ka06P0000008zUhQAI/ka06P0000008zUhQAI_ja_7.jpeg)
図7:(英語のみ)[このポリシー設定を定義する] を有効にします
- [適用] をクリックします。
- グループ ポリシー管理エディターを閉じます。
この新しいポリシーは、マシンポリシーの更新時にこれらのデバイスに適用されます。このアップデートのデフォルト設定は、2時間ごと、またはマシンの再起動時です。
このポリシーが適用されると、Dellのソフトウェアベースのフル ディスク暗号化が暗号化に設定されると、デバイスはMicrosoftのFIPS準拠アルゴリズムを使用して暗号化されます。
ローカル セキュリティ ポリシー エディター
問題のポリシーは、 セキュリティ設定>ローカルポリシーセキュリティ>オプションにあります。タイトルは 「System cryptography: 暗号化、ハッシュ、署名にFIPS準拠のアルゴリズムを使用します。
- ポリシーを右クリックし、変更する プロパティ を選択します。
図8:(英語のみ)ポリシーのプロパティ
- [このポリシー設定を定義する] オプションを有効にし、[有効] ラジオ ボタンを選択します。
![[このポリシー設定を定義する] を有効にします](https://supportkb.dell.com/img/ka06P0000008zUhQAI/ka06P0000008zUhQAI_ja_9.jpeg)
図9:(英語のみ)[このポリシー設定を定義する] を有効にします
- [適用] をクリックします。
- グループ ポリシー管理エディターを閉じます。
この新しいポリシーは、マシンポリシーの更新時にこれらのデバイスに適用されます。このアップデートのデフォルト設定は、2時間ごと、またはマシンの再起動時です。
このポリシーが適用されると、Dellのソフトウェアベースのフル ディスク暗号化が暗号化に設定されると、デバイスはMicrosoftのFIPS準拠アルゴリズムを使用して暗号化されます。
レジストリー エントリーを使用して有効にする
Microsoft の FIPS 準拠アルゴリズムは、レジストリを使用して有効にすることもできます。FIPS準拠のライブラリを有効にするには、レジストリー キーを変更します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy DWORD: Enabled Value: 1
再起動時に、このポリシーが有効に設定されます。このポリシーが適用されると、Dellのソフトウェアベースのフル ディスク暗号化が暗号化に設定されると、デバイスはMicrosoftのFIPS準拠アルゴリズムを使用して暗号化されます。
サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。