Zgodność Dell Encryption ze standardem FIPS

Klucz rejestru można zmodyfikować w celu wybrania określonego cryptoprovider i metody kryptologii, aby zmodyfikować bibliotekę kryptograficzną używaną przez agenta Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Pliki dziennika Dell Encryption generują wiersze w pliku CMGshield.log wskazujące tryb działania dostawców usług kryptograficznych (domyślna lokalizacja C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Wiersz wskazujący ładowanego dostawcę jest reprezentowany przez:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Poza tym wierszem jest napisany kolejny wiersz przedstawiający wartość, która została wykorzystana w rejestrze:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>

Jeśli flagi IPP firmy Intel są wyłączone lub ich nie ma, program Dell Encryption wykonuje operacje kryptograficzne, wywołując bibliotekę kryptograficzną firmy Dell zweryfikowaną przez FIPS (działającą w trybie FIPS).

Kiedy flagi IPP firmy Intel są włączone, te same wywołania funkcji kryptograficznych są wykonywane do bibliotek Dell zweryfikowanych przez FIPS, ale proces działa w aplikacji w trybie innym niż FIPS, a operacje szyfrowania korzystają z biblioteki IPP firmy Intel w celu zwiększenia wydajności.

Aby wybrać tryb działania, zmodyfikuj (lub utwórz) klucz rejestru:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

Administratorzy mogą sprawdzić poprawność ustawienia po skonfigurowaniu tego rejestru po ponownym uruchomieniu przy użyciu pliku CMGShield.log:

"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
"CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.

Dotychczasowy dostawca usług kryptograficznych Dell Encryption Credant’s CMGCrypto nie jest już zatwierdzany przez NIST, chociaż poprzednie numery certyfikatów to: 2156 oraz 2150

Klucz rejestru można zmodyfikować w celu wybrania określonego cryptoprovider i metody kryptologii, aby zmodyfikować bibliotekę kryptograficzną używaną przez agenta Dell Encryption:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
DWORD: Enable_Provider

Various providers can be set, with the options being:

0x00000001 Software-based AES
0x00000002 Processor-driven AES-NI
0x00000004 Microsoft BCrypt
0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)

Pliki dziennika Dell Encryption generują wiersze w pliku DellCommon.log wskazujące tryb, w którym działają dostawcy usług kryptograficznych (domyślna lokalizacja C:\ProgramData\Dell\Dell Data Protection\).

Wiersz wskazujący ładowanego dostawcę jest reprezentowany przez:

FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider

Trybem FIPS zarządza się za pomocą bibliotek FIPS firmy Microsoft, określanych jako BCrypt. Te opcje można włączyć za pomocą obiektu zasad grupy dla zdalnie zarządzanych maszyn, co można zrobić za pomocą konsoli Zarządzanie zasadami grupy na komputerze z zainstalowanym zestawem narzędzi Remote System Administration Toolkit (znajdującym się tutaj: https://support.microsoft.com/en-us/help/2693643)

Informacje na temat implementacji zweryfikowanych bibliotek FIPS przez firmę Microsoft można znaleźć tutaj: https://technet.microsoft.com/en-us/library/cc750357.aspx

Aby zapoznać się z certyfikatami FIPS dla bibliotek kryptograficznych firmy Microsoft, z których korzysta oprogramowanie Dell Encryption Full Disk Encryption, należy zapoznać się NIST.gov łączami:

• Certyfikat poziomu 2 dla prymitywów kryptograficznych: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
• Certyfikat poziomu 2 dla funkcji kryptograficznych jądra: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095

Zdalne zarządzanie urządzeniami za pomocą usługi Active Directory

Aby włączyć za pomocą konsoli zarządzającej zasadami grupy (gpmc.msc):

Wybierz jednostkę organizacyjną, w której ta zmiana jest wymagana.

Rysunek 1. (Tylko w języku angielskim) Zarządzanie zasadami grupy

1. Nazwij nowy obiekt zasad grupy.

Rysunek 2. (Tylko w języku angielskim) Nazwij obiekt zasad grupy

2. Kliknij prawym przyciskiem myszy nowy obiekt zasad grupy i wybierz polecenie Edytuj.

Rysunek 3. (Tylko w języku angielskim) Edytowanie obiektu zasad grupy

3. Kliknij prawym przyciskiem myszy zasadę i wybierz właściwości , które chcesz zmodyfikować.

Rysunek 4. (Tylko w języku angielskim) Wybierz opcję Properties

4. Włącz opcję Define this policy setting, a następnie wybierz przycisk kołowy Enabled .

Rysunek 5: (Tylko w języku angielskim) Enable Define this policy setting

5. Kliknij przycisk Zastosuj.
6. Zamknij edytor zarządzania zasadami grupy.

Po dodaniu urządzeń do grupy organizacyjnej lub dowolnej podgrupy (z wyłączeniem grup, które mają zablokowane dziedziczenie ), ten nowy obiekt zasad grupy ma zastosowanie do tych urządzeń jako aktualizacja zasad grupy maszyn. Domyślne ustawienie tej aktualizacji to częstotliwość co 2 godziny lub po ponownym uruchomieniu komputera.

