Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Encryption FIPS Uyumluluğu

Summary: Federal Bilgi İşleme Standartları (FIPS), verilerin uç noktalarda ve çeşitli iletişim kanallarında şifreleme algoritmaları tarafından nasıl işlendiğine ve işlendiğine ilişkin yöntemleri özetleyen bir kural setidir. Dell Encryption, yapılandırılabilir bir şifreleme kitaplığı tarafından kontrol edilen temel şifreleme özellikleriyle birden fazla şifreleme kitaplığından yararlanır. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Etkilenen Ürünler:

  • Dell Encryption
  • Dell Data Protection | Encryption

v10.1.0 sürümünde Dell Encryption'ın (eski adıyla Dell Data Protection | Şifreleme) İlke tabanlı şifreleme, FIPS onaylı şifreleme modülüRSA BSAFE Şifreleme Modülünü kullanır. Bu yeni şifreleme sağlayıcısı, Dell Encryption v10.1.0 veya daha sonraki bir sürüme yükseltme yapıldığında CSSStartFlags DWord önceden doldurulmamış.

Şifreleme sağlayıcılarındaki aynı değişiklik, Dell Encryption v10.3.0'daki Dell in Yazılım Tabanlı Tam Disk Şifrelemesi için de yapılmıştır.

RSA BSAFE Şifreleme Modülü , varsayılan olarak FIPS modunda çalışır.

RSA BSAFE Şifreleme Modülü için FIPS sertifikası NIST CMVP'de şu adreste mevcuttur:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir.

Cause

Geçerli Değil

Resolution

Uyarı: Bir sonraki adım, bir Windows Kayıt Defteri düzenlemesidir:

Politika Tabanlı Şifreleme

Belirli bir seçmek için bir kayıt defteri anahtarı değiştirilebilir cryptoprovider ve ile şifreleme yöntemi, Dell Encryption aracısının kullandığı Şifreleme kitaplığını değiştirmek için:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryption'ın günlük dosyaları, şifreleme sağlayıcılarının çalıştığı modu belirtmek için CMGshield.log dosyası içinde satırlar oluşturur (Varsayılan konum: C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Yüklenmekte olan sağlayıcıyı gösteren bir satır şu şekilde temsil edilir:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Bu satırın ötesinde, kayıt defterinde tüketilen değeri özetleyen başka bir satır yazılır:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Not: CSSStartFlags'i değiştirmek, etkili olması için cihazın yeniden başlatılmasını gerektirir. Bu kayıt defteri değeri, kurulum işlemi sırasında mevcutsa tüketilir; yani Dell Encryption istemcisi, kayıt defteri anahtarının değerini dikkate alır ve yükseltme veya yükleme sonrasında bu şifreleme kitaplığından yararlanır.

Intel IPP bayrakları devre dışıysa veya mevcut değilse Dell Encryption, Dell'in FIPS onaylı şifreleme kitaplığını (FIPS modunda çalışan) arayarak şifreleme işlemleri gerçekleştirir.

Intel IPP Bayrakları etkinleştirildiğinde, Dell'in FIPS onaylı kitaplıklarına aynı şifreleme işlevi çağrıları yapılır ancak işlem, uygulama içinde FIPS olmayan modda çalışır ve şifreleme işlemleri gelişmiş performans için Intel IPP kitaplığını kullanır.

İşlem modunu seçmek için kayıt defteri anahtarını değiştirin (veya oluşturun):

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Yöneticiler, bu kayıt defteri ayarlandıktan sonra, yeniden başlatma sonrasında CMGShield.log dosyasını kullanarak ayarı doğrulayabilir:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Not: Mac için Dell Encryption her zaman FIPS onaylı modda çalışır ve Dell Encryption yöneticisi tarafından herhangi bir değişiklik yapılması gerekmez.

    Dell Encryption'ın eski şifreleme sağlayıcısı Credant’s CMGCrypto artık NIST tarafından doğrulanmamaktadır, ancak eski sertifika numaraları: 2156 ve 2150

    Yazılım Tabanlı Tam Disk Şifreleme

    Belirli bir seçmek için bir kayıt defteri anahtarı değiştirilebilir cryptoprovider ve ile şifreleme yöntemi, Dell Encryption aracısının kullandığı Şifreleme kitaplığını değiştirmek için:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Dell Encryption'ın günlük dosyaları, şifreleme sağlayıcılarının çalıştığı modu belirtmek için DellCommon.log dosyasının içinde satırlar oluşturur (Varsayılan konum: C:\ProgramData\Dell\Dell Data Protection\).

