Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Encryption FIPS 규정 준수

Summary: FIPS(Federal Information Processing Standard)는 엔드포인트 및 다양한 통신 채널에서 암호화 알고리즘에 의해 데이터가 처리되고 처리되는 방법에 대한 방법을 설명하는 규칙 집합입니다. Dell Encryption은 여러 암호화 라이브러리를 활용하며, 핵심 암호화 측면은 구성 가능한 암호화 라이브러리를 통해 제어됩니다. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

영향을 받는 제품:

  • Dell Encryption
  • Dell Data Protection | Encryption

v10.1.0에서 Dell Encryption(이전 Dell Data Protection | 암호화): 정책 기반 암호화는 FIPS 검증 암호화 모듈인 RSA BSAFE Crypto Module을 사용합니다. 이 새 암호화 공급자는 Dell Encryption v10.1.0 이상으로 업그레이드할 때 기본적으로 활성화됩니다. CSSStartFlags DWord 은(는) 미리 채워지지 않습니다.

Dell Encryption v10.3.0의 Dell 소프트웨어 기반 Full Disk Encryption에서도 암호화 공급자에 대한 동일한 변경 사항이 적용되었습니다.

RSA BSAFE Crypto Module 은 기본적으로 FIPS 모드에서 작동합니다.

RSA BSAFE Crypto Module에 대한 FIPS 인증서는 NIST CMVP에서 사용할 수 있습니다.

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.

Cause

해당 사항 없음

Resolution

Warning: 다음 단계는 Windows 레지스트리 편집입니다.

정책 기반 암호화

레지스트리 키를 수정하여 특정 cryptoprovider 및 암호화 방법을 사용하여 Dell Encryption 에이전트에서 사용하는 암호화 라이브러리를 수정합니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryption의 로그 파일은 CMGshield.log 파일 내에 줄을 생성하여 암호화 공급자가 작동하는 모드(기본 위치: C:\ProgramData\Dell\Dell Data Protection\Encryption\)를 나타냅니다.

로드 중인 공급자를 나타내는 줄은 다음과 같이 표시됩니다.

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

이 줄 너머에는 레지스트리에서 사용된 값을 간략하게 설명하는 또 다른 줄이 작성됩니다.

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
참고: CSSStartFlags를 수정하려면 장치를 다시 부팅해야 합니다. 이 레지스트리 값은 설치 프로세스 중에 존재하는 경우 사용됩니다. 즉, Dell Encryption 클라이언트는 레지스트리 키의 값을 존중하고 업그레이드 또는 설치 후 해당 암호화 라이브러리를 활용합니다.

인텔 IPP 플래그가 비활성화되어 있거나 없는 경우 Dell Encryption은 Dell의 FIPS 검증 암호화 라이브러리(FIPS 모드에서 작동)를 호출하여 암호화 작업을 수행합니다.

인텔 IPP 플래그가 활성화되면 Dell의 FIPS 검증 라이브러리에 대해 동일한 암호화 함수 호출이 수행되지만 프로세스는 애플리케이션 내에서 비 FIPS 모드로 작동하며 암호화 작업은 성능 향상을 위해 인텔 IPP 라이브러리를 사용합니다.

작업 모드를 선택하려면 레지스트리 키를 수정(또는 생성)합니다.

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    관리자는 이 레지스트리를 설정한 후 재부팅 후 CMGShield.log 파일을 사용하여 설정을 검증할 수 있습니다.

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    참고: Mac용 Dell Encryption은 항상 FIPS 검증 모드에서 처리되며 Dell Encryption 관리자의 수정이 필요하지 않습니다.

