Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Encryption FIPS-överensstämmelse

Summary: FIPS (Federal Information Processing Standards) är en regeluppsättning som beskriver metoder för hur data hanteras och bearbetas av krypteringsalgoritmer på slutpunkter och i olika kommunikationskanaler. Dell Encryption använder sig av flera krypteringsbibliotek, där de viktigaste krypteringsaspekterna styrs av ett konfigurerbart kryptografiskt bibliotek. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Berörda produkter:

  • Dell Encryption
  • Dell Data Protection | Encryption

I v10.1.0 kommer Dell Encryptions (tidigare Dell Data Protection | Kryptering) Policybaserad kryptering använder den FIPS-validerade kryptografiska modulenRSA BSAFE Crypto Module. Den här nya kryptografiprovidern aktiveras som standard vid uppgradering till Dell Encryption v10.1.0 eller senare om CSSStartFlags DWord är inte förifylld.

Samma ändring av kryptografiska leverantörer gjordes för Dells programvarubaserade fullständiga diskkryptering i Dell Encryption v10.3.0.

RSA BSAFE Crypto Module körs i FIPS-läge som standard.

FIPS-certifikatet för RSA BSAFE Crypto Module finns på NIST CMVP här:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Cause

Gäller ej

Resolution

Varning! Nästa steg är en redigering av Windows-registret:

Policybaserad kryptering

En registernyckel kan ändras för att välja en specifik cryptoprovider och kryptologimetod med, för att ändra det kryptografiska bibliotek som Dell Encryption-agenten använder:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryptions loggfiler genererar rader i CMGshield.log-filen som anger det läge som kryptografileverantörerna arbetar i (standardplatsen för C:\ProgramData\Dell\Dell Data Protection\Encryption\).

En rad som anger providern som läses in representeras av:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Utöver den här raden skrivs en annan rad som beskriver det värde som förbrukades i registret:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Obs! Om du ändrar CSSStartFlags måste enheten startas om för att den ska börja gälla. Det här registervärdet förbrukas om det finns under installationsprocessen, vilket innebär att Dell Encryption-klienten respekterar registernyckelns värde och använder det kryptografiska biblioteket efter uppgraderingen eller installationen.

Om Intel IPP-flaggorna är avaktiverade eller inte finns utför Dell Encryption kryptografiska åtgärder genom att anropa Dells FIPS-validerade kryptografiska bibliotek (som körs i FIPS-läge).

När Intel IPP-flaggor är aktiverade görs samma kryptografiska funktionsanrop till Dells FIPS-validerade bibliotek, men processen körs i programmet i icke-FIPS-läge och krypteringsåtgärderna använder Intel IPP-biblioteket för förbättrad prestanda.

Välj driftläge genom att ändra (eller skapa) registernyckeln:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Administratörer kan validera inställningen när det här registret har angetts, efter omstart med hjälp av den CMGShield.log filen:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Obs! Dell Encryption för Mac bearbetar alltid i ett FIPS-validerat läge och inga ändringar av Dell Encryption-administratören krävs.

    Dell Encryptions äldre kryptografiska leverantör av Credant’s CMGCrypto inte längre valideras av NIST, även om de tidigare certifieringsnumren är: 2156 och 2150

    Programvarubaserad fullständig diskkryptering

    En registernyckel kan ändras för att välja en specifik cryptoprovider och kryptologimetod med, för att ändra det kryptografiska bibliotek som Dell Encryption-agenten använder:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Dell Encryptions loggfiler genererar rader i DellCommon.log-filen som anger det läge som kryptografiproviders arbetar i (standardplatsen för C:\ProgramData\Dell\Dell Data Protection\).

    En rad som anger providern som läses in representeras av:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Obs! Om du ändrar Enable_Provider-registret måste enheten startas om för att det ska börja gälla. Det här registervärdet förbrukas om det finns under installationsprocessen, vilket innebär att Dell Encryption-klienten respekterar registernyckelns värde och använder det kryptografiska biblioteket efter uppgraderingen eller installationen.

    FIPS-läget hanteras med hjälp av Microsofts FIPS-bibliotek, refererade som BCrypt. De här alternativen kan aktiveras med hjälp av ett grupprincipobjekt för fjärrhanterade datorer, vilket kan göras via konsolen Grupprinciphantering på en dator som har verktyget för fjärrsystemadministration installerat (finns här: https://support.microsoft.com/en-us/help/2693643) Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

    Information om Microsofts implementering av FIPS-verifierade bibliotek finns här: https://technet.microsoft.com/en-us/library/cc750357.aspx Den här hyperlänken tar dig till en webbplats utanför Dell Technologies.

    Om du vill granska FIPS-certifieringarna för Microsofts kryptografiska bibliotek som Dell Encryptions fullständiga diskkryptering använder, se NIST.gov länkarna:

    Fjärrhanterade enheter med Active Directory

    Så här aktiverar du med konsolen Grupprinciphantering (gpmc.msc):

    Välj den organisationsenhet där den här ändringen krävs.

