Dell Encryption FIPS-överensstämmelse
Summary: FIPS (Federal Information Processing Standards) är en regeluppsättning som beskriver metoder för hur data hanteras och bearbetas av krypteringsalgoritmer på slutpunkter och i olika kommunikationskanaler. Dell Encryption använder sig av flera krypteringsbibliotek, där de viktigaste krypteringsaspekterna styrs av ett konfigurerbart kryptografiskt bibliotek. ...
This article applies to
This article does not apply to
Symptoms
Berörda produkter:
- Dell Encryption
- Dell Data Protection | Encryption
I v10.1.0 kommer Dell Encryptions (tidigare Dell Data Protection | Kryptering) Policybaserad kryptering använder den FIPS-validerade kryptografiska modulenRSA BSAFE Crypto Module. Den här nya kryptografiprovidern aktiveras som standard vid uppgradering till Dell Encryption v10.1.0 eller senare om CSSStartFlags DWord är inte förifylld.
Samma ändring av kryptografiska leverantörer gjordes för Dells programvarubaserade fullständiga diskkryptering i Dell Encryption v10.3.0.
RSA BSAFE Crypto Module körs i FIPS-läge som standard.
FIPS-certifikatet för RSA BSAFE Crypto Module finns på NIST CMVP här:
https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409
Cause
Gäller ej
Resolution
Varning! Nästa steg är en redigering av Windows-registret:
- Säkerhetskopiera registret innan du fortsätter, se Säkerhetskopiera och återställa registret i Windows
.
- Redigering av registret kan leda till att datorn inte svarar vid nästa omstart.
- Kontakta telefonnummer till Dell Data Securitys internationella support för hjälp om du har frågor om att utföra det här steget.
Policybaserad kryptering
En registernyckel kan ändras för att välja en specifik cryptoprovider och kryptologimetod med, för att ändra det kryptografiska bibliotek som Dell Encryption-agenten använder:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE DWORD: CssStartFlags Various "Flags" can be set, with the options being: 0x80000000 BSAFE 0x80000010 BSAFE with reduced key security for higher performance 0x40000000 BCrypt 0x40000010 BCrypt with reduced key security for higher performance 0x20000000 CmgCrypt Non-Fips 0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance 0x20000002 CmgCrypt FIPS
Dell Encryptions loggfiler genererar rader i CMGshield.log-filen som anger det läge som kryptografileverantörerna arbetar i (standardplatsen för C:\ProgramData\Dell\Dell Data Protection\Encryption\).
En rad som anger providern som läses in representeras av:
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption CffeEncrypterStartup -- Configuring MS BCRYPT Encryption CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x
Utöver den här raden skrivs en annan rad som beskriver det värde som förbrukades i registret:
CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Obs! Om du ändrar CSSStartFlags måste enheten startas om för att den ska börja gälla. Det här registervärdet förbrukas om det finns under installationsprocessen, vilket innebär att Dell Encryption-klienten respekterar registernyckelns värde och använder det kryptografiska biblioteket efter uppgraderingen eller installationen.
Om Intel IPP-flaggorna är avaktiverade eller inte finns utför Dell Encryption kryptografiska åtgärder genom att anropa Dells FIPS-validerade kryptografiska bibliotek (som körs i FIPS-läge).
När Intel IPP-flaggor är aktiverade görs samma kryptografiska funktionsanrop till Dells FIPS-validerade bibliotek, men processen körs i programmet i icke-FIPS-läge och krypteringsåtgärderna använder Intel IPP-biblioteket för förbättrad prestanda.
Välj driftläge genom att ändra (eller skapa) registernyckeln:
HKLM\System\CurrentControlSet\Services\CmgShieldFFE DWORD: UseIPPFlags Value: 0 or 2 (decimal) 0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode 2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.
Administratörer kan validera inställningen när det här registret har angetts, efter omstart med hjälp av den CMGShield.log filen:
"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
Obs! Dell Encryption för Mac bearbetar alltid i ett FIPS-validerat läge och inga ändringar av Dell Encryption-administratören krävs.
Dell Encryptions äldre kryptografiska leverantör av Credant’s CMGCrypto inte längre valideras av NIST, även om de tidigare certifieringsnumren är: 2156 och 2150
Programvarubaserad fullständig diskkryptering
En registernyckel kan ändras för att välja en specifik cryptoprovider och kryptologimetod med, för att ändra det kryptografiska bibliotek som Dell Encryption-agenten använder:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE DWORD: Enable_Provider Various providers can be set, with the options being: 0x00000001 Software-based AES 0x00000002 Processor-driven AES-NI 0x00000004 Microsoft BCrypt 0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance) 0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance) 0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
Dell Encryptions loggfiler genererar rader i DellCommon.log-filen som anger det läge som kryptografiproviders arbetar i (standardplatsen för C:\ProgramData\Dell\Dell Data Protection\).
En rad som anger providern som läses in representeras av:
FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
Obs! Om du ändrar Enable_Provider-registret måste enheten startas om för att det ska börja gälla. Det här registervärdet förbrukas om det finns under installationsprocessen, vilket innebär att Dell Encryption-klienten respekterar registernyckelns värde och använder det kryptografiska biblioteket efter uppgraderingen eller installationen.
