Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Conformità FIPS di Dell Encryption

Summary: Gli standard FIPS (Federal Information Processing Standards) sono un insieme di regole che delinea i metodi per la gestione e l'elaborazione dei dati mediante algoritmi di crittografia sugli endpoint e attraverso vari canali di comunicazione. Dell Encryption sfrutta più librerie di crittografia, con gli aspetti della crittografia core controllati da una libreria crittografica configurabile. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Prodotti interessati:

  • Dell Encryption
  • Dell Data Protection | Encryption

Nella versione 10.1.0, Dell Encryption (in precedenza Dell Data Protection | Crittografia): la crittografia basata su criteri utilizza il modulo di crittografia convalidato FIPS RSA BSAFE Crypto Module. Questo nuovo provider di crittografia è abilitato per impostazione predefinita all'aggiornamento a Dell Encryption v10.1.0 o versioni successive se CSSStartFlags DWord non è prepopolato.

La stessa modifica nei provider di crittografia è stata apportata per Software-based Full Disk Encryption di Dell in Dell Encryption v10.3.0.

Il modulo di crittografia RSA BSAFE funziona in modalità FIPS per impostazione predefinita.

Il certificato FIPS per RSA BSAFE Crypto Module è disponibile su CMVP NIST qui:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

Cause

Non applicabile

Resolution

Avvertenza: la procedura che segue prevede una modifica del Registro di sistema di Windows:

Crittografia basata su criteri

È possibile modificare una chiave del Registro di sistema per selezionare un cryptoprovider e metodo di crittografia con, per modificare la libreria crittografica utilizzata dall'agent Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

I file di registro di Dell Encryption generano righe all'interno del file CMGshield.log per indicare la modalità in cui operano i provider di crittografia (percorso predefinito C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Una riga che indica il provider che viene caricato è rappresentata da:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Oltre questa riga, viene scritta un'altra riga che descrive il valore utilizzato nel registro:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Nota: La modifica di CSSStartFlags richiede il riavvio del dispositivo per avere effetto. Questo valore di registro viene utilizzato se è presente durante il processo di configurazione, il che significa che il client Dell Encryption rispetta il valore della chiave di registro e sfrutta tale libreria crittografica dopo l'aggiornamento o l'installazione.

Se i flag Intel IPP sono disabilitati o non sono presenti, Dell Encryption esegue operazioni crittografiche richiamando la libreria crittografica convalidata FIPS di Dell (che opera in modalità FIPS).

Quando i flag Intel IPP sono abilitati, le stesse chiamate di funzione crittografica vengono effettuate alle librerie convalidate FIPS di Dell, ma il processo funziona all'interno dell'applicazione in modalità non FIPS e le operazioni di crittografia utilizzano la libreria Intel IPP per migliorare le prestazioni.

Per selezionare la modalità operativa, modificare (o creare) la chiave del Registro di sistema:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Gli amministratori possono convalidare l'impostazione dopo l'impostazione del registro, dopo il riavvio, utilizzando il file CMGShield.log:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Nota: Dell Encryption per Mac elabora sempre all'interno di una modalità convalidata FIPS e non sono necessarie modifiche da parte dell'amministratore di Dell Encryption.

    Il provider di crittografia legacy di Dell Encryption Credant’s CMGCrypto non è più convalidato da NIST, anche se i numeri di certificazione precedenti sono: 2156 e 2150

    Crittografia completa del disco basata su software

    È possibile modificare una chiave del Registro di sistema per selezionare un cryptoprovider e metodo di crittografia con, per modificare la libreria crittografica utilizzata dall'agent Dell Encryption:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    I file di registro di Dell Encryption generano righe all'interno del file DellCommon.log per indicare la modalità in cui operano i provider di crittografia (percorso predefinito C:\ProgramData\Dell\Dell Data Protection\).

    Una riga che indica il provider che viene caricato è rappresentata da:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Nota: La modifica del registro di Enable_Provider richiede il riavvio del dispositivo per avere effetto. Questo valore di registro viene utilizzato se è presente durante il processo di configurazione, il che significa che il client Dell Encryption rispetta il valore della chiave di registro e sfrutta tale libreria crittografica dopo l'aggiornamento o l'installazione.

    La modalità FIPS viene gestita utilizzando le librerie FIPS di Microsoft, indicate come BCrypt. Queste opzioni possono essere abilitate utilizzando un oggetto Criteri di gruppo per i computer gestiti in remoto, operazione che può essere eseguita tramite la console Gestione Criteri di gruppo in un computer in cui è installato il toolkit Amministrazione sistemi remota (disponibile qui: https://support.microsoft.com/en-us/help/2693643) Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

    Informazioni sull'implementazione da parte di Microsoft delle librerie validate FIPS sono disponibili qui: https://technet.microsoft.com/en-us/library/cc750357.aspx Questo link ipertestuale indirizza a un sito web esterno a Dell Technologies.

    Per esaminare le certificazioni FIPS per le librerie crittografiche Microsoft utilizzate tramite Full Disk Encryption di Dell Encryption, consultare NIST.gov link:

    Dispositivi gestiti in remoto tramite Active Directory

    Per abilitare l'utilizzo della Console Gestione Criteri di gruppo (gpmc.msc):

    Selezionare l'unità organizzativa in cui è richiesta questa modifica.

    Nota: Dell consiglia di testare e convalidare eventuali modifiche agli oggetti Criteri di gruppo prima di applicarle alla produzione.

