لماذا لا يجب تمكين تشفير FIPS-compliant على Windows

يحتوي Windows على إعداد مخفي سيمكّن فقط تشفير "FIPS-compliant" المعتمد من قِبل الحكومة. قد يبدو وكأنه وسيلة لتعزيز أمن جهاز الكمبيوتر الخاص بك ، لكنها ليست كذلك. يجب عدم تمكين هذا الإعداد ما لم تعمل في الحكومة أو تحتاج إلى اختبار كيفية تصرف البرامج على أجهزة الكمبيوتر الحكومية.

هذا القرص يناسب حق جنبا إلى جنب مع غيرها من الخرافات التغيير والتبديل ويندوز عديمة الفائدة. إذا تعثرت عبر هذا الإعداد في نظام التشغيل Windows أو شاهدته في مكان آخر ، فلا تقم بتمكينه. إذا قمت بالفعل بتمكينه دون سبب وجيه ، استخدم الخطوات أدناه لتعطيل "FIPS mode".

ما هو التشفير المتوافقة مع FIPS?

FIPS لتقف على "معايير معالجة المعلومات الفيدرالية". إنها مجموعة من المعايير الحكومية التي تحدد كيفية استخدام أشياء معينة في الحكومة - على سبيل المثال ، خوارزميات التجفير. يحدد FIPS أساليب تشفير معينة يمكن استخدامها ، بالإضافة إلى طرق لتوليد مفاتيح التشفير. تم نشره من قبل المعهد الوطني للمعايير والتكنولوجيا ، أو نيست.

يتوافق الإعداد في Windows مع معيار FIPS 140 حكومة الولايات المتحدة. عندما يتم تمكينه ، فإنه يفرض على نظام التشغيل Windows استخدام أنظمة التشفير التي تم التحقق منها بواسطة FIPS فقط وينصح بالتطبيقات للقيام بذلك ،.

لا يجعل "وضع FIPS" من نظام Windows أكثر أمانًا. إنه يمنع الوصول إلى أنظمة التشفير الحديثة التي لم يتم التحقق من صحة FIPS. وهذا يعني أنها لن تكون قادرة على استخدام أنظمة تشفير جديدة ، أو طرق أسرع لاستخدام أنظمة التشفير نفسها. وبعبارة أخرى ، فإنه يجعل جهاز الكمبيوتر الخاص بك أبطأ وأقل وظيفية ، ويمكن القول أقل تأمين.

كيف يتصرف Windows بشكل مختلف إذا قمت بتمكين هذا الإعداد

تشرح Microsoft ما يفعله هذا الإعداد فعليًا في منشور مدونة بعنوان "لماذا لا نوصي بـ" FIPS Mode "بعد الآن." توصي Microsoft باستخدام وضع FIPS فقط إذا كنت مضطرًا لذلك. على سبيل المثال ، إذا كنت تستخدم جهاز كمبيوتر حكوميًا أمريكيًا ، فمن المفترض أن يتم تمكين "FIPS mode" وفقًا لأنظمة الحكومة الخاصة. لا توجد حالة حقيقية تود فيها تمكين هذا على جهاز الكمبيوتر الشخصي الخاص بك ، إلا إذا كنت تختبر كيف يتصرف برنامجك على أجهزة الكمبيوتر الحكومية الأمريكية مع تمكين هذا الإعداد.

يقوم هذا الإعداد بشيئين إلى Windows نفسه. إنه يفرض خدمات Windows و Windows لاستخدام التشفير فقط التحقق من FIPS. على سبيل المثال ، لن تعمل خدمة Schannel المضمنة في Windows مع بروتوكولات SSL 2.0 و 3.0 الأقدم ، وستتطلب على الأقل طبقة النقل الآمنة 1.0 بدلاً من ذلك.

كما سيعمل إطار عمل Microsoft .NET على حظر الوصول إلى الخوارزميات غير المثبتة من قبل FIPS. يوفر إطار عمل .NET عدة خوارزميات مختلفة لمعظم خوارزميات التشفير ، ولم يتم تقديم جميعها للتحقق من صحتها. على سبيل المثال ، تلاحظ شركة Microsoft وجود ثلاثة إصدارات مختلفة من خوارزمية التجزئة SHA256 في إطار عمل .NET. لم يتم إرسال أسرع واحد للتحقق من الصحة ، ولكن يجب أن يكون آمنًا تمامًا. لذا فإن تمكين وضع FIPS سيؤدي إما إلى تعطيل تطبيقات .NET التي تستخدم الخوارزمية الأكثر فاعلية أو إجبارها على استخدام خوارزمية أقل كفاءة وتكون أبطأ.