Po zastosowaniu tej zasady, gdy oprogramowanie Full Disk Encryption firmy Dell jest ustawione na szyfrowanie, urządzenie jest szyfrowane przy użyciu algorytmów firmy Microsoft zgodnych ze standardem FIPS.

Lokalnie zarządzane urządzenia

Te opcje można również włączyć lokalnie za pomocą lokalnego edytora zasad grupy (gpedit.msc) lub za pomocą edytora lokalnych zasad zabezpieczeń (secpol.msc).

W lokalnym edytorze zasad grupy

Zasady, o których mowa, znajdują się w : Konfiguracja komputera,>Ustawienia>systemu Windows, Ustawienia> zabezpieczeń , Zasady> lokalne , Opcje zabezpieczeń. Tytuł to Kryptografia systemowa: Używaj algorytmów zgodnych ze standardem FIPS do szyfrowania, tworzenia skrótów i podpisywania.

1. Kliknij prawym przyciskiem myszy zasadę i wybierz właściwości , które chcesz zmodyfikować.

Rysunek 6. (Tylko w języku angielskim) Właściwości zasady

2. Włącz opcję Define this policy setting, a następnie wybierz przycisk kołowy Enabled .

Rysunek 7. (Tylko w języku angielskim) Enable Define this policy setting

3. Kliknij przycisk Zastosuj.
4. Zamknij edytor zarządzania zasadami grupy.

Te nowe zasady mają zastosowanie do tych urządzeń po zaktualizowaniu zasad ich maszyn. Domyślne ustawienie tej aktualizacji to częstotliwość co 2 godziny lub po ponownym uruchomieniu komputera.

Po zastosowaniu tej zasady, gdy oprogramowanie Full Disk Encryption firmy Dell jest ustawione na szyfrowanie, urządzenie jest szyfrowane przy użyciu algorytmów firmy Microsoft zgodnych ze standardem FIPS.

W edytorze lokalnych zasad zabezpieczeń

Zasada, o której mowa, znajduje się w sekcji >Ustawienia zabezpieczeńZasady> lokalne Opcje zabezpieczeń. Tytuł to Kryptografia systemowa: Używaj algorytmów zgodnych ze standardem FIPS do szyfrowania, tworzenia skrótów i podpisywania.

1. Kliknij prawym przyciskiem myszy zasadę i wybierz właściwości , które chcesz zmodyfikować.

Rysunek 8. (Tylko w języku angielskim) Właściwości zasad

2. Włącz opcję Define this policy setting, a następnie wybierz przycisk kołowy Enabled .

Rysunek 9. (Tylko w języku angielskim) Enable Define this policy setting

3. Kliknij przycisk Zastosuj.
4. Zamknij edytor zarządzania zasadami grupy.

Te nowe zasady mają zastosowanie do tych urządzeń po zaktualizowaniu zasad ich maszyn. Domyślne ustawienie tej aktualizacji to częstotliwość co 2 godziny lub po ponownym uruchomieniu komputera.

Po zastosowaniu tej zasady, gdy oprogramowanie Full Disk Encryption firmy Dell jest ustawione na szyfrowanie, urządzenie jest szyfrowane przy użyciu algorytmów firmy Microsoft zgodnych ze standardem FIPS.

Włącz przy użyciu wpisu rejestru

Algorytmy firmy Microsoft zgodne ze standardem FIPS można również włączyć przy użyciu rejestru. Aby włączyć biblioteki zgodne ze standardem FIPS, możesz zmodyfikować klucz rejestru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
DWORD: Enabled
Value: 1

Po ponownym uruchomieniu ta zasada zaczyna obowiązywać. Po zastosowaniu tej zasady, gdy oprogramowanie Full Disk Encryption firmy Dell jest ustawione na szyfrowanie, urządzenie jest szyfrowane przy użyciu algorytmów firmy Microsoft zgodnych ze standardem FIPS.