Dell Encryption FIPS-samsvar

En registernøkkel kan endres for å velge en bestemt cryptoprovider og kryptologimetode med, for å endre det kryptografiske biblioteket som Dell Encryption-agenten bruker:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Loggfilene i Dell Encryption genererer linjer i CMGshield.log filen for å angi modusen kryptografiske leverandører opererer i (standardplasseringen C:\ProgramData\Dell\Dell Data Protection\Encryption\).

En linje som angir leverandøren som lastes inn, representeres av:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Utover denne linjen skrives en annen linje som beskriver verdien som ble konsumert i registeret:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Hvis Intel IPP-flaggene er deaktivert eller ikke finnes, utfører Dell Encryption kryptografiske operasjoner ved å kalle Dells FIPS-validerte kryptografiske bibliotek (opererer i FIPS-modus).

Når Intel IPP-flaggene er aktivert, foretas de samme kryptografiske funksjonskallene til Dells FIPS-godkjente biblioteker, men prosessen kjører i applikasjonen i ikke-FIPS-modus, og krypteringsoperasjonene bruker Intel IPP-biblioteket for forbedret ytelse.

Hvis du vil velge operasjonsmodus, endrer (eller oppretter) du registernøkkelen:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Administratorer kan validere innstillingen etter at dette registeret er angitt, etter omstart ved hjelp av CMGShield.log-filen:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Dell Encryptions eldre kryptografiske leverandør av Credant’s CMGCrypto er ikke lenger validert av NIST, selv om de tidligere sertifiseringsnumrene er: 2156 og 2150

En registernøkkel kan endres for å velge en bestemt cryptoprovider og kryptologimetode med, for å endre det kryptografiske biblioteket som Dell Encryption-agenten bruker:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Loggfilene i Dell Encryption genererer linjer i DellCommon.log filen for å angi hvilken modus kryptografiske leverandører opererer i (standardplasseringen C:\ProgramData\Dell\Dell Data Protection\).

En linje som angir leverandøren som lastes inn, representeres av:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

FIPS-modus administreres ved hjelp av Microsofts FIPS-biblioteker, referert til som BCrypt. Disse alternativene kan aktiveres ved hjelp av et gruppepolicyobjekt for eksternt administrerte maskiner, noe som kan gjøres via konsollen for gruppepolicybehandling på en datamaskin som har Remote System Administration Toolkit installert (du finner her: https://support.microsoft.com/en-us/help/2693643)

Du finner informasjon om Microsofts implementering av FIPS-validerte biblioteker her: https://technet.microsoft.com/en-us/library/cc750357.aspx

Hvis du vil se FIPS-sertifiseringene for Microsofts kryptografiske biblioteker som Dell Encryptions Full Disk Encryption bruker, kan du se NIST.gov koblinger:

• Nivå 2-sertifikat for kryptografiske primitiver: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Nivå 2-sertifikat for kryptografiske kjernefunksjoner: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Ekstern administrering av enheter ved hjelp av Active Directory

Slik aktiverer du ved hjelp av konsollen for gruppepolicybehandling (gpmc.msc):

Velg organisasjonsenheten der denne endringen er nødvendig.

Figur 1: (Bare på engelsk) Gruppepolicybehandling

1. Gi det nye gruppepolicyobjektet et navn.

Figur 2: (Bare på engelsk) Gi gruppepolicyobjektet et navn

2. Høyreklikk på det nye gruppepolicyobjektet, og velg Rediger.

Figur 3: (Bare på engelsk) Redigere gruppepolicyobjektet

3. Høyreklikk policyen, og velg egenskaper du vil endre.

Figur 4: (Bare på engelsk) Velg egenskaper

4. Aktiver alternativet Definer denne policyinnstillingen, og velg deretter Aktivert sirkel-knappen.

Figur 5: (Bare på engelsk) Aktiver Definer denne policyinnstillingen

5. Klikk på bruk.
6. Lukk redigeringsprogrammet for gruppepolicybehandling.

Når enhetene er lagt til i organisasjonsgruppen eller en hvilken som helst undergruppe (unntatt grupper som har arv blokkert), gjelder dette nye gruppepolicyobjektet for disse enhetene som oppdatering av maskingruppepolicyer. Standardinnstillingen for denne oppdateringen er annenhver time, eller ved omstart av maskinen.

Når disse retningslinjene er tatt i bruk, krypteres enheten når Dells programvarebaserte Full Disk Encryption er satt til å kryptere, ved hjelp av Microsofts FIPS-kompatible algoritmer.

Lokalt administrerte enheter

Disse alternativene kan også aktiveres lokalt gjennom den lokale gruppepolicyredigereren (gpedit.msc) eller gjennom redigeringsprogrammet for lokal sikkerhetspolicy (secpol.msc).

I den lokale gruppepolicyredigereren

Den aktuelle policyen er i Datamaskinkonfigurasjon,>Windows-innstillinger>, sikkerhetsinnstillinger>, lokale retningslinjer>, sikkerhetsalternativer. Tittelen er Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering.

1. Høyreklikk policyen, og velg egenskaper du vil endre.

Figur 6: (Bare på engelsk) Egenskaper av politikken

2. Aktiver alternativet Definer denne policyinnstillingen, og velg deretter Aktivert sirkel-knappen.

Figur 7: (Bare på engelsk) Aktiver Definer denne policyinnstillingen

3. Klikk på bruk.
4. Lukk redigeringsprogrammet for gruppepolicybehandling.

Denne nye policyen gjelder for disse enhetene etter hvert som maskinpolicyene deres oppdateres. Standardinnstillingen for denne oppdateringen er annenhver time, eller ved omstart av maskinen.

Når disse retningslinjene er tatt i bruk, krypteres enheten når Dells programvarebaserte Full Disk Encryption er satt til å kryptere, ved hjelp av Microsofts FIPS-kompatible algoritmer.

I redigeringsprogrammet for lokal sikkerhetspolicy

Den aktuelle policyen er i Sikkerhetsinnstillinger>, Lokale policyer>, Sikkerhetsalternativer. Tittelen er Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering.

1. Høyreklikk policyen, og velg egenskaper du vil endre.

Figur 8: (Bare på engelsk) Egenskaper av politikk

2. Aktiver alternativet Definer denne policyinnstillingen, og velg deretter Aktivert sirkel-knappen.

Figur 9: (Bare på engelsk) Aktiver Definer denne policyinnstillingen

3. Klikk på bruk.
4. Lukk redigeringsprogrammet for gruppepolicybehandling.

Denne nye policyen gjelder for disse enhetene etter hvert som maskinpolicyene deres oppdateres. Standardinnstillingen for denne oppdateringen er annenhver time, eller ved omstart av maskinen.

Når disse retningslinjene er tatt i bruk, krypteres enheten når Dells programvarebaserte Full Disk Encryption er satt til å kryptere, ved hjelp av Microsofts FIPS-kompatible algoritmer.

Aktiver ved hjelp av registeroppføring

Microsofts FIPS-kompatible algoritmer kan også aktiveres ved hjelp av registeret. Hvis du vil aktivere FIPS-kompatible biblioteker, kan du endre registernøkkelen:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Ved omstart er denne policyen satt i kraft. Når disse retningslinjene er tatt i bruk, krypteres enheten når Dells programvarebaserte Full Disk Encryption er satt til å kryptere, ved hjelp av Microsofts FIPS-kompatible algoritmer.