Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Encryption FIPS-overholdelse

Summary: FIPS (Federal Information Processing Standards) er et regelsæt, der skitserer metoder til, hvordan data håndteres og behandles af krypteringsalgoritmer på slutpunkter og på tværs af forskellige kommunikationskanaler. Dell Encryption anvender flere krypteringsbiblioteker, hvor kernekrypteringsaspekterne styres af et konfigurerbart kryptografisk bibliotek. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Berørte produkter:

  • Dell Encryption
  • Dell Data Protection | Encryption

I v10.1.0 er Dell Encryptions (tidligere Dell Data Protection | Kryptering) Politikbaseret kryptering bruger det FIPS-validerede kryptografiske modulRSA BSAFE Crypto Module. Denne nye kryptografiske udbyder er som standard aktiveret ved opgradering til Dell Encryption v10.1.0 eller nyere, hvis CSSStartFlags DWord ikke er udfyldt på forhånd.

Den samme ændring i kryptografiske udbydere blev foretaget for Dells softwarebaserede Full Disk Encryption i Dell Encryption v10.3.0.

RSA BSAFE Crypto Module fungerer som standard i FIPS-tilstand.

FIPS-certifikatet til RSA BSAFE Crypto Module er tilgængeligt på NIST CMVP her:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Dette hyperlink fører dig til et websted uden for Dell Technologies.

Cause

Ikke relevant

Resolution

Advarsel: Det næste trin er en redigering af Windows-registreringsdatabasen:

Politikbaseret kryptering

En registreringsdatabasenøgle kan ændres for at vælge en bestemt cryptoprovider og kryptologimetode med henblik på at ændre det kryptografiske bibliotek, som Dell Encryption Agent bruger:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryptions logfiler genererer linjer i CMGshield.log-filen for at angive den tilstand, som de kryptografiske udbydere opererer i (standardplaceringen af C:\ProgramData\Dell\Dell Data Protection\Encryption\).

En linje, der angiver den udbyder, der indlæses, er repræsenteret af:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Ud over denne linje skrives en anden linje, der beskriver den værdi, der blev forbrugt i registreringsdatabasen:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Bemærk: Ændring af CSSStartFlags kræver en genstart af enheden, for at den kan træde i kraft. Denne registreringsdatabaseværdi forbruges, hvis den er til stede under installationsprocessen, hvilket betyder, at Dell Encryption-klienten respekterer værdien af registreringsdatabasenøglen og udnytter det kryptografiske bibliotek efter opgradering eller installation.

Hvis Intel IPP-flagene er deaktiveret eller ikke findes, udfører Dell Encryption kryptografiske handlinger ved at kalde Dells FIPS-validerede kryptografiske bibliotek (der fungerer i FIPS-tilstand).

Når Intel IPP-flag er aktiveret, foretages de samme kryptografiske funktionskald til Dells FIPS-validerede biblioteker, men processen fungerer i programmet i ikke-FIPS-tilstand, og krypteringshandlingerne bruger Intel IPP-biblioteket til forbedret ydeevne.

Hvis du vil vælge driftstilstand, skal du ændre (eller oprette) registreringsdatabasenøglen:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Administratorer kan validere indstillingen, når registreringsdatabasen er indstillet, efter genstart ved hjælp af CMGShield.log filen:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Bemærk: Dell Encryption til Mac behandles altid i en FIPS-valideret tilstand, og der kræves ingen ændringer fra Dell Encryption-administratoren.

    Dell Encryptions ældre kryptografiske udbyder af Credant’s CMGCrypto ikke længere valideres af NIST, selvom de tidligere certificeringsnumre er: 2156 og 2150

    Softwarebaseret fuld diskkryptering

    En registreringsdatabasenøgle kan ændres for at vælge en bestemt cryptoprovider og kryptologimetode med henblik på at ændre det kryptografiske bibliotek, som Dell Encryption Agent bruger:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Dell Encryptions logfiler genererer linjer i DellCommon.log-filen for at angive den tilstand, som de kryptografiske udbydere arbejder i (standardplacering for C:\ProgramData\Dell\Dell Data Protection\).

    En linje, der angiver den udbyder, der indlæses, er repræsenteret af:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Bemærk: Ændring af Enable_Provider-registreringsdatabasen kræver en genstart af enheden, for at den kan træde i kraft. Denne registreringsdatabaseværdi forbruges, hvis den er til stede under installationsprocessen, hvilket betyder, at Dell Encryption-klienten respekterer værdien af registreringsdatabasenøglen og udnytter det kryptografiske bibliotek efter opgradering eller installation.

    FIPS-tilstand administreres ved hjælp af Microsofts FIPS-biblioteker, der refereres til som BCrypt. Disse indstillinger kan aktiveres ved hjælp af et gruppepolitikobjekt til fjernadministrerede maskiner, hvilket kan gøres via gruppepolitikadministrationskonsollen på en computer, hvor værktøjssættet til fjernsystemadministration er installeret (findes her: https://support.microsoft.com/en-us/help/2693643) Dette hyperlink fører dig til et websted uden for Dell Technologies.

    Du kan finde oplysninger om Microsofts implementering af de FIPS-validerede biblioteker her: https://technet.microsoft.com/en-us/library/cc750357.aspx Dette hyperlink fører dig til et websted uden for Dell Technologies.

