Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Encryption FIPS -yhteensopivuus

Summary: Federal Information Processing Standards (FIPS) on sääntöjoukko, jossa hahmotellaan menetelmät tietojen käsittelemiseksi ja käsittelemiseksi salausalgoritmeilla päätepisteissä ja eri viestintäkanavissa. Dell Encryption hyödyntää useita salauskirjastoja, joiden keskeisiä salausnäkökohtia hallitaan määritettävällä salauskirjastolla. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Tuotteet, joita asia koskee:

  • Dell Encryption
  • Dell Data Protection | Encryption

Versiossa 10.1.0 Dell Encryptionin (aiemmin Dell Data Protection | Salaus) käytäntöpohjaisessa salauksessa käytetään FIPS-validoitua RSABSAFE Crypto Module -salausmoduulia. Tämä uusi salauspalvelu on oletusarvoisesti käytössä päivitettäessä Dell Encryption 10.1.0 -versioon tai uudempaan, jos CSSStartFlags DWord ei ole esitäytetty.

Sama muutos salauspalveluihin tehtiin Dellin ohjelmistopohjaiseen Full Disk Encryption -versioon 10.3.0.

RSA BSAFE Crypto Module toimii oletusarvoisesti FIPS-tilassa.

RSA BSAFE Crypto Modulen FIPS-sertifikaatti on saatavilla NIST CMVP:ssä täällä:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Tämä hyperlinkki johtaa Dell Technologiesin ulkopuoliseen sivustoon.

Cause

Ei sovellettavissa

Resolution

Varoitus: Seuraava vaihe on Windowsin rekisterin muokkaus:

Käytäntöpohjainen salaus

Rekisteriavainta voidaan muokata tietyn valitsemiseksi cryptoprovider ja salausmenetelmä, jolla muokataan Dell Encryption -agentin käyttämää salauskirjastoa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryptionin lokitiedostot luovat CMGshield.log tiedostoon rivejä, jotka ilmaisevat tilan, jossa salauspalvelut toimivat (oletussijainti C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Ladattavaa palveluntarjoajaa ilmaisevaa riviä edustaa:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Tämän rivin lisäksi kirjoitetaan toinen rivi, jossa hahmotellaan rekisterissä kulutettu arvo:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Huomautus: CSSStartFlagsin muokkaaminen edellyttää laitteen uudelleenkäynnistystä, jotta se tulee voimaan. Tämä rekisteriarvo kulutetaan, jos se on olemassa asennusprosessin aikana, mikä tarkoittaa, että Dell Encryption -asiakas kunnioittaa rekisteriavaimen arvoa ja hyödyntää salauskirjastoa päivityksen tai asennuksen jälkeen.

Jos Intel IPP -liput ovat poissa käytöstä tai niitä ei ole, Dell Encryption suorittaa salaustoimintoja kutsumalla Dellin FIPS-validoitua salauskirjastoa (joka toimii FIPS-tilassa).

Kun Intel IPP -liput ovat käytössä, samat salaustoimintokutsut soitetaan Dellin FIPS-validoituihin kirjastoihin, mutta prosessi toimii sovelluksessa muussa kuin FIPS-tilassa ja salaustoiminnot käyttävät Intelin IPP-kirjastoa suorituskyvyn parantamiseksi.

Voit valita toimintatilan muokkaamalla (tai luomalla) rekisteriavaimen:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Järjestelmänvalvojat voivat vahvistaa asetuksen tämän rekisterin määrityksen jälkeen uudelleenkäynnistyksen jälkeen käyttämällä CMGShield.log tiedostoa:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Huomautus: Dell Encryption for Mac käsittelee aina FIPS-validoidussa tilassa, eikä Dell Encryption -järjestelmänvalvojan tarvitse tehdä muutoksia.

    Dell Encryptionin vanha kryptografisten palvelujen tarjoaja Credant’s CMGCrypto NIST ei enää validoi sitä, vaikka aiemmat sertifiointinumerot ovat: 2156 ja 2150

    Ohjelmistopohjainen koko levyn salaus

    Rekisteriavainta voidaan muokata tietyn valitsemiseksi cryptoprovider ja salausmenetelmä, jolla muokataan Dell Encryption -agentin käyttämää salauskirjastoa:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Dell Encryptionin lokitiedostot luovat DellCommon.log tiedostoon rivejä, jotka ilmaisevat tilan, jossa salauspalvelut toimivat (oletussijainti C:\ProgramData\Dell\Dell Data Protection\).

