it.phhsnews.com


it.phhsnews.com / Perché non si dovrebbe abilitare la crittografia "FIPS-compatibile" su Windows

Perché non si dovrebbe abilitare la crittografia "FIPS-compatibile" su Windows


Windows ha un'impostazione nascosta che abiliterà solo la crittografia "FIPS-compliant" certificata dal governo. Potrebbe sembrare un modo per aumentare la sicurezza del PC, ma non lo è. Non dovresti abilitare questa impostazione a meno che non lavori nel governo o hai bisogno di testare come si comporterà il software sui PC governativi.

Questo tweak si adatta a fianco di altri inutili miti di Windows. Se ti sei imbattuto in questa impostazione in Windows o se ne hai accennato altrove, non abilitarlo. Se l'hai già abilitato senza una buona ragione, utilizza i passaggi seguenti per disabilitare la "Modalità FIPS".

Cos'è la crittografia conforme a FIPS?

CORRELATA: 10 Windows Myths sfasato

Supporti FIPS per "Federal Information Processing Standards". È un insieme di standard governativi che definiscono il modo in cui certe cose vengono utilizzate nel governo, ad esempio gli algoritmi di crittografia. FIPS definisce determinati metodi di crittografia specifici che possono essere utilizzati, nonché metodi per generare chiavi di crittografia. È pubblicato dal National Institute of Standards and Technology, o NIST.

L'impostazione in Windows è conforme allo standard FIPS 140 del governo degli Stati Uniti. Quando è abilitato, obbliga Windows a utilizzare solo schemi di crittografia convalidati da FIPS e consiglia anche alle applicazioni di farlo.

"Modalità FIPS" non rende Windows più sicuro. Blocca semplicemente l'accesso a nuovi schemi di crittografia che non sono stati convalidati da FIPS. Ciò significa che non sarà in grado di utilizzare nuovi schemi di crittografia o modi più veloci di utilizzare gli stessi schemi di crittografia. In altre parole, rende il tuo computer più lento, meno funzionale e probabilmente meno sicuro.

Come funziona Windows in modo diverso se attivi questa impostazione

Microsoft spiega cosa questa impostazione effettivamente fa in un post sul blog intitolato "Perché non stiamo raccomandando" Modalità FIPS "Anymore." Microsoft consiglia di utilizzare la modalità FIPS solo se necessario. Ad esempio, se si utilizza un computer del governo degli Stati Uniti, si suppone che il computer abbia la "modalità FIPS" abilitata in base ai regolamenti del governo stesso. Non esiste un vero caso in cui desideri attivare questa opzione sul tuo personal computer, a meno che tu non stia testando il comportamento del tuo software sui computer dei governi degli Stati Uniti con questa impostazione abilitata.

Questa impostazione fa due cose per Windows. Costringe i servizi Windows e Windows a utilizzare solo la crittografia convalidata da FIPS. Ad esempio, il servizio Schannel integrato in Windows non funzionerà con i precedenti protocolli SSL 2.0 e 3.0 e richiederà almeno TLS 1.0.

Il framework .NET di Microsoft bloccherà anche l'accesso ad algoritmi che non sono convalidati da FIPS . Il framework .NET offre diversi algoritmi per la maggior parte degli algoritmi di crittografia e non tutti sono stati inviati per la convalida. Ad esempio, Microsoft nota che ci sono tre diverse versioni dell'algoritmo di hash SHA256 nel framework .NET. Il più veloce non è stato presentato per la convalida, ma dovrebbe essere altrettanto sicuro. Quindi abilitare la modalità FIPS interromperà le applicazioni .NET che utilizzano l'algoritmo più efficiente o le imporrà per usare l'algoritmo meno efficiente e sarà più lento.

Oltre a queste due cose, la modalità FIPS consiglia alle applicazioni che usano solo FIPS- crittografia convalidata, anche. Ma non costringe altro. Le tradizionali applicazioni desktop di Windows possono scegliere di implementare qualsiasi codice di crittografia che desiderano, anche crittografia orribilmente vulnerabile o nessuna crittografia. La modalità FIPS non fa nulla ad altre applicazioni se non obbediscono a questa impostazione.

Come disabilitare la modalità FIPS (o abilitarlo, se necessario)

Non si dovrebbe abilitare questa impostazione a meno che non si stia utilizzando una computer governativo e sono costretti a. Se abiliti questa impostazione, alcune applicazioni consumer potrebbero chiederti di disabilitare la modalità FIPS in modo che possano funzionare correttamente.

