En un esfuerzo por proteger mi estación de trabajo Windows 7 Pro x64, activé FIPS en el editor de políticas de seguridad local.
Security Settings/Local Policies/Security Options/
System cryptography: Use FIPS compliant algorithms for encryption, hashing and signing = Enabled
Ya no puedo acceder a mi computadora portátil XP Pro SP3 x32 a través de Escritorio remoto y mi máquina virtual en modo XP local ya no acepta el inicio de sesión automático ni las herramientas de integración.
Activé la función en ambos entornos XP, pero no ayudó. Al desactivar la función en mi PC con Windows 7, se volvieron a habilitar las funciones. Pude conectarme en ambos sentidos entre mi computadora portátil Windows 7 Pro x64 y mi estación de trabajo con FIPS habilitado en ambas.
¿Me perdí un paso?
Respuesta1
Activar FIPS no ayuda a proteger nada. Es sólo para personas que absolutamente deben encenderlo sin importar cuánto se rompa y no tienen otra opción. Si tiene la opción, no la encienda. FIPS es una cuestión de cumplimiento normativo y cumplir con regulaciones que no es necesario cumplir es un gasto enorme sin rentabilidad.
Lo creas o no, incluso las personas que presionaron a Microsoft para que tuviera soporte FIPS no lo activan. Sólo necesitan marcar una casilla que diga "Cumple con FIPS" en sus formularios de compra. Pero no están obligados a encenderlo, y no lo hacen, por las mismas razones que usted no debería hacerlo.
A nadie le importa si el modo FIPS funciona, sólo que realmente sea compatible con FIPS. Nuevamente, no existe ningún requisito de quecualquier cosaTrabajar en modo FIPS. Entonces, si no funciona, no se considera un problema que valga la pena solucionar. Al activar el modo FIPS se desactiva todo lo que no sea compatible con FIPS.
Respuesta2
Esta respuesta parece un poco dura. De hecho, activar el modo de cumplimiento FIPS-140 proporciona algunas protecciones. Previene el uso de un esquema criptográfico más débil, lo cual es protector.
En realidad, esto se puede inferir del comentario anterior de que "reduce drásticamente las opciones que tiene el sistema": elimina esquemas criptográficos que los poderes federales ya no consideran apropiados. Y como señaló la respuesta, "Al activar el modo FIPS 140 se desactiva todo lo que no sea compatible con FIPS". Todo lo que no sea compatible con FIPS 140 no lo seráconocidotrabajar.
Resulta que eso es algo bueno. En los primeros cinco años del programa de verificación del módulo criptográfico, se descubrió que el 25% de los paquetes enviados tenían errores en la documentación y el 8% tenían errores en la implementación. Es decir, si dependía de un paquete comercial que ya estaba disponible, había aproximadamente una posibilidad entre doce de que estuviera roto y NO brindara ninguna protección más que el humo.
Pero el tono del mensaje (que habilitar la disciplina FIPS 140 rompe las cosas) es, lamentablemente, correcto. Las criptomonedas son difíciles. Los programadores a menudo no tienen la disciplina para hacerlo bien, especialmente con software heredado. Si uno no está en un ambiente federal donde usteddebehazlo, la mayoría de la gentenohazlo.
Pero aparentemente esto está cambiando. Las empresas esperan una ingeniería de seguridad disciplinada por parte de sus codificadores. Escucho a clientes decir "ya sabes, existe este STIG que usan los federales, ¿no deberíamos hacer esto?" Tener estándares (y FIPS es simplemente "Estándares Federales de Procesamiento de Información") es algo bueno y respalda la interoperabilidad y la precisión.
Entonces, si habilita el modo FIPS 140 correctamente, tiene una buena razón para esperar que el otro lado, si está configurado correctamente, también pueda funcionar en modo FIPS 140. Si no es así, ¡presentelo como un error al proveedor del sistema!