Dell Encryption FIPS 合规性
Summary: 联邦信息处理标准 (FIPS) 是一个规则集,概述了如何通过端点上的加密算法以及跨各种通信通道处理和处理数据的方法。Dell Encryption 利用多个加密库,其中核心加密方面由可配置的加密库控制。
This article applies to
This article does not apply to
Symptoms
受影响的产品:
- Dell Encryption
- Dell Data Protection | Encryption
在 v10.1.0 中,Dell Encryption(以前称为 Dell Data Protection |加密)基于策略的加密使用经 FIPS 验证的加密模块RSA BSAFE 加密模块。在升级到 Dell Encryption v10.1.0 或更高版本时,如果 CSSStartFlags DWord 未预填充。
在 Dell Encryption v10.3.0 中,对戴尔基于软件的全磁盘加密进行了加密提供程序的相同更改。
默认情况下,RSA BSAFE Crypto Module 在 FIPS 模式下运行。
RSA BSAFE Crypto Module 的 FIPS 证书在 NIST CMVP 上提供,网址如下:
https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409
Cause
不适用
Resolution
警告:下一步是 Windows 注册表编辑:
- 在继续操作之前备份注册表,请参阅 如何在 Windows
中备份和还原注册表。
- 编辑注册表可能会导致计算机在下次重新启动时无响应。
- 如果您对于执行此步骤感到担忧,请拨打 Dell Data Security 国际支持电话号码联系相关人员以获得帮助。
基于策略的加密
可以修改注册表项以选择特定的 cryptoprovider 和密码学方法,用于修改 Dell Encryption 代理使用的加密库:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE DWORD: CssStartFlags Various "Flags" can be set, with the options being: 0x80000000 BSAFE 0x80000010 BSAFE with reduced key security for higher performance 0x40000000 BCrypt 0x40000010 BCrypt with reduced key security for higher performance 0x20000000 CmgCrypt Non-Fips 0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance 0x20000002 CmgCrypt FIPS
Dell Encryption 的日志文件会在CMGshield.log文件中生成行,以指示加密提供程序的运行模式(默认位置为 C:\ProgramData\Dell\Dell Data Protection\Encryption\)。
指示正在加载的提供程序的行由下式表示:
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption CffeEncrypterStartup -- Configuring MS BCRYPT Encryption CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x
除了这一行之外,还会写入另一行,概述注册表中使用的值:
CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
提醒:修改 CSSStartFlags 需要重新启动设备才能生效。如果在设置过程中存在此注册表值,则会使用此注册表值,这意味着 Dell Encryption 客户端会遵循注册表项的值,并在升级或安装后利用该加密库。
如果 Intel IPP 标记已禁用或不存在,Dell Encryption 将通过调用戴尔经 FIPS 验证的加密库(在 FIPS 模式下运行)来执行加密操作。
启用英特尔 IPP 标记后,将对戴尔经过 FIPS 验证的库进行相同的加密函数调用,但该过程以非 FIPS 模式在应用程序中运行,并且加密操作使用英特尔 IPP 库来提高性能。
若要选择操作模式,请修改(或创建)注册表项:
HKLM\System\CurrentControlSet\Services\CmgShieldFFE DWORD: UseIPPFlags Value: 0 or 2 (decimal) 0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode 2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.