    Du kan gennemse FIPS-certificeringerne til Microsofts kryptografiske biblioteker, som Dell Encryptions Full Disk Encryption udnytter, ved at se NIST.gov links:

    Fjernadministrerede enheder ved brug af Active Directory

    Sådan aktiveres brug af gruppepolitikadministrationskonsol (gpmc.msc):

    Vælg den afdeling, hvor denne ændring er påkrævet.

    Bemærk: Dell anbefaler, at du tester og validerer eventuelle ændringer i gruppepolitikobjekter, før ændringerne anvendes i produktionen.

    Administration af gruppepolitik
    Figur 1: (Kun på engelsk) Administration af gruppepolitik

    1. Navngiv det nye gruppepolitikobjekt.

    Navngiv gruppepolitikobjektet
    Figur 2: (Kun på engelsk) Navngiv gruppepolitikobjektet

    1. Højreklik på det nye gruppepolitikobjekt, og vælg Rediger.

    Rediger gruppepolitikobjektet
    Figur 3: (Kun på engelsk) Rediger gruppepolitikobjektet

     
    Bemærk: Den pågældende politik findes i Computerkonfigurationspolitikker >> , Windows-indstillinger > , sikkerhedsindstillinger > , lokale politikker > , sikkerhedsindstillinger. Titlen er Systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering.
    1. Højreklik på politikken, og vælg egenskaber , der skal redigeres.

    Vælg Egenskaber
    Figur 4: (Kun på engelsk) Vælg egenskaber

    1. Aktivér indstillingen Definer denne politikindstilling, og vælg derefter radialknappen Aktiveret .

    Aktivér indstillingen Definer denne politik
    Figur 5: (Kun på engelsk) Aktivér indstillingen Definer denne politik

    1. Klik på Anvend.
    2. Luk editoren for styring af gruppepolitik.

    Når enhederne er føjet til organisationsgruppen eller en undergruppe (undtagen grupper, hvor nedarvning er blokeret), gælder dette nye gruppepolitikobjekt for disse enheder som deres opdatering af maskingruppepolitikker. Standardindstillingen for denne opdatering er hver 2. time, eller ved genstart af maskinen.

    Når denne politik er anvendt, og når Dells softwarebaserede fulde diskkryptering er indstillet til kryptering, krypteres enheden ved hjælp af Microsofts FIPS-kompatible algoritmer.

    Lokalt administrerede enheder

    Disse indstillinger kan også aktiveres lokalt via den lokale Group Policy Editor (gpedit.msc) eller via editoren Local Security Policy (secpol.msc).

    I den lokale gruppepolitikeditor

    Den pågældende politik findes i Computerkonfiguration,>Windows-indstillinger>, sikkerhedsindstillinger>, lokale politikker>, sikkerhedsindstillinger. Titlen er Systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering.

    1. Højreklik på politikken, og vælg egenskaber , der skal redigeres.

    Egenskaber for politikken
    Figur 6: (Kun på engelsk) Egenskaber for politikken

    1. Aktivér indstillingen Definer denne politikindstilling, og vælg derefter radialknappen Aktiveret .

    Aktivér indstillingen Definer denne politik
    Figur 7: (Kun på engelsk) Aktivér indstillingen Definer denne politik

    1. Klik på Anvend.
    2. Luk editoren for styring af gruppepolitik.

    Denne nye politik gælder for disse enheder, efterhånden som deres maskinpolitikker opdateres. Standardindstillingen for denne opdatering er hver 2. time, eller ved genstart af maskinen.

    Når denne politik er anvendt, og når Dells softwarebaserede fulde diskkryptering er indstillet til kryptering, krypteres enheden ved hjælp af Microsofts FIPS-kompatible algoritmer.

    I Editor til lokal sikkerhedspolitik

    Den pågældende politik findes i Sikkerhedsindstillinger>, Lokale politikker>, Sikkerhedsindstillinger. Titlen er Systemkryptografi: Brug FIPS-kompatible algoritmer til kryptering, hashing og signering.

    1. Højreklik på politikken, og vælg egenskaber , der skal redigeres.

    Egenskaber for politik
    Figur 8: (Kun på engelsk) Egenskaber for politik

    1. Aktivér indstillingen Definer denne politikindstilling, og vælg derefter radialknappen Aktiveret .

    Aktivér indstillingen Definer denne politik
    Figur 9: (Kun på engelsk) Aktivér indstillingen Definer denne politik

    1. Klik på Anvend.
    2. Luk editoren for styring af gruppepolitik.

    Denne nye politik gælder for disse enheder, efterhånden som deres maskinpolitikker opdateres. Standardindstillingen for denne opdatering er hver 2. time, eller ved genstart af maskinen.

    Når denne politik er anvendt, og når Dells softwarebaserede fulde diskkryptering er indstillet til kryptering, krypteres enheden ved hjælp af Microsofts FIPS-kompatible algoritmer.

    Aktivér brug af post i registreringsdatabasen

    Microsofts FIPS-kompatible algoritmer kan også aktiveres ved hjælp af registreringsdatabasen. Hvis du vil aktivere FIPS-kompatible biblioteker, kan du ændre registreringsdatabasenøglen:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Denne politik træder i kraft ved genstart. Når denne politik er anvendt, og når Dells softwarebaserede fulde diskkryptering er indstillet til kryptering, krypteres enheden ved hjælp af Microsofts FIPS-kompatible algoritmer.


    For at kontakte support kan du bruge internationale supporttelefonnumre til Dell Data Security.
    Gå til TechDirect for at oprette en anmodning om teknisk support online.
    Hvis du vil have yderligere indsigt og ressourcer, skal du tilmelde dig Dell Security Community-forummet.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.