Windows 7 Pro x64 ワークステーションを保護するために、ローカル セキュリティ ポリシー エディターで FIPS を有効にしました。
Security Settings/Local Policies/Security Options/
System cryptography: Use FIPS compliant algorithms for encryption, hashing and signing = Enabled
リモート デスクトップ経由で XP Pro SP3 x32 ラップトップにアクセスできなくなり、ローカルの XP Mode 仮想マシンは自動ログインや統合ツールを受け入れなくなりました。
両方の XP 環境でこの機能をオンにしましたが、効果はありませんでした。Windows 7 PC でこの機能をオフにすると、機能が再び有効になりました。Windows 7 Pro x64 ラップトップとワークステーションの両方で FIPS を有効にして、双方向で接続できました。
何か手順を間違えたでしょうか?
答え1
FIPS をオンにしても、何も保護されません。これは、どんなに壊れても絶対にオンにする必要があり、他に選択肢がない人だけが対象です。選択肢がある場合は、オンにしないでください。FIPS は規制遵守のためのものであり、遵守する必要のない規制に準拠することは、何のメリットもないのに莫大な費用がかかります。
信じられないかもしれませんが、Microsoft に FIPS サポートを強く勧めた人々でさえ、それをオンにしていません。購入フォームで「FIPS 準拠」というチェックボックスにチェックを入れるだけでよいのです。しかし、それをオンにする義務はなく、皆さんがそうすべきでないのと同じ理由で、彼らはそれをオンにしていません。
FIPSモードが機能するかどうかは誰も気にしません。実際にFIPSに準拠しているかどうかだけが重要です。繰り返しますが、何でもFIPS モードで動作します。動作しない場合は、修正する価値のある問題とは見なされません。FIPS モードをオンにすると、FIPS に準拠していないものはすべてオフになります。
答え2
この回答は少し厳しいようです。FIPS-140 準拠モードをオンにすると、実際にいくつかの保護が提供されます。これにより、保護に有効な弱い暗号化スキーマの使用が防止されます。
これは、上記のコメントから推測できます。「システムの選択肢が大幅に減少する」 - 連邦当局によって適切ではないと見なされた暗号化スキームを削除します。そして、回答で指摘されているように、「FIPS 140 モードをオンにすると、FIPS に準拠していないものはすべてオフになります」。FIPS 140 に準拠していないものは、知られている働く。
結局、それは良いことだった。暗号モジュール検証プログラムの最初の 5 年間で、提出されたパッケージの 25% にドキュメントの誤りがあり、8% に実装の誤りがあったことが判明した。つまり、すでに存在する商用パッケージに依存していた場合、それが壊れていて、煙以外の保護が提供されない可能性が 12 分の 1 程度あったということだ。
しかし、FIPS 140規律を有効にすると物事が壊れるというメッセージのトーンは、残念ながら正しいです。暗号化は難しいです。特にレガシーソフトウェアの場合、プログラマーはそれを正しく行う規律を持っていないことがよくあります。しなければならないほとんどの人はそうするしないやれ。
しかし、どうやらこの状況は変わりつつあるようです。企業は、コーダーに規律あるセキュリティ エンジニアリングを期待しています。クライアントから「連邦政府が使用している STIG があるのに、これを使用すべきではないですか?」という声が聞こえてきます。標準 (FIPS は単に「連邦情報処理標準」です) があることは良いことであり、相互運用性と正確性をサポートします。
したがって、FIPS 140 モードを正しく有効にした場合、もう一方の側も適切に構成されていれば、FIPS 140 モードで動作できると期待できます。そうでない場合は、システム ベンダーにバグとして報告してください。