Se hai bisogno di abilitare o disabilitare la modalità FIPS, forse hai visto un messaggio di errore dopo averlo abilitato, è necessario testare come il tuo software si comporterà su un computer con la modalità FIPS abilitata, o stai utilizzando un computer governativo e devi abilitarlo, puoi farlo in vari modi. La modalità FIPS può essere abilitata solo quando si è collegati a una rete specifica o tramite un'impostazione a livello di sistema che verrà sempre applicata.

Per abilitare la modalità FIPS solo quando si è connessi a una rete specifica, effettuare le seguenti operazioni:

  1. Aprire la finestra del pannello di controllo.
  2. Fare clic su "Visualizza stato e attività di rete" in Rete e Internet.
  3. Fare clic su "Modifica impostazioni adattatore . "
  4. Fare clic con il pulsante destro del mouse sulla rete per cui si desidera abilitare FIPS e selezionare" Stato ".
  5. Fare clic sul pulsante" Proprietà wireless "nella finestra Stato Wi-Fi.
  6. Fare clic sulla scheda" Protezione "in la finestra delle proprietà di rete.
  7. Fare clic sul pulsante "Impostazioni avanzate".
  8. Attiva o disattiva l'opzione "Abilita conformità FIPS (Federal Information Processing Standards) per questa rete" nelle impostazioni 802.11.

Questa impostazione può anche essere modificata a livello intero nell'editor della politica di gruppo. Questo strumento è disponibile solo nelle versioni Professional, Enterprise e Education di Windows, non nelle versioni Home. È possibile utilizzare l'editor di criteri di gruppo locale solo per modificare questo strumento se ci si trova su un computer non collegato a un dominio che gestisce le impostazioni dei criteri di gruppo del computer. Se il tuo computer è collegato a un dominio e le impostazioni dei criteri di gruppo sono gestite centralmente dalla tua organizzazione, non sarai in grado di modificarlo da solo. Per modificare questa impostazione in Criteri di gruppo:

  1. Premere il tasto Windows + R per aprire la finestra di dialogo Esegui.
  2. Digitare "gpedit.msc" nella finestra di dialogo Esegui (senza virgolette) e premere Invio.
  3. Passare a "Configurazione computer Impostazioni di Windows Impostazioni di protezione Criteri locali Opzioni di sicurezza" nell'Editor criteri di gruppo.
  4. Individuare l'impostazione "Crittografia di sistema: Utilizza algoritmi FIPS per crittografia, hashing e firma" nel riquadro destro e doppio -clicarlo.
  5. Impostare l'impostazione su "Disabilitato" e fare clic su "OK".
  6. Riavvia il computer.

Nelle versioni Home di Windows, è comunque possibile abilitare o disabilitare l'impostazione FIPS tramite un'impostazione di registro. Per verificare se FIPS è abilitato o disabilitato nel registro, attenersi alla seguente procedura:

  1. Premere il tasto Windows + R per aprire la finestra di dialogo Esegui.
  2. Digitare "regedit" nella finestra di dialogo Esegui (senza virgolette) e premere Invio.
  3. Passare a "HKEY_LOCAL_MACHINE System CurrentControlSet Control Lsa FipsAlgorithmPolicy ".
  4. Esaminare il valore "Abilitato" nel riquadro di destra. Se è impostato su "0", la modalità FIPS è disabilitata. Se è impostato su "1", la modalità FIPS è abilitata. Per modificare l'impostazione, fai doppio clic sul valore "Abilitato" e impostalo su "0" o "1".
  5. Riavvia il computer.


Grazie a @SwiftOnSecurity su Twitter per ispirare questo post!


Come vedere quando un messaggio di testo è stato inviato sul tuo iPhone

Come vedere quando un messaggio di testo è stato inviato sul tuo iPhone

Per impostazione predefinita, l'app Messaggi di iPhone mostra la data e l'ora del primo messaggio in un dato giorno, ma non per ogni messaggio inviato e ricevuto. Tuttavia, l'ora esatta in cui ogni messaggio è stato inviato è nascosto, ma c'è un modo semplice per mostrare tutti i timestamp esatti. Nello screenshot qui sotto, nota la data e l'ora nella parte superiore di un gruppo di messaggi.

(how-to)

Perché sono entusiasta di Windows 10 (e dovresti essere anche tu)

Perché sono entusiasta di Windows 10 (e dovresti essere anche tu)

Windows 10 si preannuncia davvero molto bello. L'ho eseguito come sistema operativo principale sul mio Surface Pro 3 dall'inizio di aprile (versione 10041), e mi sto davvero eccitando per il prodotto finale. Microsoft ha preso le cose che hanno funzionato con Windows 8.1, il cose che ci siamo persi da Windows 7 e alcune delle migliori funzionalità di Windows Phone e le abbiamo rotolate nel loro nuovo sistema operativo.

(how-to)