وبصرف النظر عن هذين الأمرين ، فإن تمكين وضع FIPS يوصي بالتطبيقات التي تستخدمها فقط التشفير الذي تم التحقق منه باستخدام FIPS أيضًا. لكنها لا تجبر أي شيء آخر. يمكن لتطبيقات سطح المكتب التقليدية لـ Windows اختيار تنفيذ أي رمز تشفير يريدونه - حتى لو كان قابلاً للتشفير بشكل مروع - أو بدون تشفير على الإطلاق. لا يعمل وضع FIPS أي شيء للتطبيقات الأخرى ما لم يلتزم هذا الإعداد.

كيفية تعطيل وضع FIPS (أو تمكينه ، إذا كان لديك)

يجب عدم تمكين هذا الإعداد ما لم تكن تستخدم جهاز كمبيوتر حكومي ويتم إجبارك على ذلك. إذا قمت بتمكين هذا الإعداد ، قد تطلب منك بعض تطبيقات المستهلك فعليًا تعطيل وضع FIPS حتى تتمكن من العمل بشكل صحيح.

إذا كنت بحاجة إلى تمكين أو تعطيل وضع FIPS ، فربما شاهدت رسالة خطأ بعد قيامك بتمكينها ، فأنت بحاجة إلى اختبار كيفية تصرف برنامجك على جهاز كمبيوتر تم تمكين وضع FIPS عليه ، أو إذا كنت تستخدم جهاز كمبيوتر حكومي ولديك لتمكينه ، يمكنك القيام بذلك بعدة طرق. يمكن تمكين وضع FIPS فقط عند الاتصال بشبكة معينة ، أو عبر إعداد على مستوى النظام سيطبق دائمًا.

لتمكين وضع FIPS فقط عند الاتصال بشبكة معينة ، قم بإجراء الخطوات التالية:

1. افتح نافذة لوحة التحكم.
2. انقر على "عرض حالة الشبكة والمهام" ضمن الشبكة والإنترنت.
3. انقر فوق "تغيير إعدادات المحول".
4. انقر بزر الماوس الأيمن فوق الشبكة التي تريد تمكين FIPS وتحديد "الحالة".
5. انقر فوق الزر "خصائص لاسلكية" في نافذة حالة Wi-Fi.
6. انقر فوق علامة التبويب "أمان" في نافذة خصائص الشبكة.
7. انقر فوق الزر "إعدادات متقدمة".
8. قم بتبديل الخيار "تمكين توافق معايير معالجة المعلومات الفيدرالية (FIPS) لهذه الشبكة" تحت إعدادات 802.11.

يمكن أيضًا تغيير هذا الإعداد على مستوى النظام في محرر سياسة المجموعة. لا تتوفر هذه الأداة إلا في الإصدارات Professional و Enterprise و Education من إصدارات Windows وليس الرئيسية. يمكنك فقط استخدام محرر نهج المجموعة المحلي لتغيير هذه الأداة إذا كنت على جهاز كمبيوتر غير مرتبط بمجال يدير إعدادات سياسة المجموعة الخاصة بجهازك. إذا كان جهاز الكمبيوتر الخاص بك منضماً إلى مجال ما وتتم إدارة إعدادات سياسة المجموعة بشكل مركزي بواسطة مؤسستك ، فلن تتمكن من تغييره بنفسك. لتغيير هذا الإعداد في "نهج المجموعة":

1. اضغط على Windows Key + R لفتح مربع الحوار Run.
2. اكتب "gpedit.msc" في مربع الحوار "تشغيل" (بدون علامات الاقتباس) واضغط على Enter.
3. انتقل إلى "إعدادات الكمبيوتر / إعدادات Windows / إعدادات الأمان / السياسات المحلية / خيارات الأمان" في محرر سياسة المجموعة.
4. حدد موقع "تشفير النظام: استخدم إعدادات خوارزميات متوافقة مع FIPS للتشفير ، والتجزئة ، والتوقيع" في الجزء الأيسر وانقر نقرًا مزدوجًا فوقه.
5. اضبط الإعداد على "معطل" وانقر على "موافق".
6. إعادة تشغيل الكمبيوتر.

على الإصدارات الرئيسية من Windows ، لا يزال بإمكانك تمكين أو تعطيل الإعداد FIPS عبر إعداد تسجيل. للتحقق من تمكين FIPS أو تعطيله في التسجيل ، اتبع الخطوات التالية:

1. اضغط على Windows Key + R لفتح مربع الحوار Run.
2. اكتب "regedit" في مربع الحوار Run (بدون علامات الاقتباس) واضغط على Enter.
3. انتقل إلى "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. انظر إلى القيمة "ممكّنة" في الجزء الأيسر. إذا تم تعيينه على "0" ، يتم تعطيل وضع FIPS. إذا تم ضبطه على "1" ، يتم تمكين وضع FIPS. لتغيير الضبط ، انقر نقرًا مزدوجًا فوق القيمة "Enabled" واضبطه على "0" أو "1".
5. إعادة تشغيل الكمبيوتر.

بفضلSwiftOnSecurity على Twitter لإلهام هذه المشاركة!