Cumplimiento de FIPS de Dell Encryption

Una clave de registro se puede modificar para seleccionar un cryptoprovider y método de criptología con, para modificar la biblioteca criptográfica que utiliza el agente de cifrado de Dell:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Los archivos de registro de Dell Encryption generan líneas dentro del archivo de CMGshield.log para indicar el modo en el que operan los proveedores de cifrado (ubicación predeterminada de C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Una línea que indica el proveedor que se está cargando está representada por:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Más allá de esta línea, se escribe otra línea que describe el valor que se consumió en el registro:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Si las marcas IPP de Intel están desactivadas o no están presentes, Dell Encryption realiza operaciones criptográficas llamando a la biblioteca criptográfica validada por FIPS de Dell (que funciona en modo FIPS).

Cuando las marcas de IPP de Intel están habilitadas, se realizan las mismas llamadas de función criptográfica a las bibliotecas validadas por FIPS de Dell, pero el proceso funciona dentro de la aplicación en modo no FIPS y las operaciones de cifrado utilizan la biblioteca de IPP de Intel para mejorar el rendimiento.

Para seleccionar el modo de operación, modifique (o cree) la clave de registro:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Los administradores pueden validar el ajuste después de configurar este registro después del reinicio mediante el archivo CMGShield.log:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

El proveedor de productos criptográficos heredado de Dell Encryption Credant’s CMGCrypto El NIST ya no valida, aunque los números de certificación anteriores son los siguientes: 2156 y 2150

Una clave de registro se puede modificar para seleccionar un cryptoprovider y método de criptología con, para modificar la biblioteca criptográfica que utiliza el agente de cifrado de Dell:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Los archivos de registro de Dell Encryption generan líneas dentro del archivo de DellCommon.log para indicar el modo en el que operan los proveedores de cifrado (ubicación predeterminada de C:\ProgramData\Dell\Dell Data Protection\).

Una línea que indica el proveedor que se está cargando está representada por:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

El modo FIPS se administra mediante las bibliotecas FIPS de Microsoft, a las que se hace referencia como BCrypt. Estas opciones se pueden habilitar mediante un objeto de directiva de grupo para máquinas administradas de forma remota, lo que se puede hacer a través de la consola de administración de directivas de grupo en un equipo que tenga instalado el kit de herramientas de administración de sistemas remotos (que se encuentra aquí: https://support.microsoft.com/en-us/help/2693643)

Puede encontrar información sobre la implementación de las bibliotecas validadas FIPS por parte de Microsoft aquí: https://technet.microsoft.com/en-us/library/cc750357.aspx

Para revisar las certificaciones FIPS para las bibliotecas criptográficas de Microsoft que aprovecha Full Disk Encryption de Dell Encryption, consulte NIST.gov enlaces:

• Certificado de nivel 2 para primitivas criptográficas: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Certificado de nivel 2 para funciones criptográficas de kernel: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Dispositivos administrados de forma remota mediante Active Directory

Para habilitar mediante la Consola de administración de políticas de grupo (gpmc.msc):

Seleccione la unidad organizacional en la que se requiere este cambio.

Figura 1: (Solo en inglés) Administración de políticas de grupo

1. Asigne un nombre al nuevo objeto de política de grupo.

Figura 2: (Solo en inglés) Asigne un nombre al objeto de política de grupo

2. Haga clic con el botón secundario en el nuevo objeto de política de grupo y seleccione Editar.

Figura 3: (Solo en inglés) Editar el objeto de política de grupo

3. Haga clic con el botón secundario en la política y seleccione las propiedades que desea modificar.

Figura 4: (Solo en inglés) Seleccione Properties

4. Active la opción Definir esta configuración de directiva y, a continuación, seleccione el botón de opción Activado .

Figura 5: (Solo en inglés) Habilitar Definir esta configuración de política

5. Haga clic en Aplicar.
6. Cierre el Editor de administración de políticas de grupo.

Una vez que los dispositivos se agregan al grupo organizativo o a cualquier subgrupo (sin incluir los grupos que tienen la herencia bloqueada), este nuevo objeto de política de grupo se aplica a esos dispositivos a medida que se actualizan sus políticas de grupo de máquinas. La configuración predeterminada para esta actualización es cada 2 horas o en el reinicio de la máquina.

Una vez que se aplica esta política, una vez que el cifrado de disco completo basado en software de Dell se establece en cifrado, el dispositivo se cifra aprovechando los algoritmos compatibles con FIPS de Microsoft.

Dispositivos administrados localmente

Estas opciones también se pueden habilitar localmente a través del editor de políticas de grupo local (gpedit.msc) o a través del editor de políticas de seguridad local (secpol.msc).

En el Editor de políticas de grupo local

La directiva en cuestión se encuentra en Configuración del equipo, Ajustes>de Windows,>Ajustes de seguridad, Directivas>>locales, Opciones de seguridad. El título es Criptografía del sistema: Utilice algoritmos compatibles con FIPS para el cifrado, el hash y la firma.

1. Haga clic con el botón secundario en la política y seleccione las propiedades que desea modificar.

Figura 6: (Solo en inglés) Propiedades de la política

2. Active la opción Definir esta configuración de directiva y, a continuación, seleccione el botón de opción Activado .

Figura 7: (Solo en inglés) Habilitar Definir esta configuración de política

3. Haga clic en Aplicar.
4. Cierre el Editor de administración de políticas de grupo.

Esta nueva política se aplica a esos dispositivos a medida que se actualizan las políticas de máquina. La configuración predeterminada para esta actualización es cada 2 horas o en el reinicio de la máquina.

Una vez que se aplica esta política, una vez que el cifrado de disco completo basado en software de Dell se establece en cifrado, el dispositivo se cifra aprovechando los algoritmos compatibles con FIPS de Microsoft.

En el editor de políticas de seguridad local

La política en cuestión se encuentra en Security Settings>Local Policies>Security Options. El título es Criptografía del sistema: Utilice algoritmos compatibles con FIPS para el cifrado, el hash y la firma.

1. Haga clic con el botón secundario en la política y seleccione las propiedades que desea modificar.

Figura 8: (Solo en inglés) Propiedades de la política

2. Active la opción Definir esta configuración de directiva y, a continuación, seleccione el botón de opción Activado .

Figura 9: (Solo en inglés) Habilitar Definir esta configuración de política

3. Haga clic en Aplicar.
4. Cierre el Editor de administración de políticas de grupo.

Esta nueva política se aplica a esos dispositivos a medida que se actualizan las políticas de máquina. La configuración predeterminada para esta actualización es cada 2 horas o en el reinicio de la máquina.

Una vez que se aplica esta política, una vez que el cifrado de disco completo basado en software de Dell se establece en cifrado, el dispositivo se cifra aprovechando los algoritmos compatibles con FIPS de Microsoft.

Habilitar mediante la entrada del registro

Los algoritmos compatibles con FIPS de Microsoft también se pueden habilitar mediante el registro. Para habilitar las bibliotecas compatibles con FIPS, puede modificar la clave de registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Tras el reinicio, esta política se establece en vigor. Una vez que se aplica esta política, una vez que el cifrado de disco completo basado en software de Dell se establece en cifrado, el dispositivo se cifra aprovechando los algoritmos compatibles con FIPS de Microsoft.