Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Conformité Dell Encryption FIPS

Summary: Les normes FIPS (Federal Information Processing Standards) sont un ensemble de règles qui décrivent les méthodes de traitement des données par les algorithmes de chiffrement sur les points de terminaison et sur les différents canaux de communication. Dell Encryption tire parti de plusieurs bibliothèques de chiffrement, les principaux aspects du chiffrement étant contrôlés par une bibliothèque cryptographique configurable. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Produits concernés :

  • Dell Encryption
  • Dell Data Protection | Encryption

Dans la version 10.1.0, Dell Encryption (anciennement Dell Data Protection | Chiffrement) Le chiffrement basé sur des règles utilise le module cryptographique RSA BSAFE validé par FIPS. Ce nouveau fournisseur de chiffrement est activé par défaut lors de la mise à niveau vers Dell Encryption v10.1.0 ou une version ultérieure si le CSSStartFlags DWord n’est pas prérempli.

La même modification des fournisseurs de chiffrement a été apportée à la fonctionnalité logicielle de chiffrement complet du disque de Dell dans Dell Encryption v10.3.0.

Le module cryptographique RSA BSAFE fonctionne en mode FIPS par défaut.

Le certificat FIPS pour le module cryptographique RSA BSAFE est disponible sur le CMVP du NIST à l’adresse suivante :

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

Cause

Sans objet

Resolution

Avertissement : L’étape suivante consiste à modifier le registre Windows :

Chiffrement basé sur des règles

Une clé de registre peut être modifiée pour sélectionner un cryptoprovider et méthode de cryptologie avec, pour modifier la bibliothèque cryptographique utilisée par l’agent Dell Encryption :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Les fichiers journaux de Dell Encryption génèrent des lignes dans le fichier CMGshield.log pour indiquer le mode de fonctionnement des fournisseurs de chiffrement (emplacement par défaut : C :\ProgramData\Dell\Dell Data Protection\Encryption\).

Une ligne indiquant le fournisseur en cours de chargement est représentée par :

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Au-delà de cette ligne, une autre ligne est écrite décrivant la valeur qui a été consommée dans le registre :

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Remarque : La modification de CSSStartFlags nécessite un redémarrage du périphérique pour qu’il prenne effet. Cette valeur de registre est consommée si elle est présente lors du processus de configuration, ce qui signifie que le client Dell Encryption respecte la valeur de la clé de registre et utilise cette bibliothèque cryptographique après la mise à niveau ou l’installation.

Si les balises Intel IPP sont désactivées ou absentes, Dell Encryption effectue des opérations cryptographiques en appelant la bibliothèque cryptographique validée par FIPS de Dell (fonctionnant en mode FIPS).

Lorsque les balises Intel IPP sont activées, les mêmes appels de fonction cryptographique sont effectués vers les bibliothèques validées FIPS de Dell, mais le processus fonctionne dans l’application en mode non FIPS, et les opérations de chiffrement utilisent la bibliothèque Intel IPP pour améliorer les performances.

Pour sélectionner le mode de fonctionnement, modifiez (ou créez) la clé de registre :

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Les administrateurs peuvent valider le paramètre après la définition de ce registre, après le redémarrage à l’aide du fichier CMGShield.log :

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Remarque : Dell Encryption pour Mac traite toujours dans un mode validé par FIPS, et aucune modification n’est requise de la part de l’administrateur Dell Encryption.

    L’ancien fournisseur cryptographique de Dell Encryption Credant’s CMGCrypto n’est plus validée par le NIST, bien que les anciens numéros de certification soient les suivants : 2156 et 2150

    Chiffrement complet du disque basé sur logiciel

    Une clé de registre peut être modifiée pour sélectionner un cryptoprovider et méthode de cryptologie avec, pour modifier la bibliothèque cryptographique utilisée par l’agent Dell Encryption :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Les fichiers journaux de Dell Encryption génèrent des lignes dans le fichier DellCommon.log pour indiquer le mode de fonctionnement des fournisseurs de chiffrement (emplacement par défaut : C :\ProgramData\Dell\Dell Data Protection\).

    Une ligne indiquant le fournisseur en cours de chargement est représentée par :

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Remarque : La modification du registre Enable_Provider nécessite un redémarrage de l’appareil pour qu’elle prenne effet. Cette valeur de registre est consommée si elle est présente lors du processus de configuration, ce qui signifie que le client Dell Encryption respecte la valeur de la clé de registre et utilise cette bibliothèque cryptographique après la mise à niveau ou l’installation.

    Le mode FIPS est géré à l’aide des bibliothèques FIPS de Microsoft, référencées comme BCrypt. Ces options peuvent être activées à l’aide d’un objet de stratégie de groupe pour les machines gérées à distance, ce qui peut être effectué via la console de gestion des stratégies de groupe sur un ordinateur sur lequel est installé le Remote System Administration Toolkit (disponible ici : https://support.microsoft.com/en-us/help/2693643) Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

    Vous trouverez des informations sur l’implémentation par Microsoft des bibliothèques validées FIPS ici : https://technet.microsoft.com/en-us/library/cc750357.aspx Ce lien hypertexte renvoie à un site Web extérieur à Dell Technologies.

    Pour passer en revue les certifications FIPS pour les bibliothèques cryptographiques de Microsoft utilisées par Full Disk Encryption de Dell Encryption, consultez les liens NIST.gov :

    Appareils gérés à distance à l’aide d’Active Directory

    Pour activer à l’aide de la console de gestion des stratégies de groupe (gpmc.msc) :

    Sélectionnez l’unité organisationnelle dans laquelle cette modification est requise.

    Remarque : Dell recommande de tester et de valider toute modification apportée à l’objet de stratégie de groupe avant de les appliquer à la production.