    Obs! Dell rekommenderar att du testar och validerar eventuella ändringar av grupprincipobjekt innan du tillämpar ändringarna i produktion.

    Grupprinciphantering
    Bild 1: (Endast på engelska) Grupprinciphantering

    1. Ge det nya grupprincipobjektet namnet.

    Ge grupprincipobjektet namnet
    Bild 2: (Endast på engelska) Ge grupprincipobjektet namnet

    1. Högerklicka på det nya grupprincipobjektet och välj Redigera.

    Redigera grupprincipobjektet
    Bild 3: (Endast på engelska) Redigera grupprincipobjektet

     
    Obs! Principen i fråga finns i Principer för datorkonfiguration>, Windows-inställningar>, säkerhetsinställningar>, lokala principer>, säkerhetsalternativ.> Titeln är Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashning och signering.
    1. Högerklicka på principen och välj de egenskaper som ska ändras.

    Välj Properties (egenskaper)
    Bild 4: (Endast på engelska) Välj egenskaper

    1. Aktivera alternativet Definiera den här principinställningen och välj sedan knappen Aktiverad radiell.

    Aktivera Definiera den här principinställningen
    Bild 5: (Endast på engelska) Aktivera Definiera den här principinställningen

    1. Klicka på Använd.
    2. Stäng Redigeraren för grupprinciphantering.

    När enheterna har lagts till i organisationsgruppen eller en undergrupp (exklusive grupper som har arv blockerat) gäller det här nya grupprincipobjektet för dessa enheter när deras datorgrupprinciper uppdateras. Standardinställningen för den här uppdateringen är var 2:e timme eller vid omstart av datorn.

    När den här principen har tillämpats och Dells programvarubaserade Full Disk Encryption är inställd på kryptering krypteras enheten med hjälp av Microsofts FIPS-kompatibla algoritmer.

    Lokalt hanterade enheter

    Dessa alternativ kan också aktiveras lokalt via den lokala grupprincipredigeraren (gpedit.msc) eller via den lokala säkerhetspolicyredigeraren (secpol.msc).

    I den lokala grupprincipredigeraren

    Principen i fråga finns i Datorkonfiguration>, Windows-inställningar>, säkerhetsinställningar>, lokala principer>, säkerhetsalternativ. Titeln är Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashning och signering.

    1. Högerklicka på principen och välj de egenskaper som ska ändras.

    Egenskaper för principen
    Bild 6: (Endast på engelska) Egenskaper för principen

    1. Aktivera alternativet Definiera den här principinställningen och välj sedan knappen Aktiverad radiell.

    Aktivera Definiera den här principinställningen
    Bild 7: (Endast på engelska) Aktivera Definiera den här principinställningen

    1. Klicka på Använd.
    2. Stäng Redigeraren för grupprinciphantering.

    Den här nya principen gäller för dessa enheter när deras datorprinciper uppdateras. Standardinställningen för den här uppdateringen är var 2:e timme eller vid omstart av datorn.

    När den här principen har tillämpats och Dells programvarubaserade Full Disk Encryption är inställd på kryptering krypteras enheten med hjälp av Microsofts FIPS-kompatibla algoritmer.

    I redigeraren för lokal säkerhetsprincip

    Principen i fråga finns i Säkerhetsinställningar,>Lokala principer>, Säkerhetsalternativ. Titeln är Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashning och signering.

    1. Högerklicka på principen och välj de egenskaper som ska ändras.

    Egenskaper för princip
    Bild 8: (Endast på engelska) Egenskaper för princip

    1. Aktivera alternativet Definiera den här principinställningen och välj sedan knappen Aktiverad radiell.

    Aktivera Definiera den här principinställningen
    Bild 9: (Endast på engelska) Aktivera Definiera den här principinställningen

    1. Klicka på Använd.
    2. Stäng Redigeraren för grupprinciphantering.

    Den här nya principen gäller för dessa enheter när deras datorprinciper uppdateras. Standardinställningen för den här uppdateringen är var 2:e timme eller vid omstart av datorn.

    När den här principen har tillämpats och Dells programvarubaserade Full Disk Encryption är inställd på kryptering krypteras enheten med hjälp av Microsofts FIPS-kompatibla algoritmer.

    Aktivera med hjälp av registerpost

    Microsofts FIPS-kompatibla algoritmer kan också aktiveras med hjälp av registret. Om du vill aktivera FIPS-kompatibla bibliotek kan du ändra registernyckeln:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Vid omstart börjar den här principen gälla. När den här principen har tillämpats och Dells programvarubaserade Full Disk Encryption är inställd på kryptering krypteras enheten med hjälp av Microsofts FIPS-kompatibla algoritmer.


    Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
    Gå till TechDirect för att skapa en begäran om teknisk support online.
    Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.