Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Соответствие стандарту Dell Encryption FIPS

Summary: Федеральные стандарты обработки информации (FIPS) — это набор правил, описывающий методы обработки данных алгоритмами шифрования на конечных точках и по различным каналам связи. Dell Encryption использует несколько библиотек шифрования, при этом основные аспекты шифрования контролируются настраиваемой криптографической библиотекой. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Затронутые продукты:

  • Dell Encryption
  • Dell Data Protection | Encryption

В версии 10.1.0 Dell Encryption (ранее Dell Data Protection | Encryption) При шифровании на основе политик используется криптографический модульRSA BSAFE, проверенный FIPS. Этот новый поставщик шифрования включен по умолчанию при обновлении до Dell Encryption v10.1.0 или более поздней версии, если CSSStartFlags DWord не заполняется предварительно.

Такое же изменение поставщиков шифрования было внесено для программного обеспечения Dell Full Disk Encryption в Dell Encryption v10.3.0.

Криптомодуль RSA BSAFE по умолчанию работает в режиме FIPS.

Сертификат FIPS для криптомодуля RSA BSAFE доступен в NIST CMVP здесь:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

Cause

Неприменимо

Resolution

Предупреждение. Следующий шаг — редактирование реестра Windows:

Шифрование на основе политик

Раздел реестра можно изменить, чтобы выбрать определенный cryptoprovider и метод шифрования с целью изменения криптографической библиотеки, используемой агентом Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Файлы журнала Dell Encryption создают строки в CMGshield.log файле, указывающие режим, в котором работают поставщики шифрования (расположение по умолчанию C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Строка, указывающая загружаемый поставщик, представлена следующими символами:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

За этой строкой пишется еще одна строка, описывающая значение, которое было использовано в реестре:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Примечание.: Чтобы изменение CSSStartFlags вступило в силу, требует перезагрузки устройства. Это значение реестра используется, если оно присутствует в процессе установки, то есть клиент Dell Encryption принимает значение раздела реестра и использует эту криптографическую библиотеку после обновления или установки.

Если флаги Intel IPP отключены или отсутствуют, Dell Encryption выполняет криптографические операции, вызывая криптографическую библиотеку Dell, проверенную на соответствие стандарту FIPS (работающую в режиме FIPS).

Когда флаги Intel IPP включены, в библиотеки Dell, проверенные на соответствие стандарту FIPS, выполняются те же вызовы криптографических функций, но процесс выполняется в приложении в режиме, отличном от FIPS, а операции шифрования используют библиотеку Intel IPP для повышения производительности.

Чтобы выбрать режим работы, измените (или создайте) раздел реестра:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Администраторы могут проверить настройку после установки этого реестра после перезагрузки с помощью CMGShield.log файла:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Примечание.: Dell Encryption для Mac всегда работает в режиме, проверенном FIPS, и никаких изменений со стороны администратора Dell Encryption не требуется.

    Устаревший поставщик шифрования Dell Encryption Credant’s CMGCrypto больше не проверяется NIST, хотя прежние номера сертификатов следующие: 2156 и 2150

    Полное шифрование диска на базе программного обеспечения

    Раздел реестра можно изменить, чтобы выбрать определенный cryptoprovider и метод шифрования с целью изменения криптографической библиотеки, используемой агентом Dell Encryption:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Файлы журнала Dell Encryption создают строки в файле DellCommon.log, указывающие режим, в котором работают поставщики шифрования (расположение по умолчанию C:\ProgramData\Dell\Dell Data Protection\).

    Строка, указывающая загружаемый поставщик, представлена следующими символами:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Примечание.: Чтобы изменения в реестре Enable_Provider вступили в силу, требуется перезагрузка устройства. Это значение реестра используется, если оно присутствует в процессе установки, то есть клиент Dell Encryption принимает значение раздела реестра и использует эту криптографическую библиотеку после обновления или установки.

    Управление режимом FIPS осуществляется с помощью библиотек Microsoft FIPS, которые обозначаются как BCrypt. Эти параметры можно включить с помощью объекта групповой политики для удаленно управляемых компьютеров, что можно сделать через консоль управления групповыми политиками на компьютере, на котором установлен набор инструментов для администрирования удаленной системы (расположенный здесь: https://support.microsoft.com/en-us/help/2693643) Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

    Информацию о реализации Microsoft библиотек, проверенных FIPS, можно найти здесь: https://technet.microsoft.com/en-us/library/cc750357.aspx Эта гиперссылка позволяет перейти на сайт за пределами Dell Technologies.

    Чтобы ознакомиться с сертификатами FIPS для криптографических библиотек Microsoft, которые использует Dell Encryption Full Disk Encryption, см. NIST.gov ссылки:

    Удаленно управляемые устройства с помощью Active Directory

    Чтобы включить с помощью консоли управления групповыми политиками (gpmc.msc), выполните следующие действия.

    Выберите организационное подразделение, в котором требуется это изменение.

    Примечание.: Dell рекомендует тестировать и проверять любые изменения объекта групповой политики, прежде чем применять эти изменения в производственной среде.