    Dell Encryption의 레거시 암호화 공급업체인 Credant’s CMGCrypto 이전 인증 번호는 다음과 같지만 더 이상 NIST에서 유효성을 검사하지 않습니다. 2156 및 2150

    소프트웨어 기반 Full Disk Encryption

    레지스트리 키를 수정하여 특정 cryptoprovider 및 암호화 방법을 사용하여 Dell Encryption 에이전트에서 사용하는 암호화 라이브러리를 수정합니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Dell Encryption의 로그 파일은 DellCommon.log 파일 내에 줄을 생성하여 암호화 공급자가 작동하는 모드(기본 위치: C:\ProgramData\Dell\Dell Data Protection\)를 나타냅니다.

    로드 중인 공급자를 나타내는 줄은 다음과 같이 표시됩니다.

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    참고: Enable_Provider 레지스트리를 수정한 경우 디바이스를 재부팅해야 적용됩니다. 이 레지스트리 값은 설치 프로세스 중에 존재하는 경우 사용됩니다. 즉, Dell Encryption 클라이언트는 레지스트리 키의 값을 존중하고 업그레이드 또는 설치 후 해당 암호화 라이브러리를 활용합니다.

    FIPS 모드는 Microsoft의 FIPS 라이브러리를 사용하여 관리됩니다. BCrypt를 검색합니다. 이러한 옵션은 원격으로 관리되는 컴퓨터용 그룹 정책 개체를 사용하여 사용하도록 설정할 수 있으며, 이 작업은 Remote System Administration Toolkit이 설치된 컴퓨터의 그룹 정책 관리 콘솔을 통해 수행할 수 있습니다(위치: https://support.microsoft.com/en-us/help/2693643) 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.

    Microsoft의 FIPS 검증 라이브러리 구현에 대한 정보는 여기에서 확인할 수 있습니다 https://technet.microsoft.com/en-us/library/cc750357.aspx 이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.

    Dell Encryption의 Full Disk Encryption에서 활용하는 Microsoft의 암호화 라이브러리에 대한 FIPS 인증을 검토하려면 NIST.gov 링크를 참조하십시오.

    Active Directory를 사용하여 원격으로 관리되는 디바이스

    그룹 정책 관리 콘솔(gpmc.msc)을 사용하여 활성화하려면 다음을 수행합니다.

    변경이 필요한 조직 단위를 선택합니다.

    참고: Dell은 운영 환경에 적용하기 전에 그룹 정책 개체 변경 사항을 테스트하고 검증하는 것을 권장합니다.

    그룹 정책 관리
    그림 1: (영어로만 제공) 그룹 정책 관리

    1. 새 그룹 정책 개체의 이름을 지정합니다.

    그룹 정책 개체 이름 지정
    그림 2: (영어로만 제공) 그룹 정책 개체 이름 지정

    1. 새 그룹 정책 개체를 마우스 오른쪽 버튼으로 클릭하고 Edit를 선택합니다.

    그룹 정책 개체 편집
    그림 3: (영어로만 제공) 그룹 정책 개체 편집

     
    참고: 문제의 정책은 컴퓨터 구성 > 정책Windows > 설정 > 보안 설정 > 로컬 정책보안 > 옵션에 있습니다. 제목은 시스템 암호화입니다. 암호화, 해싱 및 서명에 FIPS 호환 알고리듬을 사용합니다.
    1. 정책을 마우스 오른쪽 버튼으로 클릭하고 수정할 속성을 선택합니다.

    속성을 선택합니다.
    그림 4: (영어로만 제공) 속성 선택

    1. 이 정책 설정 정의 옵션을 사용하도록 설정한 다음, 사용 방사형 단추를 선택합니다.

    이 정책 정의 설정 사용
    그림 5: (영어로만 제공) 이 정책 정의 설정 사용

    1. 적용을 클릭합니다.
    2. 그룹 정책 관리 편집기를 닫습니다.

    장치가 조직 그룹 또는 하위 그룹( 상속 이 차단된 그룹 제외)에 추가되면 이 새 그룹 정책 개체는 컴퓨터 그룹 정책이 업데이트될 때 해당 장치에 적용됩니다. 이 업데이트의 기본 설정은 2시간마다 또는 컴퓨터 재부팅 시입니다.

