Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Soulad se standardem FIPS v nástroji Dell Encryption

Summary: Federální standardy pro zpracování informací (FIPS) jsou sadou pravidel, která popisují metody pro zpracování dat a jejich zpracování šifrovacími algoritmy na koncových bodech a napříč různými komunikačními kanály. Nástroj Dell Encryption využívá několik šifrovacích knihoven, přičemž základní aspekty šifrování jsou řízeny konfigurovatelnou kryptografickou knihovnou. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Dotčené produkty:

  • Dell Encryption
  • Dell Data Protection | Encryption

Ve verzi 10.1.0 byla aplikace Dell Encryption (dříve Dell Data Protection | Šifrování) Policy-Based Encryption používá kryptografický modulRSA BSAFE Crypto Module ověřený standardem FIPS. Tento nový zprostředkovatel kryptografických služeb je ve výchozím nastavení povolen při upgradu na nástroj Dell Encryption verze 10.1.0 nebo novější, pokud CSSStartFlags DWord není předvyplněný.

Stejná změna v poskytovatelích kryptografických služeb byla provedena pro softwarové šifrování celého disku společnosti Dell v nástroji Dell Encryption verze 10.3.0.

Kryptografický modul RSA BSAFE pracuje ve výchozím nastavení v režimu FIPS.

Certifikát FIPS pro kryptografický modul RSA BSAFE je k dispozici v nástroji NIST CMVP zde:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

Cause

Není k dispozici

Resolution

Varování: Dalším krokem je úprava registru systému Windows:

Policy-Based Encryption

Klíč registru lze upravit tak, aby vybíral konkrétní cryptoprovider a metody kryptologie k úpravě kryptografické knihovny, kterou používá agent Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Soubory protokolu nástroje Dell Encryption generují v souboru CMGshield.log řádky, které označují režim, ve kterém zprostředkovatelé kryptografických služeb pracují (výchozí umístění C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Řádek označující poskytovatele, který se načítá, je reprezentován:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Za tímto řádkem je napsán další řádek s popisem hodnoty, která byla spotřebována v registru:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Poznámka: Úprava CSSStartFlags vyžaduje restartování zařízení, aby se projevila. Tato hodnota registru se spotřebuje, pokud je přítomna během procesu instalace, což znamená, že klient Dell Encryption bude respektovat hodnotu klíče registru a využije tuto kryptografickou knihovnu po upgradu nebo instalaci.

Pokud jsou příznaky Intel IPP zakázány nebo nejsou přítomny, nástroj Dell Encryption provádí kryptografické operace voláním kryptografické knihovny ověřené standardem FIPS společnosti Dell (pracující v režimu FIPS).

Když jsou povoleny příznaky Intel IPP, do knihoven ověřených standardem FIPS společnosti Dell se volají stejné kryptografické funkce, proces však pracuje v aplikaci v režimu bez FIPS a operace šifrování používají knihovnu Intel IPP pro lepší výkon.

Chcete-li vybrat provozní režim, upravte (nebo vytvořte) klíč registru:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Správci mohou ověřit nastavení po nastavení tohoto registru po restartování pomocí souboru CMGShield.log:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Poznámka: Nástroj Dell Encryption for Mac vždy probíhá v režimu ověřeném standardem FIPS a správce nástroje Dell Encryption jej nemusí upravovat.

    Starší poskytovatel kryptografických služeb Dell Encryption Credant’s CMGCrypto již není validován NIST, i když dřívější certifikační čísla jsou: 2156 a 2150

    Softwarové šifrování celého disku

    Klíč registru lze upravit tak, aby vybíral konkrétní cryptoprovider a metody kryptologie k úpravě kryptografické knihovny, kterou používá agent Dell Encryption:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Soubory protokolu nástroje Dell Encryption generují v souboru DellCommon.log řádky, které označují režim, ve kterém zprostředkovatelé kryptografických služeb pracují (výchozí umístění C:\ProgramData\Dell\Dell Data Protection\).

    Řádek označující poskytovatele, který se načítá, je reprezentován:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Poznámka: Aby se změna Enable_Provider projevila, je nutné restartovat zařízení. Tato hodnota registru se spotřebuje, pokud je přítomna během procesu instalace, což znamená, že klient Dell Encryption bude respektovat hodnotu klíče registru a využije tuto kryptografickou knihovnu po upgradu nebo instalaci.

    Režim FIPS se spravuje pomocí knihoven FIPS společnosti Microsoft, které se označují jako BCrypt. Tyto možnosti lze povolit pomocí objektu zásad skupiny pro vzdáleně spravované počítače, což lze provést prostřednictvím konzole pro správu zásad skupiny v počítači s nainstalovanou sadou nástrojů pro vzdálenou správu systému (nachází se zde: https://support.microsoft.com/en-us/help/2693643) Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

    Informace o implementaci ověřených knihoven FIPS společností Microsoft najdete zde: https://technet.microsoft.com/en-us/library/cc750357.aspx Tento hypertextový odkaz vás zavede na webové stránky mimo společnost Dell Technologies.

    Chcete-li se seznámit s certifikacemi FIPS pro kryptografické knihovny společnosti Microsoft, které využívá nástroj Full Disk Encryption nástroje Dell Encryption, přečtěte si NIST.gov odkazy:

    Vzdáleně spravovaná zařízení pomocí služby Active Directory

    Povolení pomocí Konzole pro správu zásad skupiny (gpmc.msc):

    Vyberte organizační jednotku, ve které je tato změna vyžadována.

    Poznámka: Společnost Dell doporučuje před použitím změn v produkčním prostředí otestovat a ověřit veškeré změny objektu zásad skupiny.