    Gestion des stratégies de groupe
    Figure 1 : (En anglais uniquement) Gestion des stratégies de groupe

    1. Nommez le nouvel objet de stratégie de groupe.

    Nommez l’objet de stratégie de groupe
    Figure 2 : (En anglais uniquement) Nommez l’objet de stratégie de groupe

    1. Cliquez avec le bouton droit de la souris sur le nouvel objet de stratégie de groupe et sélectionnez Modifier.

    Modifier l’objet de stratégie de groupe
    Figure 3 : (En anglais uniquement) Modifier l’objet de stratégie de groupe

     
    Remarque : La stratégie en question se trouve dans Stratégies de configuration > de l’ordinateur Paramètres > Windows Paramètres > de sécurité Stratégies >> locales Options de sécurité. Le titre est Cryptographie système : Utilisez des algorithmes conformes à la norme FIPS pour le chiffrement, le hachage et la signature.
    1. Cliquez avec le bouton droit de la souris sur la politique et sélectionnez les propriétés à modifier.

    Sélectionnez Propriétés
    Figure 4 : Sélectionner Properties (en anglais uniquement)

    1. Activez l’option Define this policy setting, puis sélectionnez le bouton Radial Enabled .

    Activer le paramètre Define this policy
    Figure 5 : (En anglais uniquement) Activer le paramètre Define this policy

    1. Cliquez sur Appliquer.
    2. Fermez l’éditeur de gestion des stratégies de groupe.

    Une fois que les appareils sont ajoutés au groupe organisationnel ou à un sous-groupe (à l’exception des groupes dont l’héritage est bloqué), ce nouvel objet de stratégie de groupe s’applique à ces appareils lors de la mise à jour de leurs politiques de groupe d’ordinateurs. Le paramètre par défaut pour cette mise à jour est toutes les 2 heures, ou au redémarrage de la machine.

    Une fois cette règle appliquée, une fois que la fonctionnalité logicielle Full Disk Encryption de Dell est définie sur chiffrer, l’appareil est chiffré à l’aide des algorithmes conformes à la norme FIPS de Microsoft.

    Périphériques gérés localement

    Ces options peuvent également être activées localement via l’éditeur de stratégie de groupe local (gpedit.msc) ou via l’éditeur de stratégie de sécurité locale (secpol.msc).

    Dans l’éditeur de stratégie de groupe local

    La stratégie en question se trouve dans Configuration >de l’ordinateurParamètres Windows Paramètres>de sécurité Stratégies>>localesOptions de sécurité. Le titre est Cryptographie système : Utilisez des algorithmes conformes à la norme FIPS pour le chiffrement, le hachage et la signature.

    1. Cliquez avec le bouton droit de la souris sur la politique et sélectionnez les propriétés à modifier.

    Propriétés de la règle
    Figure 6 : (En anglais uniquement) Propriétés de la règle

    1. Activez l’option Define this policy setting, puis sélectionnez le bouton Radial Enabled .

    Activer le paramètre Define this policy
    Figure 7 : (En anglais uniquement) Activer le paramètre Define this policy

    1. Cliquez sur Appliquer.
    2. Fermez l’éditeur de gestion des stratégies de groupe.

    Cette nouvelle règle s’applique à ces périphériques lors de la mise à jour des règles de leur machine. Le paramètre par défaut pour cette mise à jour est toutes les 2 heures, ou au redémarrage de la machine.

    Une fois cette règle appliquée, une fois que la fonctionnalité logicielle Full Disk Encryption de Dell est définie sur chiffrer, l’appareil est chiffré à l’aide des algorithmes conformes à la norme FIPS de Microsoft.

    Dans l’éditeur de politique de sécurité locale

    La stratégie en question se trouve dans Paramètres >de sécuritéStratégies> locales Options de sécurité. Le titre est Cryptographie système : Utilisez des algorithmes conformes à la norme FIPS pour le chiffrement, le hachage et la signature.

    1. Cliquez avec le bouton droit de la souris sur la politique et sélectionnez les propriétés à modifier.

    Propriétés de la politique
    Figure 8 : (En anglais uniquement) Propriétés de la politique

    1. Activez l’option Define this policy setting, puis sélectionnez le bouton Radial Enabled .

    Activer le paramètre Define this policy
    Figure 9 : (En anglais uniquement) Activer le paramètre Define this policy

    1. Cliquez sur Appliquer.
    2. Fermez l’éditeur de gestion des stratégies de groupe.

    Cette nouvelle règle s’applique à ces périphériques lors de la mise à jour des règles de leur machine. Le paramètre par défaut pour cette mise à jour est toutes les 2 heures, ou au redémarrage de la machine.

    Une fois cette règle appliquée, une fois que la fonctionnalité logicielle Full Disk Encryption de Dell est définie sur chiffrer, l’appareil est chiffré à l’aide des algorithmes conformes à la norme FIPS de Microsoft.

    Activer à l’aide d’une entrée de registre

    Les algorithmes conformes à la norme FIPS de Microsoft peuvent également être activés à l’aide du registre. Pour activer les bibliothèques conformes à FIPS, vous pouvez modifier la clé de registre :

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Lors du redémarrage, cette stratégie est définie comme effective. Une fois cette règle appliquée, une fois que la fonctionnalité logicielle Full Disk Encryption de Dell est définie sur chiffrer, l’appareil est chiffré à l’aide des algorithmes conformes à la norme FIPS de Microsoft.


    Pour contacter le support technique, consultez l’article Numéros de téléphone du support international Dell Data Security.
    Accédez à TechDirect pour générer une demande de support technique en ligne.
    Pour plus d’informations et de ressources, rejoignez le Forum de la communauté Dell Security.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.