    Ladattavaa palveluntarjoajaa ilmaisevaa riviä edustaa:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Huomautus: Enable_Provider rekisterin muokkaaminen edellyttää laitteen uudelleenkäynnistystä, jotta se tulee voimaan. Tämä rekisteriarvo kulutetaan, jos se on olemassa asennusprosessin aikana, mikä tarkoittaa, että Dell Encryption -asiakas kunnioittaa rekisteriavaimen arvoa ja hyödyntää salauskirjastoa päivityksen tai asennuksen jälkeen.

    FIPS-tilaa hallitaan Microsoftin FIPS-kirjastoilla, joihin viitataan nimellä BCrypt. Nämä asetukset voidaan ottaa käyttöön käyttämällä ryhmäkäytäntöobjektia etähallittaville tietokoneille. Tämä voidaan tehdä ryhmäkäytäntöjen hallintakonsolissa tietokoneessa, johon on asennettu Remote System Administration Toolkit (sijaitsee täällä: https://support.microsoft.com/en-us/help/2693643) Tämä hyperlinkki johtaa Dell Technologiesin ulkopuoliseen sivustoon.

    Tietoja Microsoftin FIPS-validoitujen kirjastojen käyttöönotosta on täällä: https://technet.microsoft.com/en-us/library/cc750357.aspx Tämä hyperlinkki johtaa Dell Technologiesin ulkopuoliseen sivustoon.

    Lisätietoja Dell Encryptionin Full Disk Encryption -salauksen hyödyntämien Microsoftin salauskirjastojen FIPS-sertifioinneista on NIST.gov linkeissä:

    Etähallittavat laitteet Active Directoryn avulla

    Ottaminen käyttöön ryhmäkäytäntöjen hallintakonsolissa (gpmc.msc):

    Valitse organisaatioyksikkö, jossa tämä muutos vaaditaan.

    Huomautus: Dell suosittelee ryhmäkäytäntöobjektien muutosten testaamista ja vahvistamista ennen muutosten viemistä tuotantoon.

    Ryhmäkäytäntöjen hallinta
    Kuva 1: (Englanninkielinen) Ryhmäkäytäntöjen hallinta

    1. Anna uudelle ryhmäkäytäntöobjektille nimi.

    Ryhmäkäytäntöobjektin nimeäminen
    Kuva 2: (Englanninkielinen) Ryhmäkäytäntöobjektin nimeäminen

    1. Napsauta uutta ryhmäkäytäntöobjektia hiiren kakkospainikkeella ja valitse Muokkaa.

    Muokkaa ryhmäkäytäntöobjektia
    Kuva 3: (Englanninkielinen) Muokkaa ryhmäkäytäntöobjektia

     
    Huomautus: Kyseinen käytäntö on kohdassa Tietokoneasetukset > Käytännöt > Windowsin asetukset > Suojausasetukset > Paikalliset käytännöt > Suojausasetukset. Otsikko on Järjestelmän salaus: Käytä FIPS-yhteensopivia algoritmeja salaukseen, hajauttamiseen ja allekirjoittamiseen.
    1. Napsauta käytäntöä hiiren kakkospainikkeella ja valitse muokattavat ominaisuudet .

    Valitse Ominaisuudet.
    Kuva 4: (Englanninkielinen) Valitse ominaisuudet

    1. Ota käyttöön Määritä tämä käytäntöasetus -asetus ja valitse sitten Käytössä kehäpainike.

    Ota Määritä tämä käytäntöasetus käyttöön
    Kuva 5: (Englanninkielinen) Ota Määritä tämä käytäntöasetus käyttöön

    1. Valitse Käytä.
    2. Sulje ryhmäkäytäntöjen hallintaeditori.

    Kun laitteet on lisätty organisaatioryhmään tai mihin tahansa aliryhmään (lukuun ottamatta ryhmiä, joiden periytyminen on estetty), tämä uusi ryhmäkäytäntöobjekti koskee kyseisiä laitteita, kun niiden tietokoneen ryhmäkäytännöt päivittyvät. Tämän päivityksen oletusasetus on kahden tunnin välein tai tietokoneen uudelleenkäynnistyksen yhteydessä.

