Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Dell Encryption FIPSコンプライアンス

Summary: 連邦情報処理標準(FIPS)は、エンドポイントやさまざまな通信チャネルにおける暗号化アルゴリズムによるデータの取り扱いおよび処理方法を定めたルールセットです。Dell Encryptionは複数の暗号化ライブラリーを利用しており、暗号化のコア部分は構成可能な暗号化ライブラリーによって制御されます。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

対象製品:

  • Dell Encryption
  • Dell Data Protection | Encryption

v10.1.0では、Dell Encryptionの(旧Dell Data Protection |暗号化)ポリシーベースの暗号化では、FIPS検証済みの暗号モジュールであるRSA BSAFE Crypto Moduleを使用します。この新しい暗号化プロバイダーは、次の場合、Dell Encryption v10.1.0以降にアップグレードするとデフォルトで有効になります。 CSSStartFlags DWord は事前入力されていません。

暗号化プロバイダーにおけるこの同じ変更は、Dell Encryption v10.3.0のDellのソフトウェアベースのフル ディスク暗号化に対して行われました。

RSA BSAFE Crypto Module は、デフォルトでFIPSモードで動作します。

RSA BSAFE Crypto ModuleのFIPS証明書は、NIST CMVPの次の場所で入手できます。

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

Cause

-

Resolution

Warning: 次の手順は、Windowsレジストリーの編集です。

ポリシーベースの暗号化

レジストリー キーを変更して、特定の cryptoprovider Dell Encryptionエージェントが使用する暗号ライブラリーを変更するには、暗号化の方法を使用します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Dell Encryptionのログ ファイルは、暗号化プロバイダーが動作しているモード(C:\ProgramData\Dell\Dell Data Protection\Encryption\のデフォルトの場所)を示す行をCMGshield.logファイル内に生成します。

読み込まれているプロバイダーを示す行は、次のように表されます。

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

この行の先には、レジストリで使用された値の概要を示す別の行が書き込まれます。

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
注:CSSStartFlags を変更するには、デバイスを再起動する必要があります。このレジストリー値は、セットアップ プロセス中に存在する場合に使用されます。つまり、Dell Encryptionクライアントはレジストリー キーの値を尊重し、アップグレードまたはインストール後にその暗号化ライブラリーを活用します。

インテルIPPフラグが無効になっているか存在しない場合、Dell EncryptionはDellのFIPS検証済み暗号ライブラリー(FIPSモードで動作)を呼び出して暗号操作を実行します。

インテル(R) IPP フラグを有効にすると、デルの FIPS 検証済みライブラリに対して同じ暗号関数呼び出しが行われますが、プロセスは非 FIPS モードでアプリケーション内で動作し、暗号化操作ではパフォーマンス向上のためにインテル(R) IPP ライブラリを使用します。

動作モードを選択するには、レジストリー キーを変更(または作成)します。

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    管理者は、このレジストリーを設定した後、再起動後にCMGShield.logファイルを使用して設定を検証できます。

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    注:Dell Encryption for Macは常にFIPS検証済みモードで処理されるため、Dell Encryption管理者による変更は必要ありません。

    Dell Encryptionのレガシー暗号化プロバイダーである Credant’s CMGCrypto NISTによる検証は行われなくなりましたが、以前の認定番号は次のとおりです。2156および2150

    ソフトウェアベースのフル ディスク暗号化

    レジストリー キーを変更して、特定の cryptoprovider Dell Encryptionエージェントが使用する暗号ライブラリーを変更するには、暗号化の方法を使用します。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Dell Encryptionのログ ファイルは、暗号化プロバイダーが動作しているモード(C:\ProgramData\Dell\Dell Data Protection\のデフォルトの場所)を示す行をDellCommon.logファイル内に生成します。

    読み込まれているプロバイダーを示す行は、次のように表されます。

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    注:Enable_Providerレジストリーの変更を有効にするには、デバイスを再起動する必要があります。このレジストリー値は、セットアップ プロセス中に存在する場合に使用されます。つまり、Dell Encryptionクライアントはレジストリー キーの値を尊重し、アップグレードまたはインストール後にその暗号化ライブラリーを活用します。

    FIPSモードは、MicrosoftのFIPSライブラリを使用して管理されます。 BCrypt」これらのオプションは、リモートで管理されているマシンのグループ ポリシー オブジェクトを使用して有効にできます。これは、Remote System Administration Toolkit がインストールされているコンピューター上のグループ ポリシー管理コンソールを使用して実行できます (次の場所にあります)。https://support.microsoft.com/en-us/help/2693643) このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

    MicrosoftによるFIPS検証済みライブラリーの実装に関する情報については、https://technet.microsoft.com/en-us/library/cc750357.aspx を参照してください。 このハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

    Dell Encryptionのフル ディスク暗号化で活用されているMicrosoftの暗号化ライブラリーのFIPS認定を確認するには、次のリンクを参照してください NIST.gov。

    Active Directoryを使用したリモート管理デバイス

    グループ ポリシー管理コンソール (gpmc.msc) を使用して有効にするには:

