Conformidade com FIPS do Dell Encryption

Uma chave de registro pode ser modificada para selecionar um cryptoprovider e método de criptografia com , para modificar a biblioteca criptográfica que o agente do Dell Encryption usa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Os arquivos de log do Dell Encryption geram linhas dentro do arquivo CMGshield.log para indicar em que modo os provedores de criptografia estão operando (local padrão C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Uma linha que indica o provedor que está sendo carregado é representada por:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Além dessa linha, outra linha é escrita descrevendo o valor que foi consumido no registro:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Se os indicadores IPP da Intel estiverem desativados ou ausentes, o Dell Encryption executará operações criptográficas chamando a biblioteca criptográfica validada por FIPS da Dell (operando no modo FIPS).

Quando os indicadores IPP da Intel são ativados, as mesmas chamadas de função criptográfica são feitas para as bibliotecas validadas por FIPS da Dell, mas o processo está sendo executado dentro do aplicativo no modo não FIPS, e as operações de criptografia usam a biblioteca IPP da Intel para melhorar o desempenho.

Para selecionar o modo de operação, modifique (ou crie) a chave de registro:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Depois que esse registro for definido, os administradores poderão validar a configuração após a reinicialização usando o arquivo CMGShield.log:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

O provedor criptográfico legado do Dell Encryption Credant’s CMGCrypto não é mais validada pelo NIST, embora os números de certificação anteriores sejam: 2156 e 2150

Uma chave de registro pode ser modificada para selecionar um cryptoprovider e método de criptografia com , para modificar a biblioteca criptográfica que o agente do Dell Encryption usa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Os arquivos de log do Dell Encryption geram linhas dentro do arquivo DellCommon.log para indicar em que modo os provedores de criptografia estão operando (local padrão C:\ProgramData\Dell\Dell Data Protection\).

Uma linha que indica o provedor que está sendo carregado é representada por:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

O modo FIPS é gerenciado usando as bibliotecas FIPS da Microsoft, mencionadas como BCrypt. Essas opções podem ser habilitadas usando um Objeto de Diretiva de Grupo para máquinas gerenciadas remotamente, o que pode ser feito por meio do console de Gerenciamento de Diretiva de Grupo em um computador que tenha o Kit de Ferramentas de Administração de Sistema Remoto instalado (localizado aqui: https://support.microsoft.com/en-us/help/2693643)

Informações sobre a implementação da Microsoft das bibliotecas validadas FIPS podem ser encontradas aqui: https://technet.microsoft.com/en-us/library/cc750357.aspx

Para analisar as certificações FIPS das bibliotecas criptográficas da Microsoft que a criptografia completa de disco do Dell Encryption utiliza, consulte NIST.gov links:

• Certificado de nível 2 para primitivas criptográficas: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Certificado de nível 2 para funções criptográficas do kernel: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Dispositivos gerenciados remotamente usando o Active Directory

Para habilitar usando o console de gerenciamento de política de grupo (gpmc.msc):

Selecione a unidade organizacional na qual essa alteração é necessária.

Figura 1: (Somente em inglês) Gerenciamento de Diretiva de Grupo

1. Nomeie o novo objeto de política de grupo.

Figura 2: (Somente em inglês) Nomeie o objeto de política de grupo

2. Clique com o botão direito do mouse no novo Objeto de Diretiva de Grupo e selecione Editar.

Figura 3: (Somente em inglês) Editar o objeto de política de grupo

3. Clique com o botão direito do mouse na política e selecione as propriedades a serem modificadas.

Figura 4: (Somente em inglês) Selecionar as propriedades

4. Habilite a opção para Definir essa configuração de política e selecione o botão radial Habilitado .

Figura 5: (Somente em inglês) Habilitar a configuração Definir esta política

5. Clique em Aplicar.
6. Feche o Editor de Gerenciamento de Políticas de Grupo.

Depois que os dispositivos são adicionados ao Grupo Organizacional ou a qualquer subgrupo (excluindo grupos que têm herança bloqueada), esse novo Objeto de Diretiva de Grupo se aplica a esses dispositivos como atualização de Políticas de Grupo de Computador. A configuração padrão para essa atualização é a cada 2 horas ou na reinicialização do computador.

Depois que essa política é aplicada, uma vez que a criptografia completa de disco baseada em software da Dell é definida para criptografia, o dispositivo é criptografado aproveitando os algoritmos compatíveis com FIPS da Microsoft.

Dispositivos gerenciados localmente

Essas opções também podem ser ativadas localmente por meio do Editor de Diretiva de Grupo local (gpedit.msc) ou do Editor de Diretiva de Segurança Local (secpol.msc).

No Editor de Diretiva de Grupo local

A política em questão está em Configuração> do Computador, Configurações do Windows,>Configurações de Segurança,>Políticas Locais, Opções> de Segurança. O título é System cryptography: (Criptografia do sistema): Use algoritmos compatíveis com FIPS para criptografia, hash e assinatura.

1. Clique com o botão direito do mouse na política e selecione as propriedades a serem modificadas.

Figura 6: (Somente em inglês) Propriedades da política

2. Habilite a opção para Definir essa configuração de política e selecione o botão radial Habilitado .

Figura 7: (Somente em inglês) Habilitar a configuração Definir esta política

3. Clique em Aplicar.
4. Feche o Editor de Gerenciamento de Políticas de Grupo.

Essa nova política se aplica a esses dispositivos à medida que as políticas de máquina são atualizadas. A configuração padrão para essa atualização é a cada 2 horas ou na reinicialização do computador.

Depois que essa política é aplicada, uma vez que a criptografia completa de disco baseada em software da Dell é definida para criptografia, o dispositivo é criptografado aproveitando os algoritmos compatíveis com FIPS da Microsoft.

No editor de política de segurança local

A política em questão está em Configurações> de segurança Políticas locais>Opções de segurança. O título é System cryptography: (Criptografia do sistema): Use algoritmos compatíveis com FIPS para criptografia, hash e assinatura.

1. Clique com o botão direito do mouse na política e selecione as propriedades a serem modificadas.

Figura 8: (Somente em inglês) Propriedades da política

2. Habilite a opção para Definir essa configuração de política e selecione o botão radial Habilitado .

Figura 9: (Somente em inglês) Habilitar a configuração Definir esta política

3. Clique em Aplicar.
4. Feche o Editor de Gerenciamento de Políticas de Grupo.

Essa nova política se aplica a esses dispositivos à medida que as políticas de máquina são atualizadas. A configuração padrão para essa atualização é a cada 2 horas ou na reinicialização do computador.

Depois que essa política é aplicada, uma vez que a criptografia completa de disco baseada em software da Dell é definida para criptografia, o dispositivo é criptografado aproveitando os algoritmos compatíveis com FIPS da Microsoft.

Ativar usando a entrada do registro

Os algoritmos compatíveis com FIPS da Microsoft também podem ser ativados usando o Registro. Para habilitar bibliotecas compatíveis com FIPS, você pode modificar a chave de registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Na reinicialização, essa política é definida em vigor. Depois que essa política é aplicada, uma vez que a criptografia completa de disco baseada em software da Dell é definida para criptografia, o dispositivo é criptografado aproveitando os algoritmos compatíveis com FIPS da Microsoft.