    Kun tämä käytäntö on otettu käyttöön ja kun Dellin ohjelmistopohjainen Full Disk Encryption on määritetty salaamaan, laite salataan Microsoftin FIPS-yhteensopivilla algoritmeilla.

    Paikallisesti hallitut laitteet

    Nämä asetukset voidaan ottaa käyttöön myös paikallisesti paikallisen ryhmäkäytäntöeditorin (gpedit.msc) tai paikallisen suojauskäytäntöeditorin (secpol.msc) kautta.

    Valitse paikallisessa ryhmäkäytäntöeditorissa

    Kyseinen käytäntö on kohdassa Tietokoneasetukset>, Windows-asetukset>, Suojausasetukset>, Paikalliset käytännöt>, Suojausasetukset. Otsikko on Järjestelmän salaus: Käytä FIPS-yhteensopivia algoritmeja salaukseen, hajauttamiseen ja allekirjoittamiseen.

    1. Napsauta käytäntöä hiiren kakkospainikkeella ja valitse muokattavat ominaisuudet .

    Politiikan ominaisuudet
    Kuva 6: (Englanninkielinen) Politiikan ominaisuudet

    1. Ota käyttöön Määritä tämä käytäntöasetus -asetus ja valitse sitten Käytössä kehäpainike.

    Ota Määritä tämä käytäntöasetus käyttöön
    Kuva 7: (Englanninkielinen) Ota Määritä tämä käytäntöasetus käyttöön

    1. Valitse Käytä.
    2. Sulje ryhmäkäytäntöjen hallintaeditori.

    Tämä uusi käytäntö koskee kyseisiä laitteita, kun niiden tietokonekäytännöt päivittyvät. Tämän päivityksen oletusasetus on kahden tunnin välein tai tietokoneen uudelleenkäynnistyksen yhteydessä.

    Kun tämä käytäntö on otettu käyttöön ja kun Dellin ohjelmistopohjainen Full Disk Encryption on määritetty salaamaan, laite salataan Microsoftin FIPS-yhteensopivilla algoritmeilla.

    Paikallisen suojauskäytännön editorissa

    Kyseinen käytäntö on kohdassa Suojausasetukset>, Paikalliset käytännöt>Suojausasetukset. Otsikko on Järjestelmän salaus: Käytä FIPS-yhteensopivia algoritmeja salaukseen, hajauttamiseen ja allekirjoittamiseen.

    1. Napsauta käytäntöä hiiren kakkospainikkeella ja valitse muokattavat ominaisuudet .

    Käytännön ominaisuudet
    Kuva 8: (Englanninkielinen) Käytännön ominaisuudet

    1. Ota käyttöön Määritä tämä käytäntöasetus -asetus ja valitse sitten Käytössä kehäpainike.

    Ota Määritä tämä käytäntöasetus käyttöön
    Kuva 9: (Englanninkielinen) Ota Määritä tämä käytäntöasetus käyttöön

    1. Valitse Käytä.
    2. Sulje ryhmäkäytäntöjen hallintaeditori.

    Tämä uusi käytäntö koskee kyseisiä laitteita, kun niiden tietokonekäytännöt päivittyvät. Tämän päivityksen oletusasetus on kahden tunnin välein tai tietokoneen uudelleenkäynnistyksen yhteydessä.

    Kun tämä käytäntö on otettu käyttöön ja kun Dellin ohjelmistopohjainen Full Disk Encryption on määritetty salaamaan, laite salataan Microsoftin FIPS-yhteensopivilla algoritmeilla.

    Ota käyttöön rekisterimerkinnän avulla

    Microsoftin FIPS-yhteensopivat algoritmit voidaan ottaa käyttöön myös rekisterin avulla. Voit ottaa FIPS-yhteensopivat kirjastot käyttöön muokkaamalla rekisteriavainta:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Tämä käytäntö otetaan käyttöön uudelleenkäynnistyksessä. Kun tämä käytäntö on otettu käyttöön ja kun Dellin ohjelmistopohjainen Full Disk Encryption on määritetty salaamaan, laite salataan Microsoftin FIPS-yhteensopivilla algoritmeilla.


    Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
    TechDirectissä voit luoda teknisen tukipyynnön verkossa.
    Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.