管理员可以在设置此注册表后,使用CMGShield.log文件验证该设置:
"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
提醒:Dell Encryption for Mac 始终在 FIPS 验证模式下进行处理,不需要 Dell Encryption 管理员进行任何修改。
Dell Encryption 的传统加密提供商 Credant’s CMGCrypto 不再由 NIST 验证,但以前的认证编号为:2156 和 2150
基于软件的全磁盘加密
可以修改注册表项以选择特定的 cryptoprovider 和密码学方法,用于修改 Dell Encryption 代理使用的加密库:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE DWORD: Enable_Provider Various providers can be set, with the options being: 0x00000001 Software-based AES 0x00000002 Processor-driven AES-NI 0x00000004 Microsoft BCrypt 0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance) 0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance) 0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
Dell Encryption 的日志文件会在DellCommon.log文件中生成行,指示加密提供程序的运行模式(默认位置为 C:\ProgramData\Dell\Dell Data Protection\)。
指示正在加载的提供程序的行由下式表示:
FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
提醒:修改Enable_Provider注册表需要重新启动设备才能生效。如果在设置过程中存在此注册表值,则会使用此注册表值,这意味着 Dell Encryption 客户端会遵循注册表项的值,并在升级或安装后利用该加密库。
FIPS 模式使用 Microsoft 的 FIPS 库进行管理,参考编号为 BCrypt。这些选项可以使用组策略对象为远程管理的计算机启用,这可以通过安装了远程系统管理工具包的计算机上的组策略管理控制台完成(位于:https://support.microsoft.com/en-us/help/2693643)
可在此处找到有关 Microsoft 实施 FIPS 验证库的信息: https://technet.microsoft.com/en-us/library/cc750357.aspx
要查看 Dell Encryption 的 Full Disk Encryption 所利用的 Microsoft 加密库的 FIPS 认证,请参阅 NIST.gov 链接:
- 加密原语的 2 级证书: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
- 内核加密功能的 2 级证书: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095
使用 Active Directory 的远程管理设备
要使用组策略管理控制台 (gpmc.msc) 启用,请执行以下操作:
选择需要进行此更改的组织单位。
提醒:戴尔建议先测试和验证任何组策略对象更改,然后再将更改应用到生产环境。
图 1:(仅限英文)组策略管理
- 命名新的组策略对象。
图 2:(仅限英文)命名组策略对象
- 右键单击新的组策略对象,然后选择 编辑。
图 3:(仅限英文)编辑组策略对象
提醒:相关策略位于计算机配置 > 策略Windows > 设置 > 安全设置 > 本地策略 > 安全选项中。标题是 System cryptography:使用符合 FIPS 的算法进行加密、哈希和签名。
- 右键单击策略,然后选择要修改 的属性 。
图 4:(仅英文)选择“Properties”
- 启用“ 定义此策略设置 ”选项,然后选择 “已启用 ”单向按钮。
图 5:(仅限英文)启用“定义此策略设置”
- 单击应用。
- 关闭组策略管理编辑器。
将设备添加到组织组或任何子组(不包括已 阻止继承 的组)后,此新组策略对象将应用于这些设备的计算机组策略更新。此更新的默认设置是每 2 小时或在计算机重新启动时进行。
应用此策略后,一旦戴尔基于软件的全磁盘加密设置为加密,就会利用 Microsoft 的 FIPS 兼容算法对设备进行加密。
本地管理的设备
还可以通过本地组策略编辑器 (gpedit.msc) 或本地安全策略编辑器 (secpol.msc) 在本地启用这些选项。
在本地组策略编辑器中
有问题的策略位于计算机配置>Windows 设置>安全设置>本地策略安全选项中>。标题是 System cryptography:使用符合 FIPS 的算法进行加密、哈希和签名。
- 右键单击策略,然后选择要修改 的属性 。
图 6:(仅限英文)策略的属性
- 启用“ 定义此策略设置 ”选项,然后选择 “已启用 ”单向按钮。
图 7:(仅限英文)启用“定义此策略设置”
- 单击应用。
- 关闭组策略管理编辑器。
随着这些设备的计算机策略更新,此新策略将应用于这些设备。此更新的默认设置是每 2 小时或在计算机重新启动时进行。
应用此策略后,一旦戴尔基于软件的全磁盘加密设置为加密,就会利用 Microsoft 的 FIPS 兼容算法对设备进行加密。
在本地安全策略编辑器中
相关策略位于 Security SettingsLocal>PoliciesSecurity>Options中。标题是 System cryptography:使用符合 FIPS 的算法进行加密、哈希和签名。
- 右键单击策略,然后选择要修改 的属性 。
图 8:(仅限英文)策略的属性
- 启用“ 定义此策略设置 ”选项,然后选择 “已启用 ”单向按钮。
图 9:(仅限英文)启用“定义此策略设置”
- 单击应用。
- 关闭组策略管理编辑器。
随着这些设备的计算机策略更新,此新策略将应用于这些设备。此更新的默认设置是每 2 小时或在计算机重新启动时进行。
应用此策略后,一旦戴尔基于软件的全磁盘加密设置为加密,就会利用 Microsoft 的 FIPS 兼容算法对设备进行加密。
使用注册表项启用
也可以使用注册表启用 Microsoft 的符合 FIPS 的算法。若要启用符合 FIPS 的库,可以修改注册表项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy DWORD: Enabled Value: 1
重新启动后,此策略将生效。应用此策略后,一旦戴尔基于软件的全磁盘加密设置为加密,就会利用 Microsoft 的 FIPS 兼容算法对设备进行加密。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。