FIPS-läget hanteras med hjälp av Microsofts FIPS-bibliotek, refererade som BCrypt. De här alternativen kan aktiveras med hjälp av ett grupprincipobjekt för fjärrhanterade datorer, vilket kan göras via konsolen Grupprinciphantering på en dator som har verktyget för fjärrsystemadministration installerat (finns här: https://support.microsoft.com/en-us/help/2693643)
Information om Microsofts implementering av FIPS-verifierade bibliotek finns här: https://technet.microsoft.com/en-us/library/cc750357.aspx
Om du vill granska FIPS-certifieringarna för Microsofts kryptografiska bibliotek som Dell Encryptions fullständiga diskkryptering använder, se NIST.gov länkarna:
- Nivå 2-certifikat för kryptografiska primitiver: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
- Nivå 2-certifikat för kryptografiska kärnfunktioner: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095
Fjärrhanterade enheter med Active Directory
Så här aktiverar du med konsolen Grupprinciphantering (gpmc.msc):
Välj den organisationsenhet där den här ändringen krävs.
Obs! Dell rekommenderar att du testar och validerar eventuella ändringar av grupprincipobjekt innan du tillämpar ändringarna i produktion.
Bild 1: (Endast på engelska) Grupprinciphantering
- Ge det nya grupprincipobjektet namnet.
Bild 2: (Endast på engelska) Ge grupprincipobjektet namnet
- Högerklicka på det nya grupprincipobjektet och välj Redigera.
Bild 3: (Endast på engelska) Redigera grupprincipobjektet
Obs! Principen i fråga finns i Principer för datorkonfiguration>, Windows-inställningar>, säkerhetsinställningar>, lokala principer>, säkerhetsalternativ.> Titeln är Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashning och signering.
- Högerklicka på principen och välj de egenskaper som ska ändras.
Bild 4: (Endast på engelska) Välj egenskaper
- Aktivera alternativet Definiera den här principinställningen och välj sedan knappen Aktiverad radiell.
Bild 5: (Endast på engelska) Aktivera Definiera den här principinställningen
- Klicka på Använd.
- Stäng Redigeraren för grupprinciphantering.
När enheterna har lagts till i organisationsgruppen eller en undergrupp (exklusive grupper som har arv blockerat) gäller det här nya grupprincipobjektet för dessa enheter när deras datorgrupprinciper uppdateras. Standardinställningen för den här uppdateringen är var 2:e timme eller vid omstart av datorn.
När den här principen har tillämpats och Dells programvarubaserade Full Disk Encryption är inställd på kryptering krypteras enheten med hjälp av Microsofts FIPS-kompatibla algoritmer.
Lokalt hanterade enheter
Dessa alternativ kan också aktiveras lokalt via den lokala grupprincipredigeraren (gpedit.msc) eller via den lokala säkerhetspolicyredigeraren (secpol.msc).
I den lokala grupprincipredigeraren
Principen i fråga finns i Datorkonfiguration>, Windows-inställningar>, säkerhetsinställningar>, lokala principer>, säkerhetsalternativ. Titeln är Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashning och signering.
- Högerklicka på principen och välj de egenskaper som ska ändras.
Bild 6: (Endast på engelska) Egenskaper för principen
- Aktivera alternativet Definiera den här principinställningen och välj sedan knappen Aktiverad radiell.
Bild 7: (Endast på engelska) Aktivera Definiera den här principinställningen
- Klicka på Använd.
- Stäng Redigeraren för grupprinciphantering.
Den här nya principen gäller för dessa enheter när deras datorprinciper uppdateras. Standardinställningen för den här uppdateringen är var 2:e timme eller vid omstart av datorn.
När den här principen har tillämpats och Dells programvarubaserade Full Disk Encryption är inställd på kryptering krypteras enheten med hjälp av Microsofts FIPS-kompatibla algoritmer.
I redigeraren för lokal säkerhetsprincip
Principen i fråga finns i Säkerhetsinställningar,>Lokala principer>, Säkerhetsalternativ. Titeln är Systemkryptografi: Använd FIPS-kompatibla algoritmer för kryptering, hashning och signering.
- Högerklicka på principen och välj de egenskaper som ska ändras.
Bild 8: (Endast på engelska) Egenskaper för princip
- Aktivera alternativet Definiera den här principinställningen och välj sedan knappen Aktiverad radiell.
Bild 9: (Endast på engelska) Aktivera Definiera den här principinställningen
- Klicka på Använd.
- Stäng Redigeraren för grupprinciphantering.
Den här nya principen gäller för dessa enheter när deras datorprinciper uppdateras. Standardinställningen för den här uppdateringen är var 2:e timme eller vid omstart av datorn.
När den här principen har tillämpats och Dells programvarubaserade Full Disk Encryption är inställd på kryptering krypteras enheten med hjälp av Microsofts FIPS-kompatibla algoritmer.
Aktivera med hjälp av registerpost
Microsofts FIPS-kompatibla algoritmer kan också aktiveras med hjälp av registret. Om du vill aktivera FIPS-kompatibla bibliotek kan du ändra registernyckeln:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy DWORD: Enabled Value: 1
Vid omstart börjar den här principen gälla. När den här principen har tillämpats och Dells programvarubaserade Full Disk Encryption är inställd på kryptering krypteras enheten med hjälp av Microsofts FIPS-kompatibla algoritmer.
Om du vill kontakta support, se Dell Data Security telefonnummer till internationell support.
Gå till TechDirect för att skapa en begäran om teknisk support online.
Om du vill ha mer information och resurser kan du gå med i Dell Security Community-forumet.