Відповідність Dell Encryption FIPS

Resumo: Федеральні стандарти обробки інформації (FIPS) — це набір правил, які визначають методи обробки та обробки даних алгоритмами шифрування на кінцевих точках і через різні канали зв'язку. Dell Encryption використовує кілька бібліотек шифрування, основні аспекти шифрування контролюються налаштовуваною криптографічною бібліотекою. ...

Este artigo aplica-se a Este artigo não se aplica a Este artigo não está vinculado a nenhum produto específico. Nem todas as versões do produto estão identificadas neste artigo.

Sintomas

Уражені продукти:

  • Шифрування Dell
  • Захист даних Dell | Шифрування

У версії 10.1.0 Dell Encryption (раніше Dell Data Protection | Шифрування) Шифрування на основі політик використовує криптографічний модуль RSA BSAFE Crypto Module, підтверджений FIPS. Цей новий криптографічний провайдер увімкнений за замовчуванням при оновленні до Dell Encryption v10.1.0 або новішої версії, якщо CSSStartFlags DWord не є попередньо заселеною.

Така ж зміна в криптографічних провайдерах була внесена і для програмного забезпечення Dell Full Disk Encryption у Dell Encryption v10.3.0.

RSA BSAFE Crypto Module за замовчуванням працює у режимі FIPS.

Сертифікат FIPS для криптомодуля RSA BSAFE доступний на NIST CMVP тут:

https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409 Це посилання веде на сайт поза межами Dell Technologies.

Causa

Не застосовується

Resolução

Увага: Наступний крок — редагування Реєстру Windows:

Шифрування на основі політик

Ключ реєстру можна змінити для вибору конкретного cryptoprovider та метод криптології з метою модифікації криптографічної бібліотеки, яку використовує агент шифрування Dell:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE
DWORD: CssStartFlags

Various "Flags" can be set, with the options being:

0x80000000 BSAFE
0x80000010 BSAFE with reduced key security for higher performance
0x40000000 BCrypt
0x40000010 BCrypt with reduced key security for higher performance
0x20000000 CmgCrypt Non-Fips
0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance
0x20000002 CmgCrypt FIPS

Файли Log Dell Encryption генерують рядки всередині CMGshield.log файлу, щоб вказати режим, у якому працюють криптографічні провайдери (стандартне розташування C:\ProgramData\Dell\Dell Data Protection\Encryption\).

Рядок, що вказує на провайдера, що завантажується, позначається так:

CffeEncrypterStartup -- Configuring RSA BSAFE Encryption
CffeEncrypterStartup -- Configuring MS BCRYPT Encryption
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode
CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x

За цим рядком записано ще один рядок, що окреслює значення, яке споживалося в реєстрі:

CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Примітка. Модифікація CSSStartFlags вимагає перезавантаження пристрою, щоб він почав діяти. Це значення реєстру споживається, якщо воно присутнє під час процесу налаштування, тобто клієнт шифрування Dell поважає значення ключа реєстру та використовує цю криптографічну бібліотеку після оновлення або встановлення.

Якщо прапорці Intel IPP вимкнені або відсутні, Dell Encryption виконує криптографічні операції, викликаючи криптографічну бібліотеку Dell, перевірену FIPS (працюючи в режимі FIPS).

Коли прапорці Intel IPP увімкнені, ті ж криптографічні виклики функцій здійснюються до бібліотек Dell, перевірених FIPS, але процес працює в додатку в режимі без FIPS, а операції шифрування використовують бібліотеку Intel IPP для покращення продуктивності.

Щоб вибрати режим роботи, змініть (або створіть) ключ реєстру:

HKLM\System\CurrentControlSet\Services\CmgShieldFFE
DWORD: UseIPPFlags
Value: 0 or 2 (decimal)

0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode
2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.

    Адміністратори можуть перевірити налаштування після встановлення цього реєстру після перезавантаження за допомогою CMGShield.log файлу:

    "CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode
    "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
    
    Примітка. Dell Encryption для Mac завжди обробляється в режимі, перевіреному FIPS, і адміністратор шифрування Dell не потребує змін.

