Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Encryption FIPS-naleving

Summary: De Federal Information Processing Standards (FIPS) zijn een regelset die methoden beschrijft voor hoe gegevens worden verwerkt en verwerkt door versleutelingsalgoritmen op eindpunten en via verschillende communicatiekanalen. Dell Encryption maakt gebruik van meerdere versleutelingsbibliotheken, waarbij de belangrijkste versleutelingsaspecten worden beheerd door een configureerbare cryptografische bibliotheek. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Betreffende producten:

  • Dell Encryption
  • Dell Data Protection | Encryption

In v10.1.0 heeft Dell Encryption (voorheen Dell Data Protection | Versleuteling) Op beleid gebaseerde versleuteling maakt gebruik van de door FIPS gevalideerde cryptografische moduleRSA BSAFE Crypto Module. Deze nieuwe cryptografische provider is standaard ingeschakeld bij een upgrade naar Dell Encryption v10.1.0 of hoger als het CSSStartFlags DWord is niet vooraf ingevuld.

Dezelfde wijziging in cryptografische providers is aangebracht voor de op software gebaseerde Full Disk Encryption van Dell in Dell Encryption v10.3.0.

RSA BSAFE Crypto Module werkt standaard in FIPS-modus.

Het FIPS-certificaat voor RSA BSAFE Crypto Module is hier beschikbaar op NIST CMVP:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Deze hyperlink leidt u naar een website buiten Dell Technologies.

Cause

Niet van toepassing

Resolution

Waarschuwing: De volgende stap is een bewerking van het Windows-register:

Op beleid gebaseerde versleuteling

Een registersleutel kan worden gewijzigd om een specifieke cryptoprovider en methode van cryptologie met, om de cryptografische bibliotheek te wijzigen die de Dell Encryption agent gebruikt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

De logbestanden van Dell Encryption genereren lijnen in het CMGshield.log bestand om de modus aan te geven waarin de cryptografische providers werken (standaardlocatie van C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Een regel die de provider aangeeft die wordt geladen, wordt weergegeven door:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Voorbij deze regel wordt een andere regel geschreven met een overzicht van de waarde die in het register is verbruikt:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Opmerking: Het wijzigen van de CSSStartFlags vereist een herstart van het apparaat om deze van kracht te laten worden. Deze registerwaarde wordt verbruikt als deze aanwezig is tijdens het installatieproces, wat betekent dat de Dell Encryption client de waarde van de registersleutel respecteert en die cryptografische bibliotheek gebruikt na de upgrade of installatie.

Als de Intel IPP-vlaggen zijn uitgeschakeld of niet aanwezig zijn, voert Dell Encryption cryptografische bewerkingen uit door de door FIPS gevalideerde cryptografische bibliotheek van Dell aan te roepen (in FIPS-modus).

Wanneer de Intel IPP-vlaggen zijn ingeschakeld, worden dezelfde cryptografische functieaanroepen gedaan naar de door FIPS gevalideerde bibliotheken van Dell, maar het proces werkt binnen de applicatie in niet-FIPS-modus en de versleutelingsbewerkingen maken gebruik van de Intel IPP-bibliotheek voor verbeterde prestaties.

Als u de bewerkingsmodus wilt selecteren, wijzigt (of maakt) u de registersleutel:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Beheerders kunnen de instelling valideren nadat dit register is ingesteld, na het opnieuw opstarten met behulp van het CMGShield.log-bestand:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Opmerking: Dell Encryption voor Mac wordt altijd verwerkt in een door FIPS gevalideerde modus en er zijn geen wijzigingen door de Dell Encryption administrator vereist.

    Dell Encryption's legacy cryptografische leverancier van Credant’s CMGCrypto is niet langer gevalideerd door NIST, hoewel de vroegere certificeringsnummers zijn: 2156 en 2150

    Softwarematige versleuteling van de volledige schijf

    Een registersleutel kan worden gewijzigd om een specifieke cryptoprovider en methode van cryptologie met, om de cryptografische bibliotheek te wijzigen die de Dell Encryption agent gebruikt:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    De logbestanden van Dell Encryption genereren lijnen in het DellCommon.log bestand om de modus aan te geven waarin de cryptografische providers werken (standaardlocatie van C:\ProgramData\Dell\Dell Data Protection\).

