Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Encryption FIPS-samsvar

Summary: FIPS (Federal Information Processing Standards) er et regelsett som beskriver metoder for hvordan data håndteres og behandles av krypteringsalgoritmer på endepunkter og på tvers av ulike kommunikasjonskanaler. Dell Encryption bruker flere krypteringsbiblioteker, der kjernekrypteringsaspektene kontrolleres av et konfigurerbart kryptografisk bibliotek. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Berørte produkter:

  • Dell Encryption
  • Dell Data Protection | Encryption

I v10.1.0, Dell Encryptions (tidligere kalt Dell Data Protection | Kryptering) Policybasert kryptering bruker den FIPS-validerte kryptografiske modulenRSA BSAFE Crypto Module. Denne nye kryptografiske leverandøren er aktivert som standard ved oppgradering til Dell Encryption v10.1.0 eller nyere hvis CSSStartFlags DWord er ikke forhåndsutfylt.

Den samme endringen i kryptografiske leverandører ble gjort for Dells programvarebaserte Full Disk Encryption i Dell Encryption v10.3.0.

RSA BSAFE Crypto Module opererer i FIPS-modus som standard.

FIPS-sertifikatet for RSA BSAFE Crypto Module er tilgjengelig på NIST CMVP her:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.

Cause

Ikke aktuelt

Resolution

Advarsel: Det neste trinnet er en Windows Registry edit:

Retningslinjebasert kryptering

En registernøkkel kan endres for å velge en bestemt cryptoprovider og kryptologimetode med, for å endre det kryptografiske biblioteket som Dell Encryption-agenten bruker:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Loggfilene i Dell Encryption genererer linjer i CMGshield.log filen for å angi modusen kryptografiske leverandører opererer i (standardplasseringen C:\ProgramData\Dell\Dell Data Protection\Encryption\).

En linje som angir leverandøren som lastes inn, representeres av:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Utover denne linjen skrives en annen linje som beskriver verdien som ble konsumert i registeret:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Merk: Endring av CSSStartFlags krever en omstart av enheten for at den skal tre i kraft. Denne registerverdien brukes hvis den finnes under installasjonsprosessen, noe som betyr at Dell Encryption-klienten respekterer verdien av registernøkkelen og utnytter det kryptografiske biblioteket etter oppgradering eller installasjon.

Hvis Intel IPP-flaggene er deaktivert eller ikke finnes, utfører Dell Encryption kryptografiske operasjoner ved å kalle Dells FIPS-validerte kryptografiske bibliotek (opererer i FIPS-modus).

Når Intel IPP-flaggene er aktivert, foretas de samme kryptografiske funksjonskallene til Dells FIPS-godkjente biblioteker, men prosessen kjører i applikasjonen i ikke-FIPS-modus, og krypteringsoperasjonene bruker Intel IPP-biblioteket for forbedret ytelse.

Hvis du vil velge operasjonsmodus, endrer (eller oppretter) du registernøkkelen:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Administratorer kan validere innstillingen etter at dette registeret er angitt, etter omstart ved hjelp av CMGShield.log-filen:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Merk: Dell Encryption for Mac behandles alltid i en FIPS-godkjent modus, og det kreves ingen endringer av Dell Encryption-administratoren.

    Dell Encryptions eldre kryptografiske leverandør av Credant’s CMGCrypto er ikke lenger validert av NIST, selv om de tidligere sertifiseringsnumrene er: 2156 og 2150

    Programvarebasert fullstendig diskkryptering

    En registernøkkel kan endres for å velge en bestemt cryptoprovider og kryptologimetode med, for å endre det kryptografiske biblioteket som Dell Encryption-agenten bruker:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Loggfilene i Dell Encryption genererer linjer i DellCommon.log filen for å angi hvilken modus kryptografiske leverandører opererer i (standardplasseringen C:\ProgramData\Dell\Dell Data Protection\).

    En linje som angir leverandøren som lastes inn, representeres av:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Merk: Endring av Enable_Provider-registeret krever en omstart av enheten for at den skal tre i kraft. Denne registerverdien brukes hvis den finnes under installasjonsprosessen, noe som betyr at Dell Encryption-klienten respekterer verdien av registernøkkelen og utnytter det kryptografiske biblioteket etter oppgradering eller installasjon.

    FIPS-modus administreres ved hjelp av Microsofts FIPS-biblioteker, referert til som BCrypt. Disse alternativene kan aktiveres ved hjelp av et gruppepolicyobjekt for eksternt administrerte maskiner, noe som kan gjøres via konsollen for gruppepolicybehandling på en datamaskin som har Remote System Administration Toolkit installert (du finner her: https://support.microsoft.com/en-us/help/2693643) Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.

    Du finner informasjon om Microsofts implementering av FIPS-validerte biblioteker her: https://technet.microsoft.com/en-us/library/cc750357.aspx Denne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.

    Hvis du vil se FIPS-sertifiseringene for Microsofts kryptografiske biblioteker som Dell Encryptions Full Disk Encryption bruker, kan du se NIST.gov koblinger:

    Ekstern administrering av enheter ved hjelp av Active Directory

    Slik aktiverer du ved hjelp av konsollen for gruppepolicybehandling (gpmc.msc):

    Velg organisasjonsenheten der denne endringen er nødvendig.