    この変更が必要な組織単位を選択します。

    注:Dellでは、本番環境に変更を適用する前に、グループ ポリシー オブジェクトの変更をテストおよび検証することをお勧めします。

    グループ ポリシーの管理
    図1: (英語のみ)グループ ポリシー管理

    1. 新しいグループ ポリシー オブジェクトに名前を付けます。

    グループ ポリシー オブジェクトに名前を付ける
    図2:(英語のみ)グループ ポリシー オブジェクトに名前を付ける

    1. 新しいグループ ポリシー オブジェクトを右クリックし、[ 編集]を選択します。

    グループ ポリシー オブジェクトの編集
    図3:(英語のみ)グループ ポリシー オブジェクトの編集

     
    注:問題のポリシーは、[コンピューターの構成>ポリシー] [Windows の設定>] > [セキュリティ設定>] [ローカル ポリシー] > [セキュリティ オプション] にあります。タイトルは 「System cryptography: 暗号化、ハッシュ、署名にFIPS準拠のアルゴリズムを使用します
    1. ポリシーを右クリックし、変更する プロパティ を選択します。

    「プロパティ」を選択します
    図4:(英語のみ)[Properties]の選択

    1. [このポリシー設定を定義する] オプションを有効にし、[有効] ラジオ ボタンを選択します。

    [このポリシー設定を定義する] を有効にします
    図5:(英語のみ)[このポリシー設定を定義する] を有効にします

    1. [適用] をクリックします。
    2. グループ ポリシー管理エディターを閉じます。

    デバイスが組織グループまたはサブグループ( 継承 がブロックされているグループを除く)に追加されると、マシン グループ ポリシーの更新時に、この新しいグループ ポリシー オブジェクトがそれらのデバイスに適用されます。このアップデートのデフォルト設定は、2時間ごと、またはマシンの再起動時です。

    このポリシーが適用されると、Dellのソフトウェアベースのフル ディスク暗号化が暗号化に設定されると、デバイスはMicrosoftのFIPS準拠アルゴリズムを使用して暗号化されます。

    ローカルで管理されるデバイス

    これらのオプションは、ローカル グループ ポリシー エディター (gpedit.msc) またはローカル セキュリティ ポリシー エディター (secpol.msc) を使用してローカルで有効にすることもできます。

    ローカル グループ ポリシー エディターで、次の手順を実行します。

    問題のポリシーは、[コンピューターの構成>]、[Windowsの設定]>、[セキュリティ設定>]、[ローカル ポリシー]>、[セキュリティ オプション]にあります。タイトルは 「System cryptography: 暗号化、ハッシュ、署名にFIPS準拠のアルゴリズムを使用します

    1. ポリシーを右クリックし、変更する プロパティ を選択します。

    ポリシーのプロパティ
    図6:(英語のみ)ポリシーのプロパティ

    1. [このポリシー設定を定義する] オプションを有効にし、[有効] ラジオ ボタンを選択します。

    [このポリシー設定を定義する] を有効にします
    図7:(英語のみ)[このポリシー設定を定義する] を有効にします

    1. [適用] をクリックします。
    2. グループ ポリシー管理エディターを閉じます。

    この新しいポリシーは、マシンポリシーの更新時にこれらのデバイスに適用されます。このアップデートのデフォルト設定は、2時間ごと、またはマシンの再起動時です。

    このポリシーが適用されると、Dellのソフトウェアベースのフル ディスク暗号化が暗号化に設定されると、デバイスはMicrosoftのFIPS準拠アルゴリズムを使用して暗号化されます。

    ローカル セキュリティ ポリシー エディター

    問題のポリシーは、 セキュリティ設定>ローカルポリシーセキュリティ>オプションにあります。タイトルは 「System cryptography: 暗号化、ハッシュ、署名にFIPS準拠のアルゴリズムを使用します

    1. ポリシーを右クリックし、変更する プロパティ を選択します。

    ポリシーのプロパティ
    図8:(英語のみ)ポリシーのプロパティ

    1. [このポリシー設定を定義する] オプションを有効にし、[有効] ラジオ ボタンを選択します。

    [このポリシー設定を定義する] を有効にします
    図9:(英語のみ)[このポリシー設定を定義する] を有効にします

    1. [適用] をクリックします。
    2. グループ ポリシー管理エディターを閉じます。

    この新しいポリシーは、マシンポリシーの更新時にこれらのデバイスに適用されます。このアップデートのデフォルト設定は、2時間ごと、またはマシンの再起動時です。

    このポリシーが適用されると、Dellのソフトウェアベースのフル ディスク暗号化が暗号化に設定されると、デバイスはMicrosoftのFIPS準拠アルゴリズムを使用して暗号化されます。

    レジストリー エントリーを使用して有効にする

    Microsoft の FIPS 準拠アルゴリズムは、レジストリを使用して有効にすることもできます。FIPS準拠のライブラリを有効にするには、レジストリー キーを変更します。

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    再起動時に、このポリシーが有効に設定されます。このポリシーが適用されると、Dellのソフトウェアベースのフル ディスク暗号化が暗号化に設定されると、デバイスはMicrosoftのFIPS準拠アルゴリズムを使用して暗号化されます。


    サポートに問い合わせるには、「Dell Data Securityのインターナショナル サポート電話番号」を参照してください。
    TechDirectにアクセスして、テクニカル サポート リクエストをオンラインで生成します。
    さらに詳しい情報やリソースについては、「デル セキュリティ コミュニティー フォーラム」に参加してください。

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.