    Yüklenmekte olan sağlayıcıyı gösteren bir satır şu şekilde temsil edilir:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Not: Enable_Provider kayıt defterinde değişiklik yapılmasının etkili olması için aygıtın yeniden başlatılması gerekir. Bu kayıt defteri değeri, kurulum işlemi sırasında mevcutsa tüketilir; yani Dell Encryption istemcisi, kayıt defteri anahtarının değerini dikkate alır ve yükseltme veya yükleme sonrasında bu şifreleme kitaplığından yararlanır.

    FIPS modu, Microsoft'un FIPS kitaplıkları kullanılarak yönetilir. BCrypt. Bu seçenekler, uzaktan yönetilen makineler için bir Grup İlkesi Nesnesi kullanılarak etkinleştirilebilir. Bu işlem, Remote System Administration Toolkit yüklü olan bir bilgisayardaki Grup İlkesi Yönetimi konsolu aracılığıyla yapılabilir (burada bulunur: https://support.microsoft.com/en-us/help/2693643) Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir.

    Microsoft'un FIPS doğrulanmış kitaplıklarını uygulaması hakkında bilgi burada bulunabilir: https://technet.microsoft.com/en-us/library/cc750357.aspx Bu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir.

    Dell Encryption'ın Tam Disk Şifrelemesinin yararlandığı Microsoft şifreleme kitaplıkları için FIPS Sertifikalarını incelemek için NIST.gov bağlantılara başvurun:

    Active Directory kullanan Uzaktan Yönetilen aygıtlar

    Grup İlkesi Yönetim Konsolu'nu (gpmc.msc) kullanmayı etkinleştirmek için:

    Bu değişikliğin gerekli olduğu Kuruluş Birimini seçin.

    Not: Dell, Grup İlkesi Nesnesi değişikliklerini üretime uygulamadan önce test edilmesini ve doğrulanmasını önerir.

    Grup İlkesi Yönetimi
    Şekil 1: (Yalnızca İngilizce) Grup İlkesi Yönetimi

    1. Yeni Grup İlkesi Nesnesini adlandırın.

    Grup İlkesi Nesnesini Adlandırma
    Şekil 2: (Yalnızca İngilizce) Grup İlkesi Nesnesini Adlandırma

    1. Yeni Grup İlkesi Nesnesi'ne sağ tıklayın ve Düzenle'yi seçin.

    Grup İlkesi Nesnesini Düzenleme
    Şekil 3: (Yalnızca İngilizce) Grup İlkesi Nesnesini Düzenleme

     
    Not: Söz konusu ilke, Bilgisayar Yapılandırma > İlkeleri, Windows Ayarları>, Güvenlik Ayarları>, Yerel İlkeler>, Güvenlik Seçenekleri'ndedir>. Başlık Sistem şifrelemesi: Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmalar kullanın.
    1. Politikaya sağ tıklayın ve değiştirilecek özellikleri seçin.

    Özellikler'i seçin
    Şekil 4: (Yalnızca İngilizce) Özellikler öğesini seçme

    1. Bu politika ayarını tanımla seçeneğini etkinleştirin ve ardından Enabled radyal düğmesini seçin.

    Bu ilke ayarını tanımla seçeneğini etkinleştirin
    Şekil 5: (Yalnızca İngilizce) Bu ilke ayarını tanımla seçeneğini etkinleştirin

    1. Uygula'ya tıklayın.
    2. Grup İlkesi Yönetimi Düzenleyicisi'ni kapatın.

    Aygıtlar Kuruluş Grubuna veya herhangi bir alt gruba ( devralmanın engellendiği gruplar hariç) eklendikten sonra, bu yeni Grup İlkesi Nesnesi, Makine Grup İlkeleri güncelleştirmesi olarak bu aygıtlara uygulanır. Bu güncelleştirme için varsayılan ayar her 2 saatte bir veya makine yeniden başlatılır.

