Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Conformidade com FIPS do Dell Encryption

Summary: Os FIPS (Federal Information Processing Standards, padrões federais de processamento de informações) são um conjunto de regras que descreve métodos de como os dados são tratados e processados por algoritmos de criptografia em endpoints e em vários canais de comunicação. O Dell Encryption aproveita várias bibliotecas de criptografia, com os principais aspectos de criptografia controlados por uma biblioteca criptográfica configurável. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

Produtos afetados:

  • Dell Encryption
  • Dell Data Protection | Encryption

Na versão 10.1.0, o Dell Encryption (antigo Dell Data Protection | Criptografia) A criptografia baseada em políticas usa o módulo criptográfico validado por FIPS RSA BSAFE Crypto Module. Esse novo provedor de criptografia é ativado por padrão no upgrade para o Dell Encryption v10.1.0 ou posterior se o CSSStartFlags DWord não está pré-preenchido.

Essa mesma alteração nos provedores de criptografia foi feita para o Full Disk Encryption baseado em software da Dell no Dell Encryption v10.3.0.

O módulo de criptografia RSA BSAFE opera no modo FIPS por padrão.

O certificado FIPS para o módulo de criptografia RSA BSAFE está disponível no CMVP do NIST aqui:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Esse hiperlink direcionará você para um site fora da Dell Technologies.

Cause

Não aplicável

Resolution

Advertência: A próxima etapa é uma edição do Registro do Windows:

Criptografia baseada em política

Uma chave de registro pode ser modificada para selecionar um cryptoprovider e método de criptografia com , para modificar a biblioteca criptográfica que o agente do Dell Encryption usa:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Os arquivos de log do Dell Encryption geram linhas dentro do arquivo CMGshield.log para indicar em que modo os provedores de criptografia estão operando (local padrão C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Uma linha que indica o provedor que está sendo carregado é representada por:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

Além dessa linha, outra linha é escrita descrevendo o valor que foi consumido no registro:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Nota: A modificação dos CSSStartFlags requer uma reinicialização do dispositivo para que ele entre em vigor. Esse valor de registro será consumido se estiver presente durante o processo de configuração, o que significa que o cliente do Dell Encryption respeitará o valor da chave de registro e aproveitará essa biblioteca criptográfica após o upgrade ou a instalação.

Se os indicadores IPP da Intel estiverem desativados ou ausentes, o Dell Encryption executará operações criptográficas chamando a biblioteca criptográfica validada por FIPS da Dell (operando no modo FIPS).

Quando os indicadores IPP da Intel são ativados, as mesmas chamadas de função criptográfica são feitas para as bibliotecas validadas por FIPS da Dell, mas o processo está sendo executado dentro do aplicativo no modo não FIPS, e as operações de criptografia usam a biblioteca IPP da Intel para melhorar o desempenho.

Para selecionar o modo de operação, modifique (ou crie) a chave de registro:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Depois que esse registro for definido, os administradores poderão validar a configuração após a reinicialização usando o arquivo CMGShield.log:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Nota: O Dell Encryption for Mac sempre processa dentro de um modo validado por FIPS, e nenhuma modificação por parte do administrador do Dell Encryption é necessária.

    O provedor criptográfico legado do Dell Encryption Credant’s CMGCrypto não é mais validada pelo NIST, embora os números de certificação anteriores sejam: 2156 e 2150

    Criptografia completa de disco baseada em software

    Uma chave de registro pode ser modificada para selecionar um cryptoprovider e método de criptografia com , para modificar a biblioteca criptográfica que o agente do Dell Encryption usa:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Os arquivos de log do Dell Encryption geram linhas dentro do arquivo DellCommon.log para indicar em que modo os provedores de criptografia estão operando (local padrão C:\ProgramData\Dell\Dell Data Protection\).

    Uma linha que indica o provedor que está sendo carregado é representada por:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Nota: A modificação do registro do Enable_Provider requer uma reinicialização do dispositivo para que ele tenha efeito. Esse valor de registro será consumido se estiver presente durante o processo de configuração, o que significa que o cliente do Dell Encryption respeitará o valor da chave de registro e aproveitará essa biblioteca criptográfica após o upgrade ou a instalação.

    O modo FIPS é gerenciado usando as bibliotecas FIPS da Microsoft, mencionadas como BCrypt. Essas opções podem ser habilitadas usando um Objeto de Diretiva de Grupo para máquinas gerenciadas remotamente, o que pode ser feito por meio do console de Gerenciamento de Diretiva de Grupo em um computador que tenha o Kit de Ferramentas de Administração de Sistema Remoto instalado (localizado aqui: https://support.microsoft.com/en-us/help/2693643) Esse hiperlink direcionará você para um site fora da Dell Technologies.

    Informações sobre a implementação da Microsoft das bibliotecas validadas FIPS podem ser encontradas aqui: https://technet.microsoft.com/en-us/library/cc750357.aspx Esse hiperlink direcionará você para um site fora da Dell Technologies.

    Para analisar as certificações FIPS das bibliotecas criptográficas da Microsoft que a criptografia completa de disco do Dell Encryption utiliza, consulte NIST.gov links:

    Dispositivos gerenciados remotamente usando o Active Directory

    Para habilitar usando o console de gerenciamento de política de grupo (gpmc.msc):

    Selecione a unidade organizacional na qual essa alteração é necessária.

    Nota: A Dell recomenda testar e validar quaisquer alterações de objeto de política de grupo antes de aplicar as alterações à produção.

