Dell Encryption FIPS -yhteensopivuus

Rekisteriavainta voidaan muokata tietyn valitsemiseksi cryptoprovider ja salausmenetelmä, jolla muokataan Dell Encryption -agentin käyttämää salauskirjastoa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryptionin lokitiedostot luovat CMGshield.log tiedostoon rivejä, jotka ilmaisevat tilan, jossa salauspalvelut toimivat (oletussijainti C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Ladattavaa palveluntarjoajaa ilmaisevaa riviä edustaa:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Tämän rivin lisäksi kirjoitetaan toinen rivi, jossa hahmotellaan rekisterissä kulutettu arvo:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Jos Intel IPP -liput ovat poissa käytöstä tai niitä ei ole, Dell Encryption suorittaa salaustoimintoja kutsumalla Dellin FIPS-validoitua salauskirjastoa (joka toimii FIPS-tilassa).

Kun Intel IPP -liput ovat käytössä, samat salaustoimintokutsut soitetaan Dellin FIPS-validoituihin kirjastoihin, mutta prosessi toimii sovelluksessa muussa kuin FIPS-tilassa ja salaustoiminnot käyttävät Intelin IPP-kirjastoa suorituskyvyn parantamiseksi.

Voit valita toimintatilan muokkaamalla (tai luomalla) rekisteriavaimen:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Järjestelmänvalvojat voivat vahvistaa asetuksen tämän rekisterin määrityksen jälkeen uudelleenkäynnistyksen jälkeen käyttämällä CMGShield.log tiedostoa:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Dell Encryptionin vanha kryptografisten palvelujen tarjoaja Credant’s CMGCrypto NIST ei enää validoi sitä, vaikka aiemmat sertifiointinumerot ovat: 2156 ja 2150

Rekisteriavainta voidaan muokata tietyn valitsemiseksi cryptoprovider ja salausmenetelmä, jolla muokataan Dell Encryption -agentin käyttämää salauskirjastoa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Dell Encryptionin lokitiedostot luovat DellCommon.log tiedostoon rivejä, jotka ilmaisevat tilan, jossa salauspalvelut toimivat (oletussijainti C:\ProgramData\Dell\Dell Data Protection\).

Ladattavaa palveluntarjoajaa ilmaisevaa riviä edustaa:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

FIPS-tilaa hallitaan Microsoftin FIPS-kirjastoilla, joihin viitataan nimellä BCrypt. Nämä asetukset voidaan ottaa käyttöön käyttämällä ryhmäkäytäntöobjektia etähallittaville tietokoneille. Tämä voidaan tehdä ryhmäkäytäntöjen hallintakonsolissa tietokoneessa, johon on asennettu Remote System Administration Toolkit (sijaitsee täällä: https://support.microsoft.com/en-us/help/2693643)

Tietoja Microsoftin FIPS-validoitujen kirjastojen käyttöönotosta on täällä: https://technet.microsoft.com/en-us/library/cc750357.aspx

Lisätietoja Dell Encryptionin Full Disk Encryption -salauksen hyödyntämien Microsoftin salauskirjastojen FIPS-sertifioinneista on NIST.gov linkeissä:

• Tason 2 sertifikaatti kryptografisille primitiiveille: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Tason 2 varmenne ytimen salaustoiminnoille: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Etähallittavat laitteet Active Directoryn avulla

Ottaminen käyttöön ryhmäkäytäntöjen hallintakonsolissa (gpmc.msc):

Valitse organisaatioyksikkö, jossa tämä muutos vaaditaan.

Kuva 1: (Englanninkielinen) Ryhmäkäytäntöjen hallinta

1. Anna uudelle ryhmäkäytäntöobjektille nimi.

Kuva 2: (Englanninkielinen) Ryhmäkäytäntöobjektin nimeäminen

2. Napsauta uutta ryhmäkäytäntöobjektia hiiren kakkospainikkeella ja valitse Muokkaa.

Kuva 3: (Englanninkielinen) Muokkaa ryhmäkäytäntöobjektia

3. Napsauta käytäntöä hiiren kakkospainikkeella ja valitse muokattavat ominaisuudet .

Kuva 4: (Englanninkielinen) Valitse ominaisuudet

4. Ota käyttöön Määritä tämä käytäntöasetus -asetus ja valitse sitten Käytössä kehäpainike.

Kuva 5: (Englanninkielinen) Ota Määritä tämä käytäntöasetus käyttöön

5. Valitse Käytä.
6. Sulje ryhmäkäytäntöjen hallintaeditori.

Kun laitteet on lisätty organisaatioryhmään tai mihin tahansa aliryhmään (lukuun ottamatta ryhmiä, joiden periytyminen on estetty), tämä uusi ryhmäkäytäntöobjekti koskee kyseisiä laitteita, kun niiden tietokoneen ryhmäkäytännöt päivittyvät. Tämän päivityksen oletusasetus on kahden tunnin välein tai tietokoneen uudelleenkäynnistyksen yhteydessä.

