為了保護我的 Windows 7 Pro x64 工作站,我在本機安全性原則編輯器中開啟了 FIPS。
Security Settings/Local Policies/Security Options/
System cryptography: Use FIPS compliant algorithms for encryption, hashing and signing = Enabled
我無法再透過遠端桌面存取我的 XP Pro SP3 x32 筆記型電腦,而且我的本機 XP Mode 虛擬機不再接受自動登入或整合工具。
我在兩個XP環境下都開啟了該功能,但沒有幫助。關閉我的 Windows 7 PC 中的該功能重新啟用該功能。我能夠在 Windows 7 Pro x64 筆記型電腦和工作站之間進行雙向連接,並在兩者上啟用 FIPS。
我是不是漏掉了一步?
答案1
打開 FIPS 無助於保護任何內容。它只適合那些無論壞多少都絕對必須打開它並且別無選擇的人。如果您有選擇,請不要打開它。 FIPS 是一個法規合規性問題,遵守您不必遵守的法規會帶來巨大的零回報費用。
不管你相信與否,即使是那些推動 Microsoft 支援 FIPS 的人也沒有打開它。他們只需在採購表格上標記「符合 FIPS」的複選框即可。但他們不需要打開它,而且他們也沒有這樣做,出於同樣的原因,你不應該這樣做。
沒有人關心 FIPS 模式是否有效,只關心它實際上是否符合 FIPS 標準。再次強調,沒有要求任何事物工作在FIPS模式。因此,如果它不起作用,那就不被認為是值得解決的問題。開啟 FIPS 模式會關閉任何不符合 FIPS 的功能。
答案2
這個答案似乎有點苛刻。打開 FIPS-140 合規模式實際上確實提供了一些保護。它防止使用較弱的加密模式,這是保護性的。
實際上,從上面的評論中可以推斷出「它大大減少了系統的選擇」——它刪除了聯邦權力機構不再認為合適的加密方案。如答案所指出的,「開啟 FIPS 140 模式會關閉任何不符合 FIPS 的內容」。不符合 FIPS 140 的內容將不會已知的上班。
事實證明這是一件好事。在加密模組驗證計畫的前五年中,我們發現提交的套件中有 25% 在文件中存在錯誤,8% 在實作中存在錯誤。也就是說,如果您依賴現有的商業包裝,那麼它被損壞的可能性大約是十二分之一,並且除了煙霧之外不提供任何保護。
但訊息的語氣——啟用 FIPS 140 規則會破壞一切——可惜是正確的。加密很難。程式設計師通常沒有正確執行任務的紀律,尤其是對於遺留軟體。如果您不在聯邦環境中必須做吧,大多數人不做吧。
但這種情況顯然正在改變。企業希望他們的編碼人員能夠進行嚴格的安全工程。我聽到客戶說“你知道,聯邦調查局使用的是 STIG,我們不應該這樣做嗎?”擁有標準(FIPS 是「聯邦資訊處理標準」)是一件好事,並且支援互通性和準確性。
因此,如果正確啟用 FIPS 140 模式,您就有充分的理由期望另一方(如果配置正確)也能夠在 FIPS 140 模式下工作。如果沒有,請將其作為錯誤提交給系統供應商!