Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Encryption FIPS 法規遵循

Summary: 聯邦資訊處理標準 (FIPS) 是一個規則集,其中概述了如何由端點和各種通信通道上的加密演演演算法處理和處理數據的方法。Dell Encryption 運用多個加密程式庫,其核心加密層面由可設定的密碼編譯程式庫加以控制。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

受影響的產品:

  • Dell Encryption
  • Dell Data Protection | Encryption

在 v10.1.0 中,Dell Encryption 的 (先前稱為 Dell Data Protection |加密) 原則式加密使用 FIPS 驗證的密碼編譯模組RSA BSAFE 密碼編譯模組。在升級至 Dell Encryption v10.1.0 或更新版本時,預設會啟用此新的密碼編譯提供者,如果 CSSStartFlags DWord 未預先填入。

在 Dell Encryption v10.3.0 中為 Dell 的軟體型全磁碟加密,在密碼編譯提供者中也做了同樣的變更。

RSA BSAFE 密碼編譯模組 預設以 FIPS 模式運作。

可在 NIST CMVP 上取得 RSA BSAFE 密碼加密模組 的 FIPS 憑證,連結網址為:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 此超連結會帶您前往 Dell Technologies 以外的網站。

Cause

不適用

Resolution

警告:下一個步驟是 Windows 登錄編輯:

原則式加密

可修改登錄機碼,以選取特定的 cryptoprovider 和密碼學方法,以修改 Dell Encryption 代理程式使用的密碼編譯程式庫:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryption 的記錄檔會在CMGshield.log檔案中產生行,以表示密碼編譯供應商運作的模式 (C:\ProgramData\Dell\Dell Data Protection\Encryption\ 的預設位置)。

指示正在載入的提供程式的行由下式表示:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

在此行之外,將編寫另一行,概述註冊表中使用的值:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
注意:修改 CSSStartFlags 需要將裝置重新開機才能生效。如果在安裝程序期間存在登錄檔值,則會使用此值,這表示 Dell Encryption 用戶端會尊重登錄機碼的值,並在升級或安裝後利用該密碼編譯程式庫。

如果 Intel IPP 旗標停用或不存在,Dell Encryption 會呼叫 Dell 的 FIPS 驗證密碼編譯程式庫 (以 FIPS 模式運作),以執行密碼編譯作業。

啟用「Intel IPP Flags」時,會對 Dell 的 FIPS 驗證程式庫進行相同的密碼編譯功能呼叫,但該程序會在應用程式中以非 FIPS 模式運作,且加密作業會使用「Intel IPP」程式庫來改善效能。

若要選擇操作模式,請修改(或創建)註冊表項:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    系統管理員可以在設定此登錄檔後,使用 CMGShield.log 檔案重新開機驗證設定:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    注意:Mac 版 Dell Encryption 一律在 FIPS 驗證模式下處理,不需要由 Dell Encryption 系統管理員進行修改。

    Dell Encryption 的舊版密碼編譯提供者 Credant’s CMGCrypto 不再由 NIST 驗證,儘管以前的認證編號是:2156 和 2150

    軟體式全磁碟加密

    可修改登錄機碼,以選取特定的 cryptoprovider 和密碼學方法,以修改 Dell Encryption 代理程式使用的密碼編譯程式庫:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Dell Encryption 的記錄檔會在DellCommon.log檔案內產生行,以表示密碼編譯供應商運作的模式 (C:\ProgramData\Dell\Dell Data Protection\ 的預設位置)。

    指示正在載入的提供程式的行由下式表示:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    注意:修改 Enable_Provider 登錄需要將裝置重新開機才能生效。如果在安裝程序期間存在登錄檔值,則會使用此值,這表示 Dell Encryption 用戶端會尊重登錄機碼的值,並在升級或安裝後利用該密碼編譯程式庫。

    FIPS 模式是使用 Microsoft 的 FIPS 程式庫進行管理,參考如 BCrypt。可以使用遠端管理的電腦的組策略物件來啟用這些選項,這可以通過安裝了遠端系統管理工具包的電腦上的組策略管理控制台完成(位於此處:https://support.microsoft.com/en-us/help/2693643此超連結會帶您前往 Dell Technologies 以外的網站。

    有關 Microsoft 實施經 FIPS 驗證的庫的資訊,請參閱此處: https://technet.microsoft.com/en-us/library/cc750357.aspx 此超連結會帶您前往 Dell Technologies 以外的網站。