    Gerenciamento de Políticas de Grupo
    Figura 1: (Somente em inglês) Gerenciamento de Diretiva de Grupo

    1. Nomeie o novo objeto de política de grupo.

    Nomeie o objeto de política de grupo
    Figura 2: (Somente em inglês) Nomeie o objeto de política de grupo

    1. Clique com o botão direito do mouse no novo Objeto de Diretiva de Grupo e selecione Editar.

    Editar o objeto de política de grupo
    Figura 3: (Somente em inglês) Editar o objeto de política de grupo

     
    Nota: A política em questão está em Diretivas de Configuração > do Computador, Configurações do Windows, > Configurações de Segurança, > Políticas Locais, Opções > de > Segurança. O título é System cryptography: (Criptografia do sistema): Use algoritmos compatíveis com FIPS para criptografia, hash e assinatura.
    1. Clique com o botão direito do mouse na política e selecione as propriedades a serem modificadas.

    Selecione Propriedades
    Figura 4: (Somente em inglês) Selecionar as propriedades

    1. Habilite a opção para Definir essa configuração de política e selecione o botão radial Habilitado .

    Habilitar a configuração Definir esta política
    Figura 5: (Somente em inglês) Habilitar a configuração Definir esta política

    1. Clique em Aplicar.
    2. Feche o Editor de Gerenciamento de Políticas de Grupo.

    Depois que os dispositivos são adicionados ao Grupo Organizacional ou a qualquer subgrupo (excluindo grupos que têm herança bloqueada), esse novo Objeto de Diretiva de Grupo se aplica a esses dispositivos como atualização de Políticas de Grupo de Computador. A configuração padrão para essa atualização é a cada 2 horas ou na reinicialização do computador.

    Depois que essa política é aplicada, uma vez que a criptografia completa de disco baseada em software da Dell é definida para criptografia, o dispositivo é criptografado aproveitando os algoritmos compatíveis com FIPS da Microsoft.

    Dispositivos gerenciados localmente

    Essas opções também podem ser ativadas localmente por meio do Editor de Diretiva de Grupo local (gpedit.msc) ou do Editor de Diretiva de Segurança Local (secpol.msc).

    No Editor de Diretiva de Grupo local

    A política em questão está em Configuração> do Computador, Configurações do Windows,>Configurações de Segurança,>Políticas Locais, Opções> de Segurança. O título é System cryptography: (Criptografia do sistema): Use algoritmos compatíveis com FIPS para criptografia, hash e assinatura.

    1. Clique com o botão direito do mouse na política e selecione as propriedades a serem modificadas.

    Propriedades da política
    Figura 6: (Somente em inglês) Propriedades da política

    1. Habilite a opção para Definir essa configuração de política e selecione o botão radial Habilitado .

    Habilitar a configuração Definir esta política
    Figura 7: (Somente em inglês) Habilitar a configuração Definir esta política

    1. Clique em Aplicar.
    2. Feche o Editor de Gerenciamento de Políticas de Grupo.

    Essa nova política se aplica a esses dispositivos à medida que as políticas de máquina são atualizadas. A configuração padrão para essa atualização é a cada 2 horas ou na reinicialização do computador.

    Depois que essa política é aplicada, uma vez que a criptografia completa de disco baseada em software da Dell é definida para criptografia, o dispositivo é criptografado aproveitando os algoritmos compatíveis com FIPS da Microsoft.

    No editor de política de segurança local

    A política em questão está em Configurações> de segurança Políticas locais>Opções de segurança. O título é System cryptography: (Criptografia do sistema): Use algoritmos compatíveis com FIPS para criptografia, hash e assinatura.

    1. Clique com o botão direito do mouse na política e selecione as propriedades a serem modificadas.

    Propriedades da política
    Figura 8: (Somente em inglês) Propriedades da política

    1. Habilite a opção para Definir essa configuração de política e selecione o botão radial Habilitado .

    Habilitar a configuração Definir esta política
    Figura 9: (Somente em inglês) Habilitar a configuração Definir esta política

    1. Clique em Aplicar.
    2. Feche o Editor de Gerenciamento de Políticas de Grupo.

    Essa nova política se aplica a esses dispositivos à medida que as políticas de máquina são atualizadas. A configuração padrão para essa atualização é a cada 2 horas ou na reinicialização do computador.

    Depois que essa política é aplicada, uma vez que a criptografia completa de disco baseada em software da Dell é definida para criptografia, o dispositivo é criptografado aproveitando os algoritmos compatíveis com FIPS da Microsoft.

    Ativar usando a entrada do registro

    Os algoritmos compatíveis com FIPS da Microsoft também podem ser ativados usando o Registro. Para habilitar bibliotecas compatíveis com FIPS, você pode modificar a chave de registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Na reinicialização, essa política é definida em vigor. Depois que essa política é aplicada, uma vez que a criptografia completa de disco baseada em software da Dell é definida para criptografia, o dispositivo é criptografado aproveitando os algoritmos compatíveis com FIPS da Microsoft.


    Para entrar em contato com o suporte, consulte Números de telefone do suporte internacional do Dell Data Security.
    Acesse o TechDirect para gerar uma solicitação de suporte técnico on-line.
    Para obter insights e recursos adicionais, participe do Fórum da comunidade de segurança da Dell.

    Affected Products

    Dell Encryption
    Article Properties
    Article Number: 000126015
    Article Type: Solution
    Last Modified: 08 máj 2024
    Version:  11
    Find answers to your questions from other Dell users
    Support Services
    Check if your device is covered by Support Services.