    Спадковий криптографічний провайдер Dell Encryption Credant’s CMGCrypto більше не перевіряється NIST, хоча колишні номери сертифікації такі: 2156 та 2150

    Програмне повне шифрування диска

    Ключ реєстру можна змінити для вибору конкретного cryptoprovider та метод криптології з метою модифікації криптографічної бібліотеки, яку використовує агент шифрування Dell:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE
    DWORD: Enable_Provider
    
    Various providers can be set, with the options being:
    
    0x00000001 Software-based AES
    0x00000002 Processor-driven AES-NI
    0x00000004 Microsoft BCrypt
    0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance)
    0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance)
    0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
    

    Файли журналу Dell Encryption генерують рядки всередині DellCommon.log-файлу, щоб позначити режим, у якому працюють криптографічні провайдери (стандартне розташування C:\ProgramData\Dell\Dell Data Protection\).

    Рядок, що вказує на провайдера, що завантажується, позначається так:

    FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
    
    Примітка. Модифікація реєстру Enable_Provider вимагає перезавантаження пристрою, щоб він почав діяти. Це значення реєстру споживається, якщо воно присутнє під час процесу налаштування, тобто клієнт шифрування Dell поважає значення ключа реєстру та використовує цю криптографічну бібліотеку після оновлення або встановлення.

    Режим FIPS керується за допомогою бібліотек Microsoft FIPS, які позначаються як BCrypt. Ці опції можна увімкнути за допомогою об'єкта Group Policy Object для дистанційно керованих машин, що можна зробити через консоль Group Policy Management на комп'ютері, на якому встановлено Remote System Administration Toolkit (тут: https://support.microsoft.com/en-us/help/2693643) Це посилання веде на сайт поза межами Dell Technologies.

    Інформацію про впровадження перевірених бібліотек FIPS можна знайти тут: https://technet.microsoft.com/en-us/library/cc750357.aspx Це посилання веде на сайт поза межами Dell Technologies.

    Щоб переглянути сертифікації FIPS для криптографічних бібліотек Microsoft, які використовує Dell Encryption Full Disk Encryption, зверніться NIST.gov посилання:

    Дистанційно керовані пристрої за допомогою Active Directory

    Для активації за допомогою Group Policy Management Console (gpmc.msc):

    Виберіть організаційний підрозділ, у якому потрібна ця зміна.

    Примітка. Dell рекомендує тестувати та перевіряти будь-які зміни в об'єктах Group Policy перед застосуванням змін у продакшн.

    Управління політикою групи
    Рисунок 1: (Тільки англійською) Управління політикою групи

    1. Назвіть новий об'єкт групової політики.

    Назвіть об'єкт групової політики
    Рисунок 2: (Тільки англійською) Назвіть об'єкт групової політики

    1. Клацніть правою кнопкою миші по новому об'єкту Group Policy і виберіть Редагувати.

    Редагувати об'єкт групової політики
    Рисунок 3: (Тільки англійською) Редагувати об'єкт групової політики

     
    Примітка. Політика, про яку йдеться, знаходиться у розділі Політики конфігурації >> комп'ютера, Налаштування > Windows, Налаштування > безпеки, Локальні політики > , Опції безпеки. Назва — Системна криптографія: Використовуйте алгоритми, сумісні з FIPS, для шифрування, хешування та підписування.
    1. Клацніть правою кнопкою миші на поліс і виберіть властивості для зміни.

    Вибрані властивості
    Рисунок 4: (Тільки англійською) Вибрані властивості

    1. Увімкніть опцію «Визначити це налаштування політики », а потім виберіть кнопку «Увімкнено радіальну».

    Увімкнути Визначити це налаштування політики
    Рисунок 5: (Тільки англійською) Увімкнути Визначити це налаштування політики

    1. Натисніть надати заявку.
    2. Закрити редактор управління політиками групи.

    Після додавання пристроїв до Організаційної групи або будь-якої підгрупи (за винятком груп, у яких заблоковано спадковість ), цей новий об'єкт групової політики застосовується до цих пристроїв у міру оновлення їхніх політик машинної групи. Налаштування за замовчуванням для цього оновлення — кожні 2 години або перезавантаження на комп'ютері.

