Відповідність Dell Encryption FIPS
Resumo: Федеральні стандарти обробки інформації (FIPS) — це набір правил, які визначають методи обробки та обробки даних алгоритмами шифрування на кінцевих точках і через різні канали зв'язку. Dell Encryption використовує кілька бібліотек шифрування, основні аспекти шифрування контролюються налаштовуваною криптографічною бібліотекою. ...
Sintomas
Уражені продукти:
- Шифрування Dell
- Захист даних Dell | Шифрування
У версії 10.1.0 Dell Encryption (раніше Dell Data Protection | Шифрування) Шифрування на основі політик використовує криптографічний модуль RSA BSAFE Crypto Module, підтверджений FIPS. Цей новий криптографічний провайдер увімкнений за замовчуванням при оновленні до Dell Encryption v10.1.0 або новішої версії, якщо CSSStartFlags DWord не є попередньо заселеною.
Така ж зміна в криптографічних провайдерах була внесена і для програмного забезпечення Dell Full Disk Encryption у Dell Encryption v10.3.0.
RSA BSAFE Crypto Module за замовчуванням працює у режимі FIPS.
Сертифікат FIPS для криптомодуля RSA BSAFE доступний на NIST CMVP тут:
https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3409
Causa
Не застосовується
Resolução
- Зробіть резервну копію Реєстру перед тим, як продовжити, зверніться до розділу «Як зробити резервне копіювання та відновлення реєстру в Windows
».
- Редагування Реєстру може призвести до того, що комп'ютер стане нечутливим при наступному перезавантаженні.
- Звертайтеся за міжнародними телефонами підтримки Dell Data Security для отримання допомоги, якщо у вас є сумніви щодо виконання цього кроку.
Шифрування на основі політик
Ключ реєстру можна змінити для вибору конкретного cryptoprovider та метод криптології з метою модифікації криптографічної бібліотеки, яку використовує агент шифрування Dell:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmgShieldFFE DWORD: CssStartFlags Various "Flags" can be set, with the options being: 0x80000000 BSAFE 0x80000010 BSAFE with reduced key security for higher performance 0x40000000 BCrypt 0x40000010 BCrypt with reduced key security for higher performance 0x20000000 CmgCrypt Non-Fips 0x20000010 CmgCrypt Non-Fips with reduced key security for higher performance 0x20000002 CmgCrypt FIPS
Файли Log Dell Encryption генерують рядки всередині CMGshield.log файлу, щоб вказати режим, у якому працюють криптографічні провайдери (стандартне розташування C:\ProgramData\Dell\Dell Data Protection\Encryption\).
Рядок, що вказує на провайдера, що завантажується, позначається так:
CffeEncrypterStartup -- Configuring RSA BSAFE Encryption CffeEncrypterStartup -- Configuring MS BCRYPT Encryption CffeEncrypterStartup -- Configuring CMG Crypt Encryption in FIPS Mode CffeEncrypterStartup -- Configuring CMG Crypt Encryption in non-FIPS Mode CffeEncrypterStartup -- Configuring RSA BSAFE Encryption for ambiguous specification of 0x%x
За цим рядком записано ще один рядок, що окреслює значення, яке споживалося в реєстрі:
CffeEncrypterStartup: Utilizing effective CssStartFlags configuration value Value in <Registry>
Якщо прапорці Intel IPP вимкнені або відсутні, Dell Encryption виконує криптографічні операції, викликаючи криптографічну бібліотеку Dell, перевірену FIPS (працюючи в режимі FIPS).
Коли прапорці Intel IPP увімкнені, ті ж криптографічні виклики функцій здійснюються до бібліотек Dell, перевірених FIPS, але процес працює в додатку в режимі без FIPS, а операції шифрування використовують бібліотеку Intel IPP для покращення продуктивності.
