2Aug

Mengapa Anda Tidak Harus Mengaktifkan Enkripsi "FIPS-compliant" pada Windows

Windows memiliki setting tersembunyi yang hanya akan mengaktifkan enkripsi "FIPS-compliant" yang disertifikasi oleh pemerintah. Ini mungkin terdengar seperti cara untuk meningkatkan keamanan PC Anda, tapi sebenarnya tidak. Anda seharusnya tidak mengaktifkan pengaturan ini kecuali jika Anda bekerja di pemerintahan atau perlu menguji bagaimana perangkat lunak akan berperilaku pada PC pemerintah.

Tweak ini sesuai dengan mitos tweaker Windows yang tidak berguna lainnya. Jika Anda sengaja menemukan setelan ini di Windows atau melihatnya disebutkan di tempat lain, jangan aktifkan. Jika Anda sudah mengaktifkannya tanpa alasan yang bagus, gunakan langkah-langkah di bawah ini untuk menonaktifkan "mode FIPS".

Apa itu Enkripsi FIPS-compliant?

FIPS singkatan dari "Standar Pengolahan Informasi Federal." Ini adalah seperangkat standar pemerintah yang menentukan bagaimana beberapa hal digunakan di pemerintah-misalnya, algoritma enkripsi. FIPS mendefinisikan metode enkripsi spesifik tertentu yang dapat digunakan, serta metode untuk menghasilkan kunci enkripsi. Ini diterbitkan oleh Institut Nasional Standar dan Teknologi, atau NIST.

Pengaturan pada Windows sesuai dengan standar pemerintah FIPS 140 AS.Ketika diaktifkan, itu memaksa Windows untuk hanya menggunakan skema enkripsi FIPS-divalidasi dan menyarankan aplikasi untuk melakukannya juga.

"FIPS mode" tidak membuat Windows lebih aman. Ini hanya memblokir akses ke skema kriptografi yang lebih baru yang belum divalidasi FIPS.Itu berarti tidak akan bisa menggunakan skema enkripsi baru, atau cara yang lebih cepat menggunakan skema enkripsi yang sama. Dengan kata lain, ini membuat komputer Anda lebih lambat, kurang fungsional, dan kurang dapat diandalkan .

Bagaimana Windows Berubah Berbeda Jika Anda Mengaktifkan Pengaturan Ini

Microsoft menjelaskan apa sebenarnya pengaturan ini di sebuah posting blog yang berjudul "Mengapa Kami Tidak Merekomendasikan" Mode FIPS "Lagi." Microsoft hanya merekomendasikan Anda menggunakan mode FIPS jika Anda harus melakukannya. Misalnya, jika Anda menggunakan komputer pemerintah AS, komputer tersebut seharusnya memiliki "mode FIPS" yang diaktifkan sesuai peraturan pemerintah sendiri. Tidak ada kasus nyata di mana Anda ingin mengaktifkannya di komputer pribadi Anda-kecuali jika Anda menguji bagaimana perangkat lunak Anda berperilaku di komputer pemerintah AS yang mengaktifkan setelan ini.

Pengaturan ini melakukan dua hal pada Windows itu sendiri. Ini memaksa Windows dan Windows hanya menggunakan kriptografi FIPS-divalidasi. Misalnya, layanan Schannel yang terpasang pada Windows tidak akan berfungsi dengan protokol SSL 2.0 dan 3.0 yang lebih tua, dan setidaknya memerlukan TLS 1.0.

Microsoft. NET framework juga akan memblokir akses ke algoritma yang tidak divalidasi FIPS.Kerangka. NET menawarkan beberapa algoritma yang berbeda untuk kebanyakan algoritma kriptografi, dan tidak semuanya bahkan telah diajukan untuk validasi. Sebagai contoh, Microsoft mencatat bahwa ada tiga versi berbeda dari algoritma hashing SHA256 di framework. NET.Yang tercepat belum diajukan untuk validasi, tapi harus sama amannya. Jadi memungkinkan FIPS mode baik akan mematahkan aplikasi NET yang menggunakan algoritma yang lebih efisien atau memaksa mereka untuk menggunakan algoritma yang kurang efisien dan menjadi lebih lambat.

