ทำไมคุณไม่ควรเปิดใช้งานการเข้ารหัส“ ตามมาตรฐาน FIPS” บน Windows
Windows มีการตั้งค่าที่ซ่อนอยู่ซึ่งจะเปิดใช้งานการเข้ารหัส“ ตามมาตรฐาน FIPS” ที่ได้รับการรับรองจากรัฐบาลเท่านั้น อาจเป็นวิธีเพิ่มความปลอดภัยให้กับพีซีของคุณ แต่ก็ไม่ใช่ คุณไม่ควรเปิดใช้งานการตั้งค่านี้หากคุณไม่ทำงานในหน่วยงานราชการหรือต้องการทดสอบว่าซอฟต์แวร์จะทำงานอย่างไรกับพีซีของรัฐบาล.
การปรับแต่งนี้เข้ากันได้อย่างเหมาะสมกับตำนานการปรับแต่ง Windows ที่ไร้ประโยชน์อื่น ๆ หากคุณพบการตั้งค่านี้ใน Windows หรือเห็นว่ามีการกล่าวถึงที่อื่นอย่าเปิดใช้งาน หากคุณได้เปิดใช้งานโดยไม่มีเหตุผลอันสมควรให้ใช้ขั้นตอนด้านล่างเพื่อปิดใช้งาน "โหมด FIPS".
การเข้ารหัสที่สอดคล้องกับมาตรฐาน FIPS คืออะไร?
FIPS หมายถึง“ มาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง” เป็นชุดของมาตรฐานรัฐบาลที่กำหนดวิธีการใช้งานบางสิ่งในหน่วยงานราชการเช่นอัลกอริธึมการเข้ารหัส FIPS กำหนดวิธีการเข้ารหัสเฉพาะที่สามารถใช้รวมถึงวิธีการสร้างคีย์การเข้ารหัส จัดทำโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติหรือ NIST.
การตั้งค่าใน Windows เป็นไปตามมาตรฐาน FIPS 140 ของรัฐบาลสหรัฐอเมริกา เมื่อเปิดใช้งานระบบจะบังคับให้ Windows ใช้รูปแบบการเข้ารหัสที่ตรวจสอบความถูกต้องของ FIPS เท่านั้นและแนะนำให้แอปพลิเคชันทำเช่นนั้น.
“ โหมด FIPS” ไม่ทำให้ Windows ปลอดภัยยิ่งขึ้น เพียงบล็อกการเข้าถึงชุดรูปแบบการเข้ารหัสใหม่ที่ไม่ได้ผ่านการตรวจสอบความถูกต้องของ FIPS ซึ่งหมายความว่าจะไม่สามารถใช้รูปแบบการเข้ารหัสใหม่หรือวิธีการที่รวดเร็วกว่าในการใช้รูปแบบการเข้ารหัสเดียวกัน กล่าวอีกนัยหนึ่งมันทำให้คอมพิวเตอร์ของคุณช้าลงทำงานได้น้อยลงและมีเนื้อหา น้อยกว่า ปลอดภัย.
วิธีที่ Windows ทำงานแตกต่างกันหากคุณเปิดใช้งานการตั้งค่านี้
Microsoft อธิบายว่าการตั้งค่านี้ทำอะไรจริง ๆ ในโพสต์บล็อกชื่อ“ ทำไมเราไม่แนะนำ“ โหมด FIPS” อีกต่อไป” Microsoft แนะนำให้คุณใช้โหมด FIPS หากคุณต้องการ ตัวอย่างเช่นหากคุณใช้คอมพิวเตอร์รัฐบาลสหรัฐฯคอมพิวเตอร์นั้นควรเปิดใช้งาน“ โหมด FIPS” ตามระเบียบของรัฐบาล ไม่มีกรณีจริงที่คุณต้องการเปิดใช้งานสิ่งนี้ในคอมพิวเตอร์ส่วนบุคคลของคุณเองเว้นแต่ว่าคุณกำลังทดสอบว่าซอฟต์แวร์ของคุณทำงานอย่างไรในคอมพิวเตอร์รัฐบาลของสหรัฐอเมริกาโดยเปิดใช้งานการตั้งค่านี้.
