Em um esforço para proteger minha estação de trabalho Windows 7 Pro x64, ativei o FIPS no editor de Política de Segurança Local.
Security Settings/Local Policies/Security Options/
System cryptography: Use FIPS compliant algorithms for encryption, hashing and signing = Enabled
Não consigo mais acessar meu laptop XP Pro SP3 x32 via Área de Trabalho Remota e minha máquina virtual local do Modo XP não aceita mais o login automático ou as Ferramentas de Integração.
Ativei o recurso em ambos os ambientes XP, mas não ajudou. Desativar o recurso no meu PC com Windows 7 reativou os recursos. Consegui conectar os dois sentidos entre meu laptop Windows 7 Pro x64 e minha estação de trabalho com FIPS habilitado em ambos.
Eu perdi um passo?
Responder1
Ativar o FIPS não ajuda a proteger nada. É apenas para pessoas que precisam ligá-lo, não importa o quanto ele quebre e não tenham escolha. Se você tiver escolha, não ligue-o. FIPS é uma questão de conformidade regulatória e cumprir regulamentações que você não precisa cumprir é uma despesa enorme com retorno zero.
Acredite ou não, mesmo as pessoas que pressionaram a Microsoft a ter suporte FIPS não o ativam. Eles só precisam marcar uma caixa de seleção que diz "Compatível com FIPS" em seus formulários de compra. Mas eles não são obrigados a ativá-lo, e não o fazem, pelos mesmos motivos que você não deveria.
Ninguém se importa se o modo FIPS funciona, apenas se ele realmente é compatível com FIPS. Novamente, não há exigência de quequalquer coisatrabalhar no modo FIPS. Portanto, se não funcionar, não é considerado um problema que valha a pena corrigir. Ativar o modo FIPS desativa qualquer coisa que não seja compatível com FIPS.
Responder2
Esta resposta parece um pouco dura. Ativar o modo de conformidade FIPS-140 fornece, de fato, algumas proteções. Impede o uso de esquema criptográfico mais fraco, que é protetor.
Isto pode ser inferido, na verdade, a partir do comentário acima que “reduz drasticamente as escolhas que o sistema tem” – remove esquemas de criptografia que já não são considerados apropriados pelos Poderes Federais. E como observou a resposta: "Ativar o modo FIPS 140 desativa qualquer coisa que não seja compatível com FIPS". Coisas que não são compatíveis com FIPS 140 não serãoconhecidotrabalhar.
Acontece que isso é uma coisa boa. Nos primeiros cinco anos do programa de verificação do módulo criptográfico, descobriu-se que 25% dos pacotes enviados apresentavam erros de documentação e 8% apresentavam erros de implementação. Ou seja, se você dependesse de um pacote comercial já disponível, havia cerca de uma chance em doze de ele estar quebrado e NÃO fornecer nenhuma proteção além da fumaça.
Mas o tom da mensagem – que habilitar a disciplina FIPS 140 quebra as coisas – é, infelizmente, correto. A criptografia é difícil. Os programadores muitas vezes não têm disciplina para fazer isso direito, principalmente com software legado. Se alguém não estiver em um ambiente federal onde vocêdevefaça isso, a maioria das pessoasnãofaça isso.
Mas isso aparentemente está mudando. As empresas esperam engenharia de segurança disciplinada de seus programadores. Estou ouvindo clientes dizerem "sabe, existe um STIG que os federais usam, não deveríamos fazer isso?" Ter padrões (e FIPS é apenas “Padrões Federais de Processamento de Informações”) é uma coisa boa e oferece suporte à interoperabilidade e precisão.
Portanto, se você ativar o modo FIPS 140 corretamente, terá um bom motivo para esperar que o outro lado, se estiver configurado corretamente, também seja capaz de trabalhar no modo FIPS 140. Caso contrário, registre-o como um bug junto ao fornecedor do sistema!