    Після застосування цієї політики, коли програмне повне шифрування диска від Dell встановлено на шифрування, пристрій шифрується за допомогою алгоритмів, сумісних із FIPS, від Microsoft.

    Локально керовані пристрої

    Ці опції також можна увімкнути локально через локальний редактор групової політики (gpedit.msc) або через редактор локальної політики безпеки (secpol.msc).

    У місцевому редакторі групової політики

    Ця політика знаходиться у розділі Налаштування> комп'ютера, Налаштування Windows>, Налаштування> безпеки, Локальні політики>, Опції безпеки. Назва — Системна криптографія: Використовуйте алгоритми, сумісні з FIPS, для шифрування, хешування та підписування.

    1. Клацніть правою кнопкою миші на поліс і виберіть властивості для зміни.

    Властивості полісу
    Рисунок 6: (Тільки англійською) Властивості полісу

    1. Увімкніть опцію «Визначити це налаштування політики », а потім виберіть кнопку «Увімкнено радіальну».

    Увімкнути Визначити це налаштування політики
    Рисунок 7: (Тільки англійською) Увімкнути Визначити це налаштування політики

    1. Натисніть надати заявку.
    2. Закрити редактор управління політиками групи.

    Ця нова політика застосовується до цих пристроїв у міру оновлення їхніх машинних політик. Налаштування за замовчуванням для цього оновлення — кожні 2 години або перезавантаження на комп'ютері.

    Після застосування цієї політики, коли програмне повне шифрування диска від Dell встановлено на шифрування, пристрій шифрується за допомогою алгоритмів, сумісних із FIPS, від Microsoft.

    У редакторі Local Security Policy

    Політика, про яку йдеться, знаходиться в налаштуваннях безпеки>Локальні політики>Опції безпеки. Назва — Системна криптографія: Використовуйте алгоритми, сумісні з FIPS, для шифрування, хешування та підписування.

    1. Клацніть правою кнопкою миші на поліс і виберіть властивості для зміни.

    Властивості політики
    Рисунок 8: (Тільки англійською) Властивості політики

    1. Увімкніть опцію «Визначити це налаштування політики », а потім виберіть кнопку «Увімкнено радіальну».

    Увімкнути Визначити це налаштування політики
    Рисунок 9: (Тільки англійською) Увімкнути Визначити це налаштування політики

    1. Натисніть надати заявку.
    2. Закрити редактор управління політиками групи.

    Ця нова політика застосовується до цих пристроїв у міру оновлення їхніх машинних політик. Налаштування за замовчуванням для цього оновлення — кожні 2 години або перезавантаження на комп'ютері.

    Після застосування цієї політики, коли програмне повне шифрування диска від Dell встановлено на шифрування, пристрій шифрується за допомогою алгоритмів, сумісних із FIPS, від Microsoft.

    Увімкнути за допомогою запису в реєстрі

    Алгоритми Microsoft, сумісні з FIPS, також можна увімкнути за допомогою реєстру. Щоб увімкнути бібліотеки, сумісні з FIPS, ви можете змінити ключ реєстру:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy
    DWORD: Enabled
    Value: 1
    

    Після перезавантаження ця політика набирає чинності. Після застосування цієї політики, коли програмне повне шифрування диска від Dell встановлено на шифрування, пристрій шифрується за допомогою алгоритмів, сумісних із FIPS, від Microsoft.


    Щоб зв'язатися з підтримкою, зверніться за номерами телефонів Dell Data Security International Support.
    Перейдіть на TechDirect , щоб створити онлайн-запит на технічну підтримку.
    Для додаткових інсайтів та ресурсів приєднуйтесь до Форуму спільноти безпеки Dell.

    Produtos afetados

    Dell Encryption
    Propriedades do artigo
    Número do artigo: 000126015
    Tipo de artigo: Solution
    Último modificado: 08 jun. 2026
    Versão:  12
    Encontre as respostas de outros usuários da Dell para suas perguntas.
    Serviços de suporte
    Verifique se o dispositivo está coberto pelos serviços de suporte.