Dell Encryption FIPS-samsvar
Summary: FIPS (Federal Information Processing Standards) er et regelsett som beskriver metoder for hvordan data håndteres og behandles av krypteringsalgoritmer på endepunkter og på tvers av ulike kommunikasjonskanaler. Dell Encryption bruker flere krypteringsbiblioteker, der kjernekrypteringsaspektene kontrolleres av et konfigurerbart kryptografisk bibliotek. ...
This article applies to
This article does not apply to
Symptoms
Berørte produkter:
- Dell Encryption
- Dell Data Protection | Encryption
I v10.1.0, Dell Encryptions (tidligere kalt Dell Data Protection | Kryptering) Policybasert kryptering bruker den FIPS-validerte kryptografiske modulenRSA BSAFE Crypto Module. Denne nye kryptografiske leverandøren er aktivert som standard ved oppgradering til Dell Encryption v10.1.0 eller nyere hvis CSSStartFlags DWord er ikke forhåndsutfylt.
Den samme endringen i kryptografiske leverandører ble gjort for Dells programvarebaserte Full Disk Encryption i Dell Encryption v10.3.0.
RSA BSAFE Crypto Module opererer i FIPS-modus som standard.
FIPS-sertifikatet for RSA BSAFE Crypto Module er tilgjengelig på NIST CMVP her:
https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409
Cause
Ikke aktuelt
Resolution
Advarsel: Det neste trinnet er en Windows Registry edit:
- Sikkerhetskopier registeret før du fortsetter, se Slik sikkerhetskopierer og gjenoppretter du registeret i Windows
.
- Endring av registeret kan føre til at datamaskinen slutter å svare ved neste omstart.
- Ta kontakt med telefonnumrene til Dell Data Security International Support for å få hjelp hvis du har spørsmål om utførelsen av dette trinnet.
Retningslinjebasert kryptering
En registernøkkel kan endres for å velge en bestemt cryptoprovider og kryptologimetode med, for å endre det kryptografiske biblioteket som Dell Encryption-agenten bruker:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE DWORD: CssStartFlags Various "Flags" can be set, with the options being: 0x80000000 BSAFE 0x80000010 BSAFE with reduced key security for higher performance 0x40000000 BCrypt 0x40000010 BCrypt with reduced key security for higher performance 0x20000000 CmgCrypt Non-Fips 0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance 0x20000002 CmgCrypt FIPS
Loggfilene i Dell Encryption genererer linjer i CMGshield.log filen for å angi modusen kryptografiske leverandører opererer i (standardplasseringen C:\ProgramData\Dell\Dell Data Protection\Encryption\).
En linje som angir leverandøren som lastes inn, representeres av:
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption CffeEncrypterStartup -- Configuring MS BCRYPT Encryption CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x
Utover denne linjen skrives en annen linje som beskriver verdien som ble konsumert i registeret:
CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Merk: Endring av CSSStartFlags krever en omstart av enheten for at den skal tre i kraft. Denne registerverdien brukes hvis den finnes under installasjonsprosessen, noe som betyr at Dell Encryption-klienten respekterer verdien av registernøkkelen og utnytter det kryptografiske biblioteket etter oppgradering eller installasjon.
Hvis Intel IPP-flaggene er deaktivert eller ikke finnes, utfører Dell Encryption kryptografiske operasjoner ved å kalle Dells FIPS-validerte kryptografiske bibliotek (opererer i FIPS-modus).
Når Intel IPP-flaggene er aktivert, foretas de samme kryptografiske funksjonskallene til Dells FIPS-godkjente biblioteker, men prosessen kjører i applikasjonen i ikke-FIPS-modus, og krypteringsoperasjonene bruker Intel IPP-biblioteket for forbedret ytelse.
Hvis du vil velge operasjonsmodus, endrer (eller oppretter) du registernøkkelen:
HKLM\System\CurrentControlSet\Services\CmgShieldFFE DWORD: UseIPPFlags Value: 0 or 2 (decimal) 0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode 2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.
