Um meine Windows 7 Pro x64-Workstation zu sichern, habe ich FIPS im Editor für lokale Sicherheitsrichtlinien aktiviert.
Security Settings/Local Policies/Security Options/
System cryptography: Use FIPS compliant algorithms for encryption, hashing and signing = Enabled
Ich kann nicht mehr über Remotedesktop auf mein XP Pro SP3 x32-Laptop zugreifen und meine lokale virtuelle Maschine im XP-Modus akzeptiert die automatische Anmeldung oder die Integrationstools nicht mehr.
Ich habe die Funktion in beiden XP-Umgebungen aktiviert, aber es hat nicht geholfen. Durch das Deaktivieren der Funktion auf meinem Windows 7-PC wurden die Funktionen wieder aktiviert. Ich konnte eine bidirektionale Verbindung zwischen meinem Windows 7 Pro x64-Laptop und meiner Workstation herstellen, wobei FIPS auf beiden aktiviert war.
Habe ich einen Schritt verpasst?
Antwort1
Das Aktivieren von FIPS schützt nichts. Es ist nur für Leute gedacht, die es unbedingt aktivieren müssen, egal wie viele Fehler es macht, und die keine andere Wahl haben. Wenn Sie die Wahl haben, aktivieren Sie es nicht. FIPS ist eine Sache der Einhaltung gesetzlicher Vorschriften, und die Einhaltung von Vorschriften, die Sie nicht einhalten müssen, ist ein enormer Aufwand, der sich nicht auszahlt.
Ob Sie es glauben oder nicht, selbst die Leute, die Microsoft zur FIPS-Unterstützung gedrängt haben, schalten diese nicht ein. Sie müssen lediglich ein Kontrollkästchen mit der Aufschrift „FIPS-kompatibel“ auf ihren Einkaufsformularen markieren. Aber sie sind nicht verpflichtet, diese Funktion einzuschalten, und sie tun es auch nicht – aus denselben Gründen, aus denen Sie es auch nicht tun sollten.
Niemand interessiert sich dafür, ob der FIPS-Modus funktioniert, sondern nur dafür, dass er tatsächlich FIPS-kompatibel ist. Auch hier gibt es keine Anforderung, dassirgendetwasim FIPS-Modus arbeiten. Wenn es also nicht funktioniert, ist das kein Problem, das behoben werden muss. Durch das Einschalten des FIPS-Modus wird alles ausgeschaltet, was nicht FIPS-kompatibel ist.
Antwort2
Diese Antwort scheint etwas hart zu sein. Das Einschalten des FIPS-140-Compliance-Modus bietet tatsächlich einen gewissen Schutz. Es verhindert die Verwendung schwächerer Kryptoschemata, was schützend wirkt.
Dies lässt sich tatsächlich aus dem obigen Kommentar ableiten, dass „es die Auswahlmöglichkeiten des Systems drastisch reduziert“ – es entfernt Kryptoschemata, die von den zuständigen Bundesbehörden nicht mehr als angemessen angesehen werden. Und wie in der Antwort angemerkt wurde: „Wenn der FIPS 140-Modus aktiviert wird, wird alles deaktiviert, was nicht FIPS-kompatibel ist.“ Dinge, die nicht FIPS 140-kompatibel sind, werden nichtbekanntarbeiten.
Wie sich herausstellte, ist das eine gute Sache. In den ersten fünf Jahren des Kryptomodul-Verifizierungsprogramms wurde festgestellt, dass 25 % der eingereichten Pakete Fehler in der Dokumentation und 8 % Fehler in der Implementierung aufwiesen. Das heißt, wenn Sie sich auf ein bereits vorhandenes kommerzielles Paket verließen, bestand eine Wahrscheinlichkeit von etwa 1:12, dass es kaputt war und KEINEN anderen Schutz als Rauch bot.
Aber der Ton der Botschaft – dass die Aktivierung der FIPS 140-Disziplin Dinge kaputt macht – ist leider richtig. Krypto ist schwer. Programmierer haben oft nicht die Disziplin, es richtig zu machen, insbesondere bei Legacy-Software. Wenn man nicht in einer föderalen Umgebung ist, in der manmusstun es, die meisten MenschennichtTu es.
Aber das ändert sich offenbar. Unternehmen erwarten von ihren Programmierern diszipliniertes Sicherheits-Engineering. Ich höre Kunden sagen: „Wissen Sie, es gibt diesen STIG, den die Regierung verwendet. Sollten wir das nicht auch tun?“ Standards zu haben (und FIPS steht einfach für „Federal Information Processing Standards“) ist eine gute Sache und unterstützt Interoperabilität und Genauigkeit.
Wenn Sie also den FIPS 140-Modus richtig aktivieren, können Sie davon ausgehen, dass die Gegenseite bei entsprechender Konfiguration ebenfalls im FIPS 140-Modus arbeiten kann. Wenn nicht, melden Sie dies als Fehler beim Systemanbieter!