    Een regel die de provider aangeeft die wordt geladen, wordt weergegeven door:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Opmerking: Als u het Enable_Provider register wilt wijzigen, moet het apparaat opnieuw worden opgestart om het register te activeren. Deze registerwaarde wordt verbruikt als deze aanwezig is tijdens het installatieproces, wat betekent dat de Dell Encryption client de waarde van de registersleutel respecteert en die cryptografische bibliotheek gebruikt na de upgrade of installatie.

    De FIPS-modus wordt beheerd met behulp van de FIPS-bibliotheken van Microsoft, waarnaar wordt verwezen als BCryptte installeren. Deze opties kunnen worden ingeschakeld met behulp van een groepsbeleidsobject voor extern beheerde machines. Dit kan worden gedaan via de Group Policy Management-console op een computer waarop de Remote System Administration Toolkit is geïnstalleerd (hier vindt u: https://support.microsoft.com/en-us/help/2693643) Deze hyperlink leidt u naar een website buiten Dell Technologies.

    Informatie over de implementatie van de door FIPS gevalideerde bibliotheken door Microsoft vindt u hier: https://technet.microsoft.com/en-us/library/cc750357.aspx Deze hyperlink leidt u naar een website buiten Dell Technologies.

    Raadpleeg NIST.gov koppelingen om de FIPS-certificeringen te bekijken voor de cryptografische bibliotheken van Microsoft die gebruikmaken van Full Disk Encryption van Dell Encryption:

    Extern beheerde apparaten met Active Directory

    U kunt als volgt het gebruik van de Group Policy Management Console (gpmc.msc) inschakelen:

    Selecteer de organisatie-eenheid waarin deze wijziging vereist is.

    Opmerking: Dell raadt aan om eventuele wijzigingen in groepsbeleidsobjecten te testen en te valideren voordat u de wijzigingen toepast op de productie.

    Groepsbeleidsbeheer
    Afbeelding 1: (Alleen In het Engels) Group Policy Management

    1. Geef het nieuwe groepsbeleidsobject een naam.

    Geef het groepsbeleidsobject een naam
    Afbeelding 2: (Alleen In het Engels) Geef het groepsbeleidsobject een naam

    1. Klik met de rechtermuisknop op het nieuwe groepsbeleidsobject en selecteer Bewerken.

    Het groepsbeleidsobject bewerken
    Afbeelding 3: (Alleen In het Engels) Het groepsbeleidsobject bewerken

     
    Opmerking: Het beleid in kwestie staat in Computerconfiguratiebeleid > , > Windows-instellingen > , Beveiligingsinstellingen > , Lokale beleidsregels, > Beveiligingsopties. De titel is System cryptography: Gebruik FIPS-compatibele algoritmen voor versleuteling, hashing en ondertekening.
    1. Klik met de rechtermuisknop op het beleid en selecteer de eigenschappen die u wilt wijzigen.

    Selecteer Eigenschappen
    Afbeelding 4: (Alleen In het Engels) Eigenschappen selecteren

    1. Schakel de optie in om deze beleidsinstelling te definiëren en selecteer vervolgens de radiale knop Ingeschakeld .

    Deze beleidsinstelling definiëren inschakelen
    Afbeelding 5: (Alleen In het Engels) Deze beleidsinstelling definiëren inschakelen

    1. Klik op Apply.
    2. Sluit de Groepsbeleidsbeheer-editor.

    Zodra de apparaten zijn toegevoegd aan de organisatiegroep of een subgroep (met uitzondering van groepen waarvoor overname is geblokkeerd), is dit nieuwe groepsbeleidsobject van toepassing op deze apparaten wanneer hun computergroepbeleid wordt bijgewerkt. De standaardinstelling voor deze update is om de 2 uur of bij het opnieuw opstarten van de computer.