Administratorer kan validere innstillingen etter at dette registeret er angitt, etter omstart ved hjelp av CMGShield.log-filen:
"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
Merk: Dell Encryption for Mac behandles alltid i en FIPS-godkjent modus, og det kreves ingen endringer av Dell Encryption-administratoren.
Dell Encryptions eldre kryptografiske leverandør av Credant’s CMGCrypto er ikke lenger validert av NIST, selv om de tidligere sertifiseringsnumrene er: 2156 og 2150
Programvarebasert fullstendig diskkryptering
En registernøkkel kan endres for å velge en bestemt cryptoprovider og kryptologimetode med, for å endre det kryptografiske biblioteket som Dell Encryption-agenten bruker:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE DWORD: Enable_Provider Various providers can be set, with the options being: 0x00000001 Software-based AES 0x00000002 Processor-driven AES-NI 0x00000004 Microsoft BCrypt 0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance) 0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance) 0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
Loggfilene i Dell Encryption genererer linjer i DellCommon.log filen for å angi hvilken modus kryptografiske leverandører opererer i (standardplasseringen C:\ProgramData\Dell\Dell Data Protection\).
En linje som angir leverandøren som lastes inn, representeres av:
FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
Merk: Endring av Enable_Provider-registeret krever en omstart av enheten for at den skal tre i kraft. Denne registerverdien brukes hvis den finnes under installasjonsprosessen, noe som betyr at Dell Encryption-klienten respekterer verdien av registernøkkelen og utnytter det kryptografiske biblioteket etter oppgradering eller installasjon.
FIPS-modus administreres ved hjelp av Microsofts FIPS-biblioteker, referert til som BCrypt. Disse alternativene kan aktiveres ved hjelp av et gruppepolicyobjekt for eksternt administrerte maskiner, noe som kan gjøres via konsollen for gruppepolicybehandling på en datamaskin som har Remote System Administration Toolkit installert (du finner her: https://support.microsoft.com/en-us/help/2693643)
Du finner informasjon om Microsofts implementering av FIPS-validerte biblioteker her: https://technet.microsoft.com/en-us/library/cc750357.aspx
Hvis du vil se FIPS-sertifiseringene for Microsofts kryptografiske biblioteker som Dell Encryptions Full Disk Encryption bruker, kan du se NIST.gov koblinger:
- Nivå 2-sertifikat for kryptografiske primitiver: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
- Nivå 2-sertifikat for kryptografiske kjernefunksjoner: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095
Ekstern administrering av enheter ved hjelp av Active Directory
Slik aktiverer du ved hjelp av konsollen for gruppepolicybehandling (gpmc.msc):
Velg organisasjonsenheten der denne endringen er nødvendig.
Merk: Dell anbefaler at du tester og validerer eventuelle endringer av gruppepolicyobjekter før endringene endres i produksjonen.
Figur 1: (Bare på engelsk) Gruppepolicybehandling
- Gi det nye gruppepolicyobjektet et navn.
Figur 2: (Bare på engelsk) Gi gruppepolicyobjektet et navn
- Høyreklikk på det nye gruppepolicyobjektet, og velg Rediger.
Figur 3: (Bare på engelsk) Redigere gruppepolicyobjektet
Merk: Den aktuelle policyen er i Datamaskinkonfigurasjonspolicyer >> , Windows-innstillinger > , sikkerhetsinnstillinger > , lokale policyer > , sikkerhetsalternativer. Tittelen er Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering.
- Høyreklikk policyen, og velg egenskaper du vil endre.
Figur 4: (Bare på engelsk) Velg egenskaper
- Aktiver alternativet Definer denne policyinnstillingen, og velg deretter Aktivert sirkel-knappen.
Figur 5: (Bare på engelsk) Aktiver Definer denne policyinnstillingen
- Klikk på bruk.