    Gestione Criteri di gruppo
    Figura 1. (solo in inglese) Gestione Criteri di gruppo

    1. Assegnare un nome al nuovo oggetto Criteri di gruppo.

    Assegnare un nome all'oggetto Criteri di gruppo
    Figura 2. (solo in inglese) Assegnare un nome all'oggetto Criteri di gruppo

    1. Cliccare con il pulsante destro del mouse sul nuovo oggetto Criteri di gruppo e scegliere Modifica.

    Modificare l'oggetto Criteri di gruppo
    Figura 3. (solo in inglese) Modificare l'oggetto Criteri di gruppo

     
    Nota: Il criterio in questione è disponibile in Configurazione > computer Criteri > Impostazioni di Windows > , Impostazioni di protezione, Criteri > locali, Opzioni > di protezione. Il titolo è System cryptography: Utilizzare algoritmi conformi a FIPS per la crittografia, l'hashing e la firma.
    1. Cliccare con il pulsante destro del mouse sulla policy e selezionare le proprietà da modificare.

    Selezionare Proprietà.
    Figura 4. Selezione di Properties (solo in inglese)

    1. Abilitare l'opzione Definisci l'impostazione della policy, quindi selezionare il pulsante di comando Abilitato .

    Abilitare Definisci questa impostazione policy
    Figura 5. (solo in inglese) Abilitare Definisci questa impostazione policy

    1. Fare clic su Applica.
    2. Chiudere l'Editor Gestione Criteri di gruppo.

    Una volta aggiunti i dispositivi al gruppo organizzativo o a un sottogruppo (esclusi i gruppi con ereditarietà bloccata), il nuovo oggetto Criteri di gruppo si applica a tali dispositivi quando i relativi Criteri di gruppo computer vengono aggiornati. L'impostazione predefinita per questo aggiornamento è ogni 2 ore o al riavvio del computer.

    Una volta applicato questo criterio, una volta impostata su crittografia Full Disk Encryption basata su software di Dell, il dispositivo viene crittografato sfruttando gli algoritmi conformi a FIPS di Microsoft.

    Dispositivi gestiti localmente

    Queste opzioni possono essere abilitate anche localmente tramite l'Editor Criteri di gruppo locale (gpedit.msc) o tramite l'editor dei criteri di protezione locale (secpol.msc).

    Nell'Editor Criteri di gruppo locale

    Il criterio in questione si trova in Configurazione computer,> Impostazioni di Windows>, Impostazioni di sicurezza, Criteri> locali, Opzioni> di sicurezza. Il titolo è System cryptography: Utilizzare algoritmi conformi a FIPS per la crittografia, l'hashing e la firma.

    1. Cliccare con il pulsante destro del mouse sulla policy e selezionare le proprietà da modificare.

    Proprietà della policy
    Figura 6. (solo in inglese) Proprietà della policy

    1. Abilitare l'opzione Definisci l'impostazione della policy, quindi selezionare il pulsante di comando Abilitato .

    Abilitare Definisci questa impostazione policy
    Figura 7. (solo in inglese) Abilitare Definisci questa impostazione policy

    1. Fare clic su Applica.
    2. Chiudere l'Editor Gestione Criteri di gruppo.

    Questo nuovo criterio si applica a tali dispositivi man mano che i criteri del computer vengono aggiornati. L'impostazione predefinita per questo aggiornamento è ogni 2 ore o al riavvio del computer.

    Una volta applicato questo criterio, una volta impostata su crittografia Full Disk Encryption basata su software di Dell, il dispositivo viene crittografato sfruttando gli algoritmi conformi a FIPS di Microsoft.

    Nell'editor dei criteri di protezione locali

    Il criterio in questione si trova in Impostazioni di sicurezza>, Criteri> locali , Opzioni di protezione. Il titolo è System cryptography: Utilizzare algoritmi conformi a FIPS per la crittografia, l'hashing e la firma.

    1. Cliccare con il pulsante destro del mouse sulla policy e selezionare le proprietà da modificare.

    Proprietà dei criteri
    Figura 8. (solo in inglese) Proprietà dei criteri

    1. Abilitare l'opzione Definisci l'impostazione della policy, quindi selezionare il pulsante di comando Abilitato .

    Abilitare Definisci questa impostazione policy
    Figura 9. (solo in inglese) Abilitare Definisci questa impostazione policy

    1. Fare clic su Applica.
    2. Chiudere l'Editor Gestione Criteri di gruppo.

    Questo nuovo criterio si applica a tali dispositivi man mano che i criteri del computer vengono aggiornati. L'impostazione predefinita per questo aggiornamento è ogni 2 ore o al riavvio del computer.

    Una volta applicato questo criterio, una volta impostata su crittografia Full Disk Encryption basata su software di Dell, il dispositivo viene crittografato sfruttando gli algoritmi conformi a FIPS di Microsoft.

    Abilita tramite voce del Registro di sistema

    Gli algoritmi conformi a FIPS di Microsoft possono essere abilitati anche utilizzando il Registro di sistema. Per abilitare librerie conformi a FIPS, è possibile modificare la chiave del Registro di sistema:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Al riavvio, questo criterio è attivo. Una volta applicato questo criterio, una volta impostata su crittografia Full Disk Encryption basata su software di Dell, il dispositivo viene crittografato sfruttando gli algoritmi conformi a FIPS di Microsoft.


    Per contattare il supporto, consultare l'articolo Numeri di telefono internazionali del supporto di Dell Data Security.
    Accedere a TechDirect per generare una richiesta di supporto tecnico online.
    Per ulteriori approfondimenti e risorse accedere al forum della community Dell Security.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.