การตั้งค่านี้ทำสองสิ่งใน Windows มันบังคับให้บริการ Windows และ Windows ใช้การเข้ารหัสลับที่ได้รับการรับรองโดย FIPS เท่านั้น ตัวอย่างเช่นบริการ Schannel ที่มีอยู่ภายใน Windows จะไม่ทำงานกับโปรโตคอล SSL 2.0 และ 3.0 รุ่นเก่าและจะต้องใช้ TLS 1.0 เป็นอย่างน้อยแทน.
กรอบงาน. NET ของ Microsoft จะบล็อกการเข้าถึงอัลกอริทึมที่ไม่ผ่านการตรวจสอบด้วย FIPS เฟรมเวิร์ก. NET เสนออัลกอริทึมที่แตกต่างกันสำหรับอัลกอริธึมการเข้ารหัสส่วนใหญ่และบางส่วนก็ไม่ได้ถูกส่งเพื่อตรวจสอบความถูกต้อง เป็นตัวอย่าง Microsoft บันทึกว่ามีอัลกอริทึมการแฮช SHA256 ที่แตกต่างกันสามรุ่นใน. NET Framework ยังไม่ได้ส่งเร็วที่สุดสำหรับการตรวจสอบ แต่ควรมีความปลอดภัย ดังนั้นการเปิดใช้งานโหมด FIPS จะเป็นการทำลายแอปพลิเคชั่น. NET ที่ใช้อัลกอริทึมที่มีประสิทธิภาพมากขึ้นหรือบังคับให้พวกเขาใช้อัลกอริทึมที่มีประสิทธิภาพน้อยลงและช้าลง.
นอกเหนือจากสองสิ่งนี้การเปิดใช้งานโหมด FIPS แนะนำให้กับแอปพลิเคชันที่ใช้การเข้ารหัสที่ตรวจสอบด้วย FIPS เท่านั้นเช่นกัน แต่มันไม่ได้บังคับอะไรอย่างอื่น แอพพลิเคชั่นเดสก์ท็อปดั้งเดิมของ Windows สามารถเลือกใช้รหัสการเข้ารหัสใดก็ได้ที่พวกเขาต้องการแม้กระทั่งการเข้ารหัสที่มีความเสี่ยงอย่างน่าตกใจหรือไม่ต้องเข้ารหัสก็ตาม โหมด FIPS จะไม่ทำอะไรกับแอปพลิเคชั่นอื่นเว้นแต่ว่าพวกเขาจะปฏิบัติตามการตั้งค่านี้.
วิธีปิดใช้งานโหมด FIPS (หรือเปิดใช้งานหากคุณต้องการ)
คุณไม่ควรเปิดใช้งานการตั้งค่านี้หากคุณไม่ได้ใช้คอมพิวเตอร์รัฐบาลและถูกบังคับ หากคุณเปิดใช้งานการตั้งค่านี้แอปพลิเคชันสำหรับผู้บริโภคบางรายอาจขอให้คุณปิดใช้งานโหมด FIPS เพื่อให้พวกเขาสามารถทำงานได้อย่างถูกต้อง.
หากคุณต้องการเปิดใช้งานหรือปิดใช้งานโหมด FIPS บางทีคุณอาจเห็นข้อความแสดงข้อผิดพลาดหลังจากเปิดใช้งานคุณต้องทดสอบว่าซอฟต์แวร์ของคุณจะทำงานอย่างไรในคอมพิวเตอร์ที่เปิดใช้งานโหมด FIPS หรือคุณกำลังใช้คอมพิวเตอร์ของรัฐบาลและมี เพื่อเปิดใช้งาน - คุณสามารถทำได้หลายวิธี โหมด FIPS สามารถเปิดใช้งานได้เฉพาะเมื่อเชื่อมต่อกับเครือข่ายเฉพาะหรือผ่านการตั้งค่าทั้งระบบที่จะนำไปใช้เสมอ.
หากต้องการเปิดใช้งานโหมด FIPS เฉพาะเมื่อเชื่อมต่อกับเครือข่ายเฉพาะให้ทำตามขั้นตอนต่อไปนี้:
- เปิดหน้าต่างแผงควบคุม.
- คลิก "ดูสถานะเครือข่ายและงาน" ภายใต้เครือข่ายและอินเทอร์เน็ต.
