Dell Encryption FIPS-Compliance

Ein Registrierungsschlüssel kann geändert werden, um eine bestimmte cryptoprovider und Methode der Kryptologie mit, um die kryptografische Bibliothek zu ändern, die der Dell Encryption-Agent verwendet:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Die Protokolldateien von Dell Encryption erzeugen Zeilen in der CMGshield.log Datei, um den Modus anzugeben, in dem die kryptografischen Anbieter arbeiten (Standardspeicherort: C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Eine Zeile, die den Provider angibt, der geladen wird, wird dargestellt durch:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Hinter dieser Zeile wird eine weitere Zeile geschrieben, die den Wert beschreibt, der in der Registrierung verbraucht wurde:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Wenn die Intel IPP-Flags deaktiviert oder nicht vorhanden sind, führt Dell Encryption kryptografische Vorgänge durch, indem die FIPS-validierte kryptografische Bibliothek von Dell aufgerufen wird (Betrieb im FIPS-Modus).

Wenn die Intel IPP-Flags aktiviert sind, werden dieselben kryptografischen Funktionsaufrufe an die FIPS-validierten Bibliotheken von Dell durchgeführt, aber der Prozess wird innerhalb der Anwendung im Nicht-FIPS-Modus ausgeführt und die Verschlüsselungsvorgänge verwenden die Intel IPP-Bibliothek für eine verbesserte Leistung.

Um den Betriebsmodus auszuwählen, ändern (oder erstellen) Sie den Registrierungsschlüssel:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Administratoren können die Einstellung nach dem Festlegen dieser Registrierung nach dem Neustart mithilfe der CMGShield.log Datei überprüfen:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Der bisherige kryptografische Anbieter von Dell Encryption Credant’s CMGCrypto wird nicht mehr von NIST validiert, obwohl die früheren Zertifizierungsnummern wie folgt lauten: 2156 und 2150

Ein Registrierungsschlüssel kann geändert werden, um eine bestimmte cryptoprovider und Methode der Kryptologie mit, um die kryptografische Bibliothek zu ändern, die der Dell Encryption-Agent verwendet:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Die Protokolldateien von Dell Encryption erzeugen Zeilen in der DellCommon.log Datei, um den Modus anzugeben, in dem die kryptografischen Anbieter arbeiten (Standardspeicherort: C:\ProgramData\Dell\Dell Data Protection\).

Eine Zeile, die den Provider angibt, der geladen wird, wird dargestellt durch:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

Der FIPS-Modus wird mithilfe der FIPS-Bibliotheken von Microsoft verwaltet, die als referenziert werden BCrypt. Diese Optionen können mithilfe eines Gruppenrichtlinienobjekts für remoteverwaltete Computer aktiviert werden, was über die Gruppenrichtlinienverwaltungskonsole auf einem Computer erfolgen kann, auf dem das Remotesystemadministrationstoolkit installiert ist (hier zu finden: https://support.microsoft.com/en-us/help/2693643)

Informationen zur Implementierung der FIPS-validierten Bibliotheken durch Microsoft finden Sie hier: https://technet.microsoft.com/en-us/library/cc750357.aspx

Informationen zu den FIPS-Zertifizierungen für die kryptografischen Bibliotheken von Microsoft, die von Dell Encryption Full Disk Encryption genutzt werden, finden Sie unter NIST.gov Links:

• Level 2-Zertifikat für kryptografische Primitive: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Level 2-Zertifikat für kryptografische Kernel-Funktionen: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Remotemanagement von Geräten mithilfe von Active Directory

So aktivieren Sie die Verwendung der Gruppenrichtlinien-Verwaltungskonsole (gpmc.msc):

Wählen Sie die Organisationseinheit aus, in der diese Änderung erforderlich ist.

Abbildung 1: (Nur Englisch) Gruppenrichtlinienverwaltung

1. Benennen Sie das neue Gruppenrichtlinienobjekt.

Abbildung 2: (Nur Englisch) Benennen des Gruppenrichtlinienobjekts

2. Klicken Sie mit der rechten Maustaste auf das neue Gruppenrichtlinienobjekt und wählen Sie Bearbeiten aus.

Abbildung 3: (Nur Englisch) Bearbeiten des Gruppenrichtlinienobjekts

3. Klicken Sie mit der rechten Maustaste auf die Policy und wählen Sie die zu ändernden Eigenschaften aus.

Abbildung 4: (Nur auf Englisch) Select Properties

4. Aktivieren Sie die Option Diese Richtlinieneinstellung definieren und wählen Sie dann die Schaltfläche Aktiviert aus.

Abbildung 5: (Nur Englisch) Aktivieren Sie diese Richtlinieneinstellung definieren