    Bu ilke uygulandıktan sonra Dell'in yazılım tabanlı Tam Disk Şifrelemesi şifrelemek üzere ayarlandığında, aygıt Microsoft'un FIPS Uyumlu algoritmalarından yararlanarak şifrelenir.

    Yerel Olarak Yönetilen Aygıtlar

    Bu seçenekler, yerel Grup İlkesi Düzenleyicisi (gpedit.msc) veya Yerel Güvenlik İlkesi Düzenleyicisi (secpol.msc) aracılığıyla yerel olarak da etkinleştirilebilir.

    Yerel Grup İlkesi Düzenleyicisi'nde

    Söz konusu ilke, Bilgisayar Yapılandırması>, Windows Ayarları>, Güvenlik Ayarları>, Yerel İlkeler>, Güvenlik Seçenekleri'ndedir. Başlık Sistem şifrelemesi: Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmalar kullanın.

    1. Politikaya sağ tıklayın ve değiştirilecek özellikleri seçin.

    Politikanın özellikleri
    Şekil 6: (Yalnızca İngilizce) Politikanın özellikleri

    1. Bu politika ayarını tanımla seçeneğini etkinleştirin ve ardından Enabled radyal düğmesini seçin.

    Bu ilke ayarını tanımla seçeneğini etkinleştirin
    Şekil 7: (Yalnızca İngilizce) Bu ilke ayarını tanımla seçeneğini etkinleştirin

    1. Uygula'ya tıklayın.
    2. Grup İlkesi Yönetimi Düzenleyicisi'ni kapatın.

    Bu yeni politika, makine politikaları güncellendikçe bu cihazlar için geçerlidir. Bu güncelleştirme için varsayılan ayar her 2 saatte bir veya makine yeniden başlatılır.

    Bu ilke uygulandıktan sonra Dell'in yazılım tabanlı Tam Disk Şifrelemesi şifrelemek üzere ayarlandığında, aygıt Microsoft'un FIPS Uyumlu algoritmalarından yararlanarak şifrelenir.

    Yerel Güvenlik İlkesi düzenleyicisinde

    Söz konusu ilke, Güvenlik Ayarları>, Yerel İlkeler,>Güvenlik Seçenekleri'ndedir. Başlık Sistem şifrelemesi: Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmalar kullanın.

    1. Politikaya sağ tıklayın ve değiştirilecek özellikleri seçin.

    Politikanın Özellikleri
    Şekil 8: (Yalnızca İngilizce) Politikanın Özellikleri

    1. Bu politika ayarını tanımla seçeneğini etkinleştirin ve ardından Enabled radyal düğmesini seçin.

    Bu ilke ayarını tanımla seçeneğini etkinleştirin
    Şekil 9: (Yalnızca İngilizce) Bu ilke ayarını tanımla seçeneğini etkinleştirin

    1. Uygula'ya tıklayın.
    2. Grup İlkesi Yönetimi Düzenleyicisi'ni kapatın.

    Bu yeni politika, makine politikaları güncellendikçe bu cihazlar için geçerlidir. Bu güncelleştirme için varsayılan ayar her 2 saatte bir veya makine yeniden başlatılır.

    Bu ilke uygulandıktan sonra Dell'in yazılım tabanlı Tam Disk Şifrelemesi şifrelemek üzere ayarlandığında, aygıt Microsoft'un FIPS Uyumlu algoritmalarından yararlanarak şifrelenir.

    Kayıt Defteri girdisini kullanarak etkinleştirme

    Microsoft'un FIPS uyumlu algoritmaları, kayıt defteri kullanılarak da etkinleştirilebilir. FIPS uyumlu kitaplıkları etkinleştirmek için kayıt defteri anahtarını değiştirebilirsiniz:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Yeniden başlatmada bu politika geçerli olarak ayarlanır. Bu ilke uygulandıktan sonra Dell'in yazılım tabanlı Tam Disk Şifrelemesi şifrelemek üzere ayarlandığında, aygıt Microsoft'un FIPS Uyumlu algoritmalarından yararlanarak şifrelenir.


    Destek ile iletişime geçmek için Dell Data Security Uluslararası Destek Telefon Numaraları başlıklı makaleye başvurun.
    Çevrimiçi olarak teknik destek talebi oluşturmak için TechDirect adresine gidin.
    Daha fazla faydalı bilgi ve kaynak için Dell Security Topluluk Forumu'na katılın.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.