Щоб вибрати режим роботи, змініть (або створіть) ключ реєстру:
HKLM\System\CurrentControlSet\Services\CmgShieldFFE DWORD: UseIPPFlags Value: 0 or 2 (decimal) 0 ENABLES the Intel IPP / AES NI functionality, forcing Dell Encryption cryptographic libraries to run in non-FIPS mode 2 DISABLES the Intel IPP / AES NI functionality, allowing Dell Encryption cryptographic libraries to run in FIPS mode.
Адміністратори можуть перевірити налаштування після встановлення цього реєстру після перезавантаження за допомогою CMGShield.log файлу:
"CffeCSSLiteInit: Set fips mode to 1 returns 1 (0)" means that the cryptographic library is running in FIPS mode "CffeCSSLiteInit: Set fips mode to 0 returns 1 (0)" means that the cryptographic library is running in non-FIPS mode.
Спадковий криптографічний провайдер Dell Encryption Credant’s CMGCrypto більше не перевіряється NIST, хоча колишні номери сертифікації такі: 2156 та 2150
Програмне повне шифрування диска
Ключ реєстру можна змінити для вибору конкретного cryptoprovider та метод криптології з метою модифікації криптографічної бібліотеки, яку використовує агент шифрування Dell:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DellFDE DWORD: Enable_Provider Various providers can be set, with the options being: 0x00000001 Software-based AES 0x00000002 Processor-driven AES-NI 0x00000004 Microsoft BCrypt 0x00000008 CSSLite-driven CmgCrypt (with reduced key security for increased performance) 0x00000010 CSSLite-driven RSA’s BSAFE (with reduced key security for increased performance) 0x00000020 CSSLite-driven Microsoft’s BCrypt (with reduced key security for increased performance)
Файли журналу Dell Encryption генерують рядки всередині DellCommon.log-файлу, щоб позначити режим, у якому працюють криптографічні провайдери (стандартне розташування C:\ProgramData\Dell\Dell Data Protection\).
Рядок, що вказує на провайдера, що завантажується, позначається так:
FDE_Crypto_Common.c ==============> Using <PROVIDERNAMEHERE> Crypto Provider
Режим FIPS керується за допомогою бібліотек Microsoft FIPS, які позначаються як BCrypt. Ці опції можна увімкнути за допомогою об'єкта Group Policy Object для дистанційно керованих машин, що можна зробити через консоль Group Policy Management на комп'ютері, на якому встановлено Remote System Administration Toolkit (тут: https://support.microsoft.com/en-us/help/2693643)
Інформацію про впровадження перевірених бібліотек FIPS можна знайти тут: https://technet.microsoft.com/en-us/library/cc750357.aspx
Щоб переглянути сертифікації FIPS для криптографічних бібліотек Microsoft, які використовує Dell Encryption Full Disk Encryption, зверніться NIST.gov посилання:
- Сертифікат рівня 2 для криптографічних примітивів: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3094
- Сертифікат рівня 2 для криптографічних функцій ядра: https://csrc.nist.gov/Projects/Cryptographic-Module-Validation-Program/Certificate/3095
Дистанційно керовані пристрої за допомогою Active Directory
Для активації за допомогою Group Policy Management Console (gpmc.msc):
Виберіть організаційний підрозділ, у якому потрібна ця зміна.
Рисунок 1: (Тільки англійською) Управління політикою групи
- Назвіть новий об'єкт групової політики.
Рисунок 2: (Тільки англійською) Назвіть об'єкт групової політики
- Клацніть правою кнопкою миші по новому об'єкту Group Policy і виберіть Редагувати.
Рисунок 3: (Тільки англійською) Редагувати об'єкт групової політики
- Клацніть правою кнопкою миші на поліс і виберіть властивості для зміни.
Рисунок 4: (Тільки англійською) Вибрані властивості
- Увімкніть опцію «Визначити це налаштування політики », а потім виберіть кнопку «Увімкнено радіальну».
Рисунок 5: (Тільки англійською) Увімкнути Визначити це налаштування політики
- Натисніть надати заявку.