    이 정책이 적용된 후 Dell의 소프트웨어 기반 전체 디스크 암호화가 암호화로 설정되면 디바이스는 Microsoft의 FIPS 호환 알고리듬을 사용하여 암호화됩니다.

    로컬로 관리되는 디바이스

    이러한 옵션은 로컬 그룹 정책 편집기(gpedit.msc) 또는 로컬 보안 정책 편집기(secpol.msc)를 통해 로컬로 사용하도록 설정할 수도 있습니다.

    로컬 그룹 정책 편집기에서

    문제의 정책은 컴퓨터 구성> Windows 설정>보안 설정>로컬 정책보안>옵션에 있습니다. 제목은 시스템 암호화입니다. 암호화, 해싱 및 서명에 FIPS 호환 알고리듬을 사용합니다.

    1. 정책을 마우스 오른쪽 버튼으로 클릭하고 수정할 속성을 선택합니다.

    정책의 속성
    그림 6: (영어로만 제공) 정책의 속성

    1. 이 정책 설정 정의 옵션을 사용하도록 설정한 다음, 사용 방사형 단추를 선택합니다.

    이 정책 정의 설정 사용
    그림 7: (영어로만 제공) 이 정책 정의 설정 사용

    1. 적용을 클릭합니다.
    2. 그룹 정책 관리 편집기를 닫습니다.

    이 새 정책은 컴퓨터 정책이 업데이트됨에 따라 해당 장치에 적용됩니다. 이 업데이트의 기본 설정은 2시간마다 또는 컴퓨터 재부팅 시입니다.

    이 정책이 적용된 후 Dell의 소프트웨어 기반 전체 디스크 암호화가 암호화로 설정되면 디바이스는 Microsoft의 FIPS 호환 알고리듬을 사용하여 암호화됩니다.

    로컬 보안 정책 편집기에서

    문제의 정책은 Security SettingsLocal>PoliciesSecurity Options> 에 있습니다. 제목은 시스템 암호화입니다. 암호화, 해싱 및 서명에 FIPS 호환 알고리듬을 사용합니다.

    1. 정책을 마우스 오른쪽 버튼으로 클릭하고 수정할 속성을 선택합니다.

    정책의 속성
    그림 8: (영어로만 제공) 정책의 속성

    1. 이 정책 설정 정의 옵션을 사용하도록 설정한 다음, 사용 방사형 단추를 선택합니다.

    이 정책 정의 설정 사용
    그림 9: (영어로만 제공) 이 정책 정의 설정 사용

    1. 적용을 클릭합니다.
    2. 그룹 정책 관리 편집기를 닫습니다.

    이 새 정책은 컴퓨터 정책이 업데이트됨에 따라 해당 장치에 적용됩니다. 이 업데이트의 기본 설정은 2시간마다 또는 컴퓨터 재부팅 시입니다.

    이 정책이 적용된 후 Dell의 소프트웨어 기반 전체 디스크 암호화가 암호화로 설정되면 디바이스는 Microsoft의 FIPS 호환 알고리듬을 사용하여 암호화됩니다.

    레지스트리 항목을 사용하여 활성화

    레지스트리를 사용하여 Microsoft의 FIPS 호환 알고리즘을 사용하도록 설정할 수도 있습니다. FIPS 규격 라이브러리를 사용하도록 설정하려면 레지스트리 키를 수정할 수 있습니다.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    재부팅 시 이 정책이 적용됩니다. 이 정책이 적용된 후 Dell의 소프트웨어 기반 전체 디스크 암호화가 암호화로 설정되면 디바이스는 Microsoft의 FIPS 호환 알고리듬을 사용하여 암호화됩니다.


    지원 부서에 문의하려면 Dell Data Security 국제 지원 전화번호를 참조하십시오.
    온라인으로 기술 지원 요청을 생성하려면 TechDirect로 이동하십시오.
    추가 정보 및 리소스를 보려면 Dell 보안 커뮤니티 포럼에 참여하십시오.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.