    Zodra dit beleid is toegepast en zodra de softwarematige Full Disk Encryption van Dell is ingesteld op versleutelen, wordt het apparaat versleuteld met behulp van de FIPS-compatibele algoritmen van Microsoft.

    Lokaal beheerde apparaten

    Deze opties kunnen ook lokaal worden ingeschakeld via de lokale Group Policy Editor (gpedit.msc) of via de Local Security Policy Editor (secpol.msc).

    In de lokale groepsbeleid-editor

    Het beleid in kwestie bevindt zich in Computerconfiguratie,>Windows-instellingen>, Beveiligingsinstellingen>, Lokale beleidsregels>, Beveiligingsopties. De titel is System cryptography: Gebruik FIPS-compatibele algoritmen voor versleuteling, hashing en ondertekening.

    1. Klik met de rechtermuisknop op het beleid en selecteer de eigenschappen die u wilt wijzigen.

    Eigenschappen van het beleid
    Afbeelding 6: (Alleen In het Engels) Eigenschappen van het beleid

    1. Schakel de optie in om deze beleidsinstelling te definiëren en selecteer vervolgens de radiale knop Ingeschakeld .

    Deze beleidsinstelling definiëren inschakelen
    Afbeelding 7: (Alleen In het Engels) Deze beleidsinstelling definiëren inschakelen

    1. Klik op Apply.
    2. Sluit de Groepsbeleidsbeheer-editor.

    Dit nieuwe beleid is van toepassing op deze apparaten wanneer hun computerbeleid wordt bijgewerkt. De standaardinstelling voor deze update is om de 2 uur of bij het opnieuw opstarten van de computer.

    Zodra dit beleid is toegepast en zodra de softwarematige Full Disk Encryption van Dell is ingesteld op versleutelen, wordt het apparaat versleuteld met behulp van de FIPS-compatibele algoritmen van Microsoft.

    In de editor voor lokaal beveiligingsbeleid

    Het beleid in kwestie staat in Beveiligingsinstellingen>, Lokale beleidsregels>Beveiligingsopties. De titel is System cryptography: Gebruik FIPS-compatibele algoritmen voor versleuteling, hashing en ondertekening.

    1. Klik met de rechtermuisknop op het beleid en selecteer de eigenschappen die u wilt wijzigen.

    Eigenschappen van beleid
    Afbeelding 8: (Alleen In het Engels) Eigenschappen van beleid

    1. Schakel de optie in om deze beleidsinstelling te definiëren en selecteer vervolgens de radiale knop Ingeschakeld .

    Deze beleidsinstelling definiëren inschakelen
    Afbeelding 9: (Alleen In het Engels) Deze beleidsinstelling definiëren inschakelen

    1. Klik op Apply.
    2. Sluit de Groepsbeleidsbeheer-editor.

    Dit nieuwe beleid is van toepassing op deze apparaten wanneer hun computerbeleid wordt bijgewerkt. De standaardinstelling voor deze update is om de 2 uur of bij het opnieuw opstarten van de computer.

    Zodra dit beleid is toegepast en zodra de softwarematige Full Disk Encryption van Dell is ingesteld op versleutelen, wordt het apparaat versleuteld met behulp van de FIPS-compatibele algoritmen van Microsoft.

    Inschakelen met behulp van registervermelding

    De FIPS-compatibele algoritmen van Microsoft kunnen ook worden ingeschakeld met behulp van het register. Als u FIPS-compatibele bibliotheken wilt inschakelen, kunt u de registersleutel wijzigen:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Bij het opnieuw opstarten wordt dit beleid van kracht. Zodra dit beleid is toegepast en zodra de softwarematige Full Disk Encryption van Dell is ingesteld op versleutelen, wordt het apparaat versleuteld met behulp van de FIPS-compatibele algoritmen van Microsoft.


    Als u contact wilt opnemen met support, raadpleegt u de internationale telefoonnummers voor support van Dell Data Security.
    Ga naar TechDirect om online een aanvraag voor technische support te genereren.
    Voor meer informatie over inzichten en hulpbronnen kunt u zich aanmelden bij het Dell Security Community Forum.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.