5. Klicken Sie auf Übernehmen.
6. Schließen Sie den Gruppenrichtlinienverwaltungseditor.

Sobald die Geräte der Organisationsgruppe oder einer Untergruppe hinzugefügt wurden (mit Ausnahme von Gruppen, für die Vererbung blockiert ist), wird dieses neue Gruppenrichtlinienobjekt auf diese Geräte angewendet, wenn ihre Computergruppenrichtlinien aktualisiert werden. Die Standardeinstellung für dieses Update ist alle 2 Stunden oder beim Neustart des Computers.

Sobald diese Richtlinie angewendet wird und die softwarebasierte vollständige Datenträgerverschlüsselung von Dell auf Verschlüsselung eingestellt ist, wird das Gerät mithilfe der FIPS-konformen Algorithmen von Microsoft verschlüsselt.

Lokal verwaltete Geräte

Diese Optionen können auch lokal über den lokalen Gruppenrichtlinien-Editor (gpedit.msc) oder über den lokalen Sicherheitsrichtlinien-Editor (secpol.msc) aktiviert werden.

Im lokalen Gruppenrichtlinien-Editor

Die fragliche Policy befindet sich in Computer Configuration Windows>Settings>Security Settings>Local Policies>Security Options. Der Titel lautet Systemkryptografie: Verwenden Sie FIPS-konforme Algorithmen für Verschlüsselung, Hashing und Signierung.

1. Klicken Sie mit der rechten Maustaste auf die Policy und wählen Sie die zu ändernden Eigenschaften aus.

Abbildung 6: (Nur Englisch) Eigenschaften der Policy

2. Aktivieren Sie die Option Diese Richtlinieneinstellung definieren und wählen Sie dann die Schaltfläche Aktiviert aus.

Abbildung 7: (Nur Englisch) Aktivieren Sie diese Richtlinieneinstellung definieren

3. Klicken Sie auf Übernehmen.
4. Schließen Sie den Gruppenrichtlinienverwaltungseditor.

Diese neue Richtlinie gilt für diese Geräte, wenn ihre Computerrichtlinien aktualisiert werden. Die Standardeinstellung für dieses Update ist alle 2 Stunden oder beim Neustart des Computers.

Sobald diese Richtlinie angewendet wird und die softwarebasierte vollständige Datenträgerverschlüsselung von Dell auf Verschlüsselung eingestellt ist, wird das Gerät mithilfe der FIPS-konformen Algorithmen von Microsoft verschlüsselt.

Im Editor für lokale Sicherheitsrichtlinien

Die fragliche Policy befindet sich in Security Settings>Local Policies>Security Options. Der Titel lautet Systemkryptografie: Verwenden Sie FIPS-konforme Algorithmen für Verschlüsselung, Hashing und Signierung.

1. Klicken Sie mit der rechten Maustaste auf die Policy und wählen Sie die zu ändernden Eigenschaften aus.

Abbildung 8: (Nur Englisch) Eigenschaften der Policy

2. Aktivieren Sie die Option Diese Richtlinieneinstellung definieren und wählen Sie dann die Schaltfläche Aktiviert aus.

Abbildung 9: (Nur Englisch) Aktivieren Sie diese Richtlinieneinstellung definieren

3. Klicken Sie auf Übernehmen.
4. Schließen Sie den Gruppenrichtlinienverwaltungseditor.

Diese neue Richtlinie gilt für diese Geräte, wenn ihre Computerrichtlinien aktualisiert werden. Die Standardeinstellung für dieses Update ist alle 2 Stunden oder beim Neustart des Computers.

Sobald diese Richtlinie angewendet wird und die softwarebasierte vollständige Datenträgerverschlüsselung von Dell auf Verschlüsselung eingestellt ist, wird das Gerät mithilfe der FIPS-konformen Algorithmen von Microsoft verschlüsselt.

Über Registrierungseintrag aktivieren

Die FIPS-konformen Algorithmen von Microsoft können auch über die Registrierung aktiviert werden. Um FIPS-konforme Bibliotheken zu aktivieren, können Sie den Registrierungsschlüssel ändern:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Beim Neustart wird diese Richtlinie aktiviert. Sobald diese Richtlinie angewendet wird und die softwarebasierte vollständige Datenträgerverschlüsselung von Dell auf Verschlüsselung eingestellt ist, wird das Gerät mithilfe der FIPS-konformen Algorithmen von Microsoft verschlüsselt.