- Lukk redigeringsprogrammet for gruppepolicybehandling.
Når enhetene er lagt til i organisasjonsgruppen eller en hvilken som helst undergruppe (unntatt grupper som har arv blokkert), gjelder dette nye gruppepolicyobjektet for disse enhetene som oppdatering av maskingruppepolicyer. Standardinnstillingen for denne oppdateringen er annenhver time, eller ved omstart av maskinen.
Når disse retningslinjene er tatt i bruk, krypteres enheten når Dells programvarebaserte Full Disk Encryption er satt til å kryptere, ved hjelp av Microsofts FIPS-kompatible algoritmer.
Lokalt administrerte enheter
Disse alternativene kan også aktiveres lokalt gjennom den lokale gruppepolicyredigereren (gpedit.msc) eller gjennom redigeringsprogrammet for lokal sikkerhetspolicy (secpol.msc).
I den lokale gruppepolicyredigereren
Den aktuelle policyen er i Datamaskinkonfigurasjon,>Windows-innstillinger>, sikkerhetsinnstillinger>, lokale retningslinjer>, sikkerhetsalternativer. Tittelen er Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering.
- Høyreklikk policyen, og velg egenskaper du vil endre.
Figur 6: (Bare på engelsk) Egenskaper av politikken
- Aktiver alternativet Definer denne policyinnstillingen, og velg deretter Aktivert sirkel-knappen.
Figur 7: (Bare på engelsk) Aktiver Definer denne policyinnstillingen
- Klikk på bruk.
- Lukk redigeringsprogrammet for gruppepolicybehandling.
Denne nye policyen gjelder for disse enhetene etter hvert som maskinpolicyene deres oppdateres. Standardinnstillingen for denne oppdateringen er annenhver time, eller ved omstart av maskinen.
Når disse retningslinjene er tatt i bruk, krypteres enheten når Dells programvarebaserte Full Disk Encryption er satt til å kryptere, ved hjelp av Microsofts FIPS-kompatible algoritmer.
I redigeringsprogrammet for lokal sikkerhetspolicy
Den aktuelle policyen er i Sikkerhetsinnstillinger>, Lokale policyer>, Sikkerhetsalternativer. Tittelen er Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering.
- Høyreklikk policyen, og velg egenskaper du vil endre.
Figur 8: (Bare på engelsk) Egenskaper av politikk
- Aktiver alternativet Definer denne policyinnstillingen, og velg deretter Aktivert sirkel-knappen.
Figur 9: (Bare på engelsk) Aktiver Definer denne policyinnstillingen
- Klikk på bruk.
- Lukk redigeringsprogrammet for gruppepolicybehandling.
Denne nye policyen gjelder for disse enhetene etter hvert som maskinpolicyene deres oppdateres. Standardinnstillingen for denne oppdateringen er annenhver time, eller ved omstart av maskinen.
Når disse retningslinjene er tatt i bruk, krypteres enheten når Dells programvarebaserte Full Disk Encryption er satt til å kryptere, ved hjelp av Microsofts FIPS-kompatible algoritmer.
Aktiver ved hjelp av registeroppføring
Microsofts FIPS-kompatible algoritmer kan også aktiveres ved hjelp av registeret. Hvis du vil aktivere FIPS-kompatible biblioteker, kan du endre registernøkkelen:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy DWORD: Enabled Value: 1
Ved omstart er denne policyen satt i kraft. Når disse retningslinjene er tatt i bruk, krypteres enheten når Dells programvarebaserte Full Disk Encryption er satt til å kryptere, ved hjelp av Microsofts FIPS-kompatible algoritmer.
Når du skal kontakte kundestøtte, kan du se Dell Data Security internasjonale telefonnumre for støtte..
Gå til TechDirect for å generere en forespørsel om teknisk støtte på Internett.
Hvis du vil ha mer innsikt og flere ressurser, kan du bli med i fellesskapsforumet for Dell Security.