- คลิก“ เปลี่ยนการตั้งค่าอะแดปเตอร์”
- คลิกขวาที่เครือข่ายที่คุณต้องการเปิดใช้งาน FIPS และเลือก“ สถานะ”
- คลิกปุ่ม“ คุณสมบัติไร้สาย” ในหน้าต่างสถานะ Wi-Fi.
- คลิกแท็บ“ ความปลอดภัย” ในหน้าต่างคุณสมบัติเครือข่าย.
- คลิกปุ่ม“ การตั้งค่าขั้นสูง”.
- สลับตัวเลือก“ เปิดใช้งานการปฏิบัติตามมาตรฐานการประมวลผลข้อมูลกลาง (FIPS) สำหรับเครือข่ายนี้” ภายใต้การตั้งค่า 802.11.
การตั้งค่านี้สามารถเปลี่ยนได้ทั้งระบบในตัวแก้ไขนโยบายกลุ่ม เครื่องมือนี้มีเฉพาะในรุ่น Professional, Enterprise และ Education ของ Windows ไม่ใช่รุ่น Home คุณสามารถใช้เครื่องมือแก้ไขนโยบายกลุ่มโลคัลเพื่อเปลี่ยนเครื่องมือนี้หากคุณอยู่ในคอมพิวเตอร์ที่ไม่ได้เข้าร่วมกับโดเมนที่จัดการการตั้งค่านโยบายกลุ่มของคอมพิวเตอร์ให้คุณ หากคอมพิวเตอร์ของคุณเข้าร่วมกับโดเมนและการตั้งค่านโยบายกลุ่มได้รับการจัดการจากส่วนกลางโดยองค์กรของคุณคุณจะไม่สามารถเปลี่ยนแปลงได้ด้วยตนเอง วิธีเปลี่ยนการตั้งค่านี้ในนโยบายกลุ่ม:
- กด Windows Key + R เพื่อเปิดกล่องโต้ตอบเรียกใช้.
- พิมพ์“ gpedit.msc” ลงในกล่องโต้ตอบเรียกใช้ (โดยไม่ใส่เครื่องหมายอัญประกาศ) และกด Enter.
- นำทางไปยัง“ Settings \ Local Settings \ Local Settings \ Local คอมพิวเตอร์ \ Security Options \ Security คอมพิวเตอร์ \ Configuration \ Windows ในตัวแก้ไขนโยบายกลุ่ม.
- ค้นหา“ การเข้ารหัสระบบ: ใช้อัลกอริธึมที่เข้ากันได้กับ FIPS สำหรับการเข้ารหัสการแฮชและการลงชื่อ” ในบานหน้าต่างด้านขวาและดับเบิลคลิก.
- ตั้งค่าการตั้งค่าเป็น“ ปิดใช้งาน” และคลิก“ ตกลง”
- รีสตาร์ทคอมพิวเตอร์.
บน Windows รุ่น Home คุณยังสามารถเปิดใช้งานหรือปิดใช้งานการตั้งค่า FIPS ผ่านการตั้งค่ารีจิสทรี ในการตรวจสอบว่าเปิดใช้งานหรือปิดใช้งาน FIPS ในรีจิสทรีหรือไม่ให้ทำตามขั้นตอนต่อไปนี้:
- กด Windows Key + R เพื่อเปิดกล่องโต้ตอบเรียกใช้.
- พิมพ์“ regedit” ลงในกล่องโต้ตอบเรียกใช้ (โดยไม่ใส่เครื่องหมายอัญประกาศ) และกด Enter.
- นำทางไปยัง“ HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \ ".
- ดูที่ค่า“ เปิดใช้งาน” ในบานหน้าต่างด้านขวา หากตั้งค่าเป็น“ 0” โหมด FIPS จะถูกปิดใช้งาน หากตั้งค่าเป็น "1" โหมด FIPS จะเปิดใช้งาน หากต้องการเปลี่ยนการตั้งค่าให้คลิกสองครั้งที่ค่า“ เปิดใช้งาน” แล้วตั้งค่าเป็น“ 0” หรือ“ 1”.
- รีสตาร์ทคอมพิวเตอร์.
ขอบคุณ @SwiftOnSecurity บน Twitter สำหรับแรงบันดาลใจจากโพสต์นี้!