Kun tämä käytäntö on otettu käyttöön ja kun Dellin ohjelmistopohjainen Full Disk Encryption on määritetty salaamaan, laite salataan Microsoftin FIPS-yhteensopivilla algoritmeilla.

Paikallisesti hallitut laitteet

Nämä asetukset voidaan ottaa käyttöön myös paikallisesti paikallisen ryhmäkäytäntöeditorin (gpedit.msc) tai paikallisen suojauskäytäntöeditorin (secpol.msc) kautta.

Valitse paikallisessa ryhmäkäytäntöeditorissa

Kyseinen käytäntö on kohdassa Tietokoneasetukset>, Windows-asetukset>, Suojausasetukset>, Paikalliset käytännöt>, Suojausasetukset. Otsikko on Järjestelmän salaus: Käytä FIPS-yhteensopivia algoritmeja salaukseen, hajauttamiseen ja allekirjoittamiseen.

1. Napsauta käytäntöä hiiren kakkospainikkeella ja valitse muokattavat ominaisuudet .

Kuva 6: (Englanninkielinen) Politiikan ominaisuudet

2. Ota käyttöön Määritä tämä käytäntöasetus -asetus ja valitse sitten Käytössä kehäpainike.

Kuva 7: (Englanninkielinen) Ota Määritä tämä käytäntöasetus käyttöön

3. Valitse Käytä.
4. Sulje ryhmäkäytäntöjen hallintaeditori.

Tämä uusi käytäntö koskee kyseisiä laitteita, kun niiden tietokonekäytännöt päivittyvät. Tämän päivityksen oletusasetus on kahden tunnin välein tai tietokoneen uudelleenkäynnistyksen yhteydessä.

Kun tämä käytäntö on otettu käyttöön ja kun Dellin ohjelmistopohjainen Full Disk Encryption on määritetty salaamaan, laite salataan Microsoftin FIPS-yhteensopivilla algoritmeilla.

Paikallisen suojauskäytännön editorissa

Kyseinen käytäntö on kohdassa Suojausasetukset>, Paikalliset käytännöt>Suojausasetukset. Otsikko on Järjestelmän salaus: Käytä FIPS-yhteensopivia algoritmeja salaukseen, hajauttamiseen ja allekirjoittamiseen.

1. Napsauta käytäntöä hiiren kakkospainikkeella ja valitse muokattavat ominaisuudet .

Kuva 8: (Englanninkielinen) Käytännön ominaisuudet

2. Ota käyttöön Määritä tämä käytäntöasetus -asetus ja valitse sitten Käytössä kehäpainike.

Kuva 9: (Englanninkielinen) Ota Määritä tämä käytäntöasetus käyttöön

3. Valitse Käytä.
4. Sulje ryhmäkäytäntöjen hallintaeditori.

Tämä uusi käytäntö koskee kyseisiä laitteita, kun niiden tietokonekäytännöt päivittyvät. Tämän päivityksen oletusasetus on kahden tunnin välein tai tietokoneen uudelleenkäynnistyksen yhteydessä.

Kun tämä käytäntö on otettu käyttöön ja kun Dellin ohjelmistopohjainen Full Disk Encryption on määritetty salaamaan, laite salataan Microsoftin FIPS-yhteensopivilla algoritmeilla.

Ota käyttöön rekisterimerkinnän avulla

Microsoftin FIPS-yhteensopivat algoritmit voidaan ottaa käyttöön myös rekisterin avulla. Voit ottaa FIPS-yhteensopivat kirjastot käyttöön muokkaamalla rekisteriavainta:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Tämä käytäntö otetaan käyttöön uudelleenkäynnistyksessä. Kun tämä käytäntö on otettu käyttöön ja kun Dellin ohjelmistopohjainen Full Disk Encryption on määritetty salaamaan, laite salataan Microsoftin FIPS-yhteensopivilla algoritmeilla.