Dell Encryption FIPS-överensstämmelse

En registernyckel kan ändras för att välja en specifik cryptoprovider och kryptologimetod med, för att ändra det kryptografiska bibliotek som Dell Encryption-agenten använder:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryptions loggfiler genererar rader i CMGshield.log-filen som anger det läge som kryptografileverantörerna arbetar i (standardplatsen för C:\ProgramData\Dell\Dell Data Protection\Encryption\).

En rad som anger providern som läses in representeras av:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Utöver den här raden skrivs en annan rad som beskriver det värde som förbrukades i registret:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Om Intel IPP-flaggorna är avaktiverade eller inte finns utför Dell Encryption kryptografiska åtgärder genom att anropa Dells FIPS-validerade kryptografiska bibliotek (som körs i FIPS-läge).

När Intel IPP-flaggor är aktiverade görs samma kryptografiska funktionsanrop till Dells FIPS-validerade bibliotek, men processen körs i programmet i icke-FIPS-läge och krypteringsåtgärderna använder Intel IPP-biblioteket för förbättrad prestanda.

Välj driftläge genom att ändra (eller skapa) registernyckeln:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Administratörer kan validera inställningen när det här registret har angetts, efter omstart med hjälp av den CMGShield.log filen:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Dell Encryptions äldre kryptografiska leverantör av Credant’s CMGCrypto inte längre valideras av NIST, även om de tidigare certifieringsnumren är: 2156 och 2150

En registernyckel kan ändras för att välja en specifik cryptoprovider och kryptologimetod med, för att ändra det kryptografiska bibliotek som Dell Encryption-agenten använder:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Dell Encryptions loggfiler genererar rader i DellCommon.log-filen som anger det läge som kryptografiproviders arbetar i (standardplatsen för C:\ProgramData\Dell\Dell Data Protection\).

En rad som anger providern som läses in representeras av:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

FIPS-läget hanteras med hjälp av Microsofts FIPS-bibliotek, refererade som BCrypt. De här alternativen kan aktiveras med hjälp av ett grupprincipobjekt för fjärrhanterade datorer, vilket kan göras via konsolen Grupprinciphantering på en dator som har verktyget för fjärrsystemadministration installerat (finns här: https://support.microsoft.com/en-us/help/2693643)

Information om Microsofts implementering av FIPS-verifierade bibliotek finns här: https://technet.microsoft.com/en-us/library/cc750357.aspx

Om du vill granska FIPS-certifieringarna för Microsofts kryptografiska bibliotek som Dell Encryptions fullständiga diskkryptering använder, se NIST.gov länkarna:

• Nivå 2-certifikat för kryptografiska primitiver: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Nivå 2-certifikat för kryptografiska kärnfunktioner: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Fjärrhanterade enheter med Active Directory

Så här aktiverar du med konsolen Grupprinciphantering (gpmc.msc):

Välj den organisationsenhet där den här ändringen krävs.

Bild 1: (Endast på engelska) Grupprinciphantering

1. Ge det nya grupprincipobjektet namnet.

Bild 2: (Endast på engelska) Ge grupprincipobjektet namnet

2. Högerklicka på det nya grupprincipobjektet och välj Redigera.

Bild 3: (Endast på engelska) Redigera grupprincipobjektet

3. Högerklicka på principen och välj de egenskaper som ska ändras.

Bild 4: (Endast på engelska) Välj egenskaper

4. Aktivera alternativet Definiera den här principinställningen och välj sedan knappen Aktiverad radiell.

Bild 5: (Endast på engelska) Aktivera Definiera den här principinställningen

5. Klicka på Använd.
6. Stäng Redigeraren för grupprinciphantering.

När enheterna har lagts till i organisationsgruppen eller en undergrupp (exklusive grupper som har arv blockerat) gäller det här nya grupprincipobjektet för dessa enheter när deras datorgrupprinciper uppdateras. Standardinställningen för den här uppdateringen är var 2:e timme eller vid omstart av datorn.

När den här principen har tillämpats och Dells programvarubaserade Full Disk Encryption är inställd på kryptering krypteras enheten med hjälp av Microsofts FIPS-kompatibla algoritmer.

Lokalt hanterade enheter

Dessa alternativ kan också aktiveras lokalt via den lokala grupprincipredigeraren (gpedit.msc) eller via den lokala säkerhetspolicyredigeraren (secpol.msc).

I den lokala grupprincipredigeraren

Principen i fråga finns i Datorkonfiguration>, Windows-inställningar>, säkerhetsinställningar>, lokala principer>, säkerhetsalternativ. Titeln är Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashning och signering.

1. Högerklicka på principen och välj de egenskaper som ska ändras.

Bild 6: (Endast på engelska) Egenskaper för principen

2. Aktivera alternativet Definiera den här principinställningen och välj sedan knappen Aktiverad radiell.

Bild 7: (Endast på engelska) Aktivera Definiera den här principinställningen

3. Klicka på Använd.
4. Stäng Redigeraren för grupprinciphantering.

Den här nya principen gäller för dessa enheter när deras datorprinciper uppdateras. Standardinställningen för den här uppdateringen är var 2:e timme eller vid omstart av datorn.

När den här principen har tillämpats och Dells programvarubaserade Full Disk Encryption är inställd på kryptering krypteras enheten med hjälp av Microsofts FIPS-kompatibla algoritmer.

I redigeraren för lokal säkerhetsprincip

Principen i fråga finns i Säkerhetsinställningar,>Lokala principer>, Säkerhetsalternativ. Titeln är Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashning och signering.

1. Högerklicka på principen och välj de egenskaper som ska ändras.

Bild 8: (Endast på engelska) Egenskaper för princip

2. Aktivera alternativet Definiera den här principinställningen och välj sedan knappen Aktiverad radiell.

Bild 9: (Endast på engelska) Aktivera Definiera den här principinställningen

3. Klicka på Använd.
4. Stäng Redigeraren för grupprinciphantering.

Den här nya principen gäller för dessa enheter när deras datorprinciper uppdateras. Standardinställningen för den här uppdateringen är var 2:e timme eller vid omstart av datorn.

När den här principen har tillämpats och Dells programvarubaserade Full Disk Encryption är inställd på kryptering krypteras enheten med hjälp av Microsofts FIPS-kompatibla algoritmer.

Aktivera med hjälp av registerpost

Microsofts FIPS-kompatibla algoritmer kan också aktiveras med hjälp av registret. Om du vill aktivera FIPS-kompatibla bibliotek kan du ändra registernyckeln:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Vid omstart börjar den här principen gälla. När den här principen har tillämpats och Dells programvarubaserade Full Disk Encryption är inställd på kryptering krypteras enheten med hjälp av Microsofts FIPS-kompatibla algoritmer.