    若要檢閱 Dell Encryption Full Disk Encryption 所利用的 Microsoft 密碼編譯程式庫 FIPS 認證,請參閱 NIST.gov 連結:

    使用 Active Directory 進行遠端管理的裝置

    若要使用群組原則管理主控台 (gpmc.msc) 啟用:

    選取需要進行此變更的組織單位。

    注意:Dell 建議您在將變更套用至生產環境之前,先測試並驗證所有群組原則物件變更。

    群組原則管理
    圖 1:(僅英文)群組原則管理

    1. 為新的組策略物件命名。

    命名群組原則物件
    圖 2:(僅英文)命名群組原則物件

    1. 以滑鼠右鍵按一下新的群組原則物件,然後選取 編輯

    編輯群組原則物件
    圖 3:(僅英文)編輯群組原則物件

     
    注意:有問題的策略位於計算機配置 > 策略 > Windows 設置 > 安全設置 > 本地策略 > 安全選項中。標題是 「系統密碼學:使用符合 FIPS 的演演演算法進行加密、哈希處理和簽名
    1. 在原則上按一下滑鼠右鍵,然後選取要修改 的內容

    選取「內容」
    圖 4:(僅限英文) 選取內容

    1. 啟用 「定義此策略設置 」選項,然後選擇 「已啟用 」選項選項。

    開啟定義此原則設定
    圖 5:(僅英文)開啟定義此原則設定

    1. 按一下套用。
    2. 關閉群組原則管理編輯器。

    將設備添加到組織組或任何子組(不包括已阻止 繼承 的組)后,此新組策略物件將隨著這些設備的計算機組策略更新應用於這些設備。此更新的預設設置為每 2 小時或在電腦重新開機時更新一次。

    套用此原則後,一旦 Dell 的軟體型 Full Disk Encryption 設定為加密,裝置便會以 Microsoft 的 FIPS 相容演算法進行加密。

    本機管理的裝置

    您也可以透過本機群組原則編輯器 (gpedit.msc) 或透過本機安全性原則編輯器 (secpol.msc) 在本機啟用這些選項。

    在本機群組原則編輯器中

    有問題的策略位於 計算機配置> Windows 設置>安全設置>本地策略>安全選項中。標題是 「系統密碼學:使用符合 FIPS 的演演演算法進行加密、哈希處理和簽名

    1. 在原則上按一下滑鼠右鍵,然後選取要修改 的內容

    原則的屬性
    圖 6:(僅英文)原則的屬性

    1. 啟用 「定義此策略設置 」選項,然後選擇 「已啟用 」選項選項。

    開啟定義此原則設定
    圖 7:(僅英文)開啟定義此原則設定

    1. 按一下套用。
    2. 關閉群組原則管理編輯器。

    此新策略適用於這些設備的計算機策略更新。此更新的預設設置為每 2 小時或在電腦重新開機時更新一次。

    套用此原則後,一旦 Dell 的軟體型 Full Disk Encryption 設定為加密,裝置便會以 Microsoft 的 FIPS 相容演算法進行加密。

    在本機安全性原則編輯器中

    有問題的策略位於 安全設置>本地策略>安全選項中。標題是 「系統密碼學:使用符合 FIPS 的演演演算法進行加密、哈希處理和簽名

    1. 在原則上按一下滑鼠右鍵,然後選取要修改 的內容

    原則的屬性
    圖 8:(僅英文)原則的屬性

    1. 啟用 「定義此策略設置 」選項,然後選擇 「已啟用 」選項選項。

    開啟定義此原則設定
    圖 9:(僅英文)開啟定義此原則設定

    1. 按一下套用。
    2. 關閉群組原則管理編輯器。

    此新策略適用於這些設備的計算機策略更新。此更新的預設設置為每 2 小時或在電腦重新開機時更新一次。

    套用此原則後,一旦 Dell 的軟體型 Full Disk Encryption 設定為加密,裝置便會以 Microsoft 的 FIPS 相容演算法進行加密。

    使用登錄項目啟用

    Microsoft 的 FIPS 相容演算法也可以使用登錄啟用。若要啟用符合 FIPS 的庫,可以修改註冊表項:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    重新開機時,此原則將設定生效。套用此原則後,一旦 Dell 的軟體型 Full Disk Encryption 設定為加密,裝置便會以 Microsoft 的 FIPS 相容演算法進行加密。


    如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼
    請前往 TechDirect,以線上產生技術支援要求。
    如需更多深入見解與資源,請加入 Dell 安全性社群論壇

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.