Selain dua hal tersebut, memungkinkan mode FIPS merekomendasikan aplikasi yang hanya menggunakan enkripsi FIPS-validasi. Tapi itu tidak memaksa apapun. Aplikasi desktop Windows tradisional dapat memilih untuk menerapkan kode enkripsi apa pun yang mereka inginkan-bahkan enkripsi yang sangat rentan - atau tanpa enkripsi sama sekali. Mode FIPS tidak melakukan apapun ke aplikasi lain kecuali mereka mematuhi pengaturan ini.

Cara Nonaktifkan Mode FIPS( atau Aktifkan Ini, Jika Anda Milik)

Anda seharusnya tidak mengaktifkan pengaturan ini kecuali Anda menggunakan komputer pemerintah dan terpaksa melakukannya. Jika Anda mengaktifkan pengaturan ini, beberapa aplikasi konsumen mungkin benar-benar meminta Anda untuk menonaktifkan mode FIPS sehingga bisa berfungsi dengan baik.

Jika Anda perlu mengaktifkan atau menonaktifkan FIPS mode-mungkin Anda telah melihat pesan kesalahan setelah mengaktifkannya, Anda perlu menguji bagaimana perangkat lunak Anda akan berperilaku pada komputer dengan mode FIPS diaktifkan, atau Anda menggunakan komputer pemerintah danharus mengaktifkannya-Anda bisa melakukannya dengan beberapa cara. Mode FIPS hanya dapat diaktifkan bila terhubung ke jaringan tertentu, atau melalui pengaturan seluruh sistem yang akan selalu berlaku.

Untuk mengaktifkan mode FIPS hanya saat terhubung ke jaringan tertentu, lakukan langkah-langkah berikut:

  1. Buka jendela Control Panel.
  2. Klik "Lihat status jaringan dan tugas" di bawah Jaringan dan Internet.
  3. Klik "Ubah pengaturan adaptor."
  4. Klik kanan jaringan yang Anda inginkan untuk mengaktifkan FIPS dan pilih "Status."
  5. Klik tombol "Properti Nirkabel" di jendela Status Wi-Fi.
  6. Klik tab "Security" di jendela properties network.
  7. Klik tombol "Advanced settings".
  8. Mengaktifkan opsi "Aktifkan Standar Informasi Federal( FIPS) untuk jaringan ini" pilihan di bawah pengaturan 802.11.

Pengaturan ini juga dapat diubah secara sistem di editor kebijakan kelompok. Alat ini hanya tersedia di versi Windows, bukan versi Rumah Tangga, Enterprise, dan Pendidikan. Anda hanya dapat menggunakan editor kebijakan grup lokal untuk mengubah alat ini jika Anda menggunakan komputer yang tidak digabungkan ke domain yang mengelola setelan kebijakan grup komputer untuk Anda. Jika komputer Anda bergabung ke domain dan pengaturan kebijakan grup dikelola secara terpusat oleh organisasi Anda, Anda tidak akan dapat mengubahnya sendiri. Untuk mengubah pengaturan ini dalam Kebijakan Grup:

  1. Tekan Windows Key + R untuk membuka dialog Run.
  2. Ketik "gpedit.msc" ke kotak dialog Run( tanpa tanda petik) dan tekan Enter.
  3. Arahkan ke "Computer Configuration \ Windows Settings \ Security Settings \ Local Policies \ Security Options" di Group Policy Editor.
  4. Temukan "Sistem kriptografi: Gunakan algoritma FIPS yang sesuai untuk enkripsi, hashing, dan penandatanganan" pada panel kanan dan klik dua kali.
  5. Atur pengaturan ke "Disabled" dan klik "OK."
  6. Restart komputer.

Pada versi Windows di Windows, Anda masih dapat mengaktifkan atau menonaktifkan pengaturan FIPS melalui pengaturan registri. Untuk memeriksa apakah FIPS diaktifkan atau dinonaktifkan di registri, ikuti langkah-langkah berikut:

  1. Tekan Windows Key + R untuk membuka dialog Run.
  2. Ketik "regedit" ke kotak dialog Run( tanpa tanda petik) dan tekan Enter.
  3. Arahkan ke "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
  4. Lihatlah nilai "Diaktifkan" di panel sebelah kanan. Jika disetel ke "0", mode FIPS dinonaktifkan. Jika disetel ke "1", mode FIPS diaktifkan. Untuk mengubah pengaturan, klik dua kali nilai "Diaktifkan" dan setel ke "0" atau "1".
  5. Hidupkan ulang komputer.

Terima kasih kepada @SwiftOnSecurity di Twitter untuk menginspirasi posting ini!