    Správa zásad skupiny
    Obrázek 1: (Pouze v angličtině) Správa zásad skupiny

    1. Pojmenujte nový objekt zásad skupiny.

    Pojmenování objektu zásad skupiny
    Obrázek 2: (Pouze v angličtině) Pojmenování objektu zásad skupiny

    1. Klikněte pravým tlačítkem myši na nový objekt zásad skupiny a vyberte možnost Upravit.

    Úprava objektu zásad skupiny
    Obrázek 3: (Pouze v angličtině) Úprava objektu zásad skupiny

     
    Poznámka: Dotyčná zásada se nachází v části Konfigurace > počítače, > Nastavení > systému Windows, Nastavení > zabezpečení, Místní zásady > , Možnosti zabezpečení. Název je Systémová kryptografie: K šifrování, hashování a podepisování používejte algoritmy kompatibilní se standardem FIPS.
    1. Klikněte pravým tlačítkem na zásadu a vyberte vlastnosti, které chcete upravit.

    Vyberte položku Vlastnosti
    Obrázek 4: (Pouze v angličtině) Výběr možnosti Vlastnosti.

    1. Povolte možnost Definovat toto nastavení zásad a poté vyberte přepínač Povoleno .

    Povolte možnost Definovat toto nastavení zásad
    Obrázek 5: (Pouze v angličtině) Povolte možnost Definovat toto nastavení zásad

    1. Klikněte na tlačítko Použít.
    2. Zavřete Editor pro správu zásad skupiny.

    Jakmile jsou zařízení přidána do organizační skupiny nebo jakékoli podskupiny (s výjimkou skupin, které mají blokovanou dědičnost ), tento nový objekt Zásady skupiny se použije na tato zařízení jako aktualizace zásad skupiny počítačů. Výchozí nastavení této aktualizace je každé 2 hodiny nebo při restartování počítače.

    Po použití této zásady a nastavení softwarového šifrování celého disku společnosti Dell na šifrování se zařízení zašifruje pomocí algoritmů společnosti Microsoft kompatibilních se standardem FIPS.

    Místně spravovaná zařízení

    Tyto možnosti lze také povolit místně pomocí místního Editoru zásad skupiny (gpedit.msc) nebo pomocí Editoru místních zásad zabezpečení (secpol.msc).

    V místním Editoru zásad skupiny

    Dotyčná zásada se nachází v části Konfigurace> počítače, Nastavení> systému Windows, Nastavení> zabezpečení , Místní zásady>, Možnosti zabezpečení. Název je Systémová kryptografie: K šifrování, hashování a podepisování používejte algoritmy kompatibilní se standardem FIPS.

    1. Klikněte pravým tlačítkem na zásadu a vyberte vlastnosti, které chcete upravit.

    Vlastnosti zásady
    Obrázek 6: (Pouze v angličtině) Vlastnosti zásady

    1. Povolte možnost Definovat toto nastavení zásad a poté vyberte přepínač Povoleno .

    Povolte možnost Definovat toto nastavení zásad
    Obrázek 7: (Pouze v angličtině) Povolte možnost Definovat toto nastavení zásad

    1. Klikněte na tlačítko Použít.
    2. Zavřete Editor pro správu zásad skupiny.

    Tato nová zásada se vztahuje na tato zařízení, protože se aktualizují zásady počítače. Výchozí nastavení této aktualizace je každé 2 hodiny nebo při restartování počítače.

    Po použití této zásady a nastavení softwarového šifrování celého disku společnosti Dell na šifrování se zařízení zašifruje pomocí algoritmů společnosti Microsoft kompatibilních se standardem FIPS.

    V editoru místních zásad zabezpečení

    Dotyčná zásada se nachází v části Nastavení> zabezpečení, Místní zásady>, Možnosti zabezpečení. Název je Systémová kryptografie: K šifrování, hashování a podepisování používejte algoritmy kompatibilní se standardem FIPS.

    1. Klikněte pravým tlačítkem na zásadu a vyberte vlastnosti, které chcete upravit.

    Vlastnosti zásady
    Obrázek 8: (Pouze v angličtině) Vlastnosti zásady

    1. Povolte možnost Definovat toto nastavení zásad a poté vyberte přepínač Povoleno .

    Povolte možnost Definovat toto nastavení zásad
    Obrázek 9: (Pouze v angličtině) Povolte možnost Definovat toto nastavení zásad

    1. Klikněte na tlačítko Použít.
    2. Zavřete Editor pro správu zásad skupiny.

    Tato nová zásada se vztahuje na tato zařízení, protože se aktualizují zásady počítače. Výchozí nastavení této aktualizace je každé 2 hodiny nebo při restartování počítače.

    Po použití této zásady a nastavení softwarového šifrování celého disku společnosti Dell na šifrování se zařízení zašifruje pomocí algoritmů společnosti Microsoft kompatibilních se standardem FIPS.

    Povolit pomocí položky registru

    Algoritmy Microsoftu kompatibilní se standardem FIPS je také možné povolit pomocí registru. Pokud chcete povolit knihovny kompatibilní se standardem FIPS, můžete upravit klíč registru:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Při restartování se tato zásada projeví. Po použití této zásady a nastavení softwarového šifrování celého disku společnosti Dell na šifrování se zařízení zašifruje pomocí algoritmů společnosti Microsoft kompatibilních se standardem FIPS.


    Chcete-li kontaktovat podporu, přečtěte si článek Telefonní čísla mezinárodní podpory Dell Data Security.
    Přejděte na portál TechDirect a vygenerujte online žádost o technickou podporu.
    Další informace a zdroje získáte na fóru komunity Dell Security.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.