    Управление групповой политикой
    Рис. 1. (Только на английском языке) Управление групповыми политиками

    1. Назовите новый объект групповой политики.

    Присвоение имени объекту групповой политики
    Рис. 2. (Только на английском языке) Присвоение имени объекту групповой политики

    1. Нажмите правой кнопкой мыши на новом объекте групповой политики и выберите опцию Edit.

    Изменение объекта групповой политики
    Рис. 3. (Только на английском языке) Изменение объекта групповой политики

     
    Примечание.: Политика, о которой идет речь, находится в разделах «Политики конфигурации > компьютера», > «Параметры Windows», «Параметры > безопасности», «Локальные > политики > », «Параметры безопасности». Она называется «Системная криптография». Используйте FIPS-совместимые алгоритмы для шифрования, хэширования и добавления подписей.
    1. Нажмите правой кнопкой мыши на политику и выберите свойства для изменения.

    Выберите «Свойства».
    Рис. 4. Выбор параметра свойств (только на английском языке)

    1. Включите параметр Define this policy setting, а затем нажмите переключатель Enabled .

    Установите флажок Определить этот параметр политики
    Рис. 5. (Только на английском языке) Установите флажок Определить этот параметр политики

    1. Нажмите кнопку Применить.
    2. Закройте редактор «Управление групповыми политиками».

    После добавления устройств в организационную группу или любую подгруппу (за исключением групп, для которых заблокировано наследование), этот новый объект групповой политики применяется к этим устройствам при обновлении политик группы компьютеров. Значение по умолчанию для этого обновления — каждые 2 часа или при перезагрузке компьютера.

    После применения этой политики, когда программное обеспечение Dell Full Disk Encryption настроено на шифрование, устройство шифруется с использованием алгоритмов Microsoft, совместимых с FIPS.

    Локально управляемые устройства

    Эти параметры также можно включить локально с помощью локального редактора групповой политики (gpedit.msc) или локального редактора политики безопасности (secpol.msc).

    В локальном редакторе групповой политики

    Политика, о которой идет речь, находится в разделе Конфигурация> компьютера Параметры Windows Параметры>>безопасностиЛокальные политики Параметры>безопасности. Она называется «Системная криптография». Используйте FIPS-совместимые алгоритмы для шифрования, хэширования и добавления подписей.

    1. Нажмите правой кнопкой мыши на политику и выберите свойства для изменения.

    Свойства политики
    Рис. 6. (Только на английском языке) Свойства политики

    1. Включите параметр Define this policy setting, а затем нажмите переключатель Enabled .

    Установите флажок Определить этот параметр политики
    Рис. 7. (Только на английском языке) Установите флажок Определить этот параметр политики

    1. Нажмите кнопку Применить.
    2. Закройте редактор «Управление групповыми политиками».

    Эта новая политика применяется к этим устройствам по мере обновления политик их компьютеров. Значение по умолчанию для этого обновления — каждые 2 часа или при перезагрузке компьютера.

    После применения этой политики, когда программное обеспечение Dell Full Disk Encryption настроено на шифрование, устройство шифруется с использованием алгоритмов Microsoft, совместимых с FIPS.

    В редакторе локальной политики безопасности

    Политика, о которой идет речь, находится в разделе Security Settings>Local Policies>Security Options. Она называется «Системная криптография». Используйте FIPS-совместимые алгоритмы для шифрования, хэширования и добавления подписей.

    1. Нажмите правой кнопкой мыши на политику и выберите свойства для изменения.

    Свойства политики
    Рис. 8. (Только на английском языке) Свойства политики

    1. Включите параметр Define this policy setting, а затем нажмите переключатель Enabled .

    Установите флажок Определить этот параметр политики
    Рис. 9. (Только на английском языке) Установите флажок Определить этот параметр политики

    1. Нажмите кнопку Применить.
    2. Закройте редактор «Управление групповыми политиками».

    Эта новая политика применяется к этим устройствам по мере обновления политик их компьютеров. Значение по умолчанию для этого обновления — каждые 2 часа или при перезагрузке компьютера.

    После применения этой политики, когда программное обеспечение Dell Full Disk Encryption настроено на шифрование, устройство шифруется с использованием алгоритмов Microsoft, совместимых с FIPS.

    Включить использование записи реестра

    Алгоритмы Microsoft, совместимые с FIPS, также можно включить с помощью реестра. Чтобы включить библиотеки, совместимые с FIPS, можно изменить раздел реестра:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    При перезагрузке эта политика начинает действовать. После применения этой политики, когда программное обеспечение Dell Full Disk Encryption настроено на шифрование, устройство шифруется с использованием алгоритмов Microsoft, совместимых с FIPS.


    Чтобы связаться со службой поддержки, см. Номера телефонов международной службы поддержки Dell Data Security.
    Перейдите в TechDirect, чтобы создать запрос на техническую поддержку в режиме онлайн.
    Для получения дополнительной информации и ресурсов зарегистрируйтесь на форуме сообщества Dell Security.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.