- Закрити редактор управління політиками групи.
Після додавання пристроїв до Організаційної групи або будь-якої підгрупи (за винятком груп, у яких заблоковано спадковість ), цей новий об'єкт групової політики застосовується до цих пристроїв у міру оновлення їхніх політик машинної групи. Налаштування за замовчуванням для цього оновлення — кожні 2 години або перезавантаження на комп'ютері.
Після застосування цієї політики, коли програмне повне шифрування диска від Dell встановлено на шифрування, пристрій шифрується за допомогою алгоритмів, сумісних із FIPS, від Microsoft.
Локально керовані пристрої
Ці опції також можна увімкнути локально через локальний редактор групової політики (gpedit.msc) або через редактор локальної політики безпеки (secpol.msc).
У місцевому редакторі групової політики
Ця політика знаходиться у розділі Налаштування> комп'ютера, Налаштування Windows>, Налаштування> безпеки, Локальні політики>, Опції безпеки. Назва — Системна криптографія: Використовуйте алгоритми, сумісні з FIPS, для шифрування, хешування та підписування.
- Клацніть правою кнопкою миші на поліс і виберіть властивості для зміни.
Рисунок 6: (Тільки англійською) Властивості полісу
- Увімкніть опцію «Визначити це налаштування політики », а потім виберіть кнопку «Увімкнено радіальну».
Рисунок 7: (Тільки англійською) Увімкнути Визначити це налаштування політики
- Натисніть надати заявку.
- Закрити редактор управління політиками групи.
Ця нова політика застосовується до цих пристроїв у міру оновлення їхніх машинних політик. Налаштування за замовчуванням для цього оновлення — кожні 2 години або перезавантаження на комп'ютері.
Після застосування цієї політики, коли програмне повне шифрування диска від Dell встановлено на шифрування, пристрій шифрується за допомогою алгоритмів, сумісних із FIPS, від Microsoft.
У редакторі Local Security Policy
Політика, про яку йдеться, знаходиться в налаштуваннях безпеки>Локальні політики>Опції безпеки. Назва — Системна криптографія: Використовуйте алгоритми, сумісні з FIPS, для шифрування, хешування та підписування.
- Клацніть правою кнопкою миші на поліс і виберіть властивості для зміни.
Рисунок 8: (Тільки англійською) Властивості політики
- Увімкніть опцію «Визначити це налаштування політики », а потім виберіть кнопку «Увімкнено радіальну».
Рисунок 9: (Тільки англійською) Увімкнути Визначити це налаштування політики
- Натисніть надати заявку.
- Закрити редактор управління політиками групи.
Ця нова політика застосовується до цих пристроїв у міру оновлення їхніх машинних політик. Налаштування за замовчуванням для цього оновлення — кожні 2 години або перезавантаження на комп'ютері.
Після застосування цієї політики, коли програмне повне шифрування диска від Dell встановлено на шифрування, пристрій шифрується за допомогою алгоритмів, сумісних із FIPS, від Microsoft.
Увімкнути за допомогою запису в реєстрі
Алгоритми Microsoft, сумісні з FIPS, також можна увімкнути за допомогою реєстру. Щоб увімкнути бібліотеки, сумісні з FIPS, ви можете змінити ключ реєстру:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\FipsAlgorithmPolicy DWORD: Enabled Value: 1
Після перезавантаження ця політика набирає чинності. Після застосування цієї політики, коли програмне повне шифрування диска від Dell встановлено на шифрування, пристрій шифрується за допомогою алгоритмів, сумісних із FIPS, від Microsoft.
Щоб зв'язатися з підтримкою, зверніться за номерами телефонів Dell Data Security International Support.
Перейдіть на TechDirect , щоб створити онлайн-запит на технічну підтримку.
Для додаткових інсайтів та ресурсів приєднуйтесь до Форуму спільноти безпеки Dell.