    Merk: Dell anbefaler at du tester og validerer eventuelle endringer av gruppepolicyobjekter før endringene endres i produksjonen.

    Administrasjon av gruppepolicy
    Figur 1: (Bare på engelsk) Gruppepolicybehandling

    1. Gi det nye gruppepolicyobjektet et navn.

    Gi gruppepolicyobjektet et navn
    Figur 2: (Bare på engelsk) Gi gruppepolicyobjektet et navn

    1. Høyreklikk på det nye gruppepolicyobjektet, og velg Rediger.

    Redigere gruppepolicyobjektet
    Figur 3: (Bare på engelsk) Redigere gruppepolicyobjektet

     
    Merk: Den aktuelle policyen er i Datamaskinkonfigurasjonspolicyer >> , Windows-innstillinger > , sikkerhetsinnstillinger > , lokale policyer > , sikkerhetsalternativer. Tittelen er Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering.
    1. Høyreklikk policyen, og velg egenskaper du vil endre.

    Velg Egenskaper.
    Figur 4: (Bare på engelsk) Velg egenskaper

    1. Aktiver alternativet Definer denne policyinnstillingen, og velg deretter Aktivert sirkel-knappen.

    Aktiver Definer denne policyinnstillingen
    Figur 5: (Bare på engelsk) Aktiver Definer denne policyinnstillingen

    1. Klikk på bruk.
    2. Lukk redigeringsprogrammet for gruppepolicybehandling.

    Når enhetene er lagt til i organisasjonsgruppen eller en hvilken som helst undergruppe (unntatt grupper som har arv blokkert), gjelder dette nye gruppepolicyobjektet for disse enhetene som oppdatering av maskingruppepolicyer. Standardinnstillingen for denne oppdateringen er annenhver time, eller ved omstart av maskinen.

    Når disse retningslinjene er tatt i bruk, krypteres enheten når Dells programvarebaserte Full Disk Encryption er satt til å kryptere, ved hjelp av Microsofts FIPS-kompatible algoritmer.

    Lokalt administrerte enheter

    Disse alternativene kan også aktiveres lokalt gjennom den lokale gruppepolicyredigereren (gpedit.msc) eller gjennom redigeringsprogrammet for lokal sikkerhetspolicy (secpol.msc).

    I den lokale gruppepolicyredigereren

    Den aktuelle policyen er i Datamaskinkonfigurasjon,>Windows-innstillinger>, sikkerhetsinnstillinger>, lokale retningslinjer>, sikkerhetsalternativer. Tittelen er Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering.

    1. Høyreklikk policyen, og velg egenskaper du vil endre.

    Egenskaper av politikken
    Figur 6: (Bare på engelsk) Egenskaper av politikken

    1. Aktiver alternativet Definer denne policyinnstillingen, og velg deretter Aktivert sirkel-knappen.

    Aktiver Definer denne policyinnstillingen
    Figur 7: (Bare på engelsk) Aktiver Definer denne policyinnstillingen

    1. Klikk på bruk.
    2. Lukk redigeringsprogrammet for gruppepolicybehandling.

    Denne nye policyen gjelder for disse enhetene etter hvert som maskinpolicyene deres oppdateres. Standardinnstillingen for denne oppdateringen er annenhver time, eller ved omstart av maskinen.

    Når disse retningslinjene er tatt i bruk, krypteres enheten når Dells programvarebaserte Full Disk Encryption er satt til å kryptere, ved hjelp av Microsofts FIPS-kompatible algoritmer.

    I redigeringsprogrammet for lokal sikkerhetspolicy

    Den aktuelle policyen er i Sikkerhetsinnstillinger>, Lokale policyer>, Sikkerhetsalternativer. Tittelen er Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering.

    1. Høyreklikk policyen, og velg egenskaper du vil endre.

    Egenskaper av politikk
    Figur 8: (Bare på engelsk) Egenskaper av politikk

    1. Aktiver alternativet Definer denne policyinnstillingen, og velg deretter Aktivert sirkel-knappen.

    Aktiver Definer denne policyinnstillingen
    Figur 9: (Bare på engelsk) Aktiver Definer denne policyinnstillingen

    1. Klikk på bruk.
    2. Lukk redigeringsprogrammet for gruppepolicybehandling.

    Denne nye policyen gjelder for disse enhetene etter hvert som maskinpolicyene deres oppdateres. Standardinnstillingen for denne oppdateringen er annenhver time, eller ved omstart av maskinen.

    Når disse retningslinjene er tatt i bruk, krypteres enheten når Dells programvarebaserte Full Disk Encryption er satt til å kryptere, ved hjelp av Microsofts FIPS-kompatible algoritmer.

    Aktiver ved hjelp av registeroppføring

    Microsofts FIPS-kompatible algoritmer kan også aktiveres ved hjelp av registeret. Hvis du vil aktivere FIPS-kompatible biblioteker, kan du endre registernøkkelen:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Ved omstart er denne policyen satt i kraft. Når disse retningslinjene er tatt i bruk, krypteres enheten når Dells programvarebaserte Full Disk Encryption er satt til å kryptere, ved hjelp av Microsofts FIPS-kompatible algoritmer.


    Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
    Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
    Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.