Por que você não deve ativar a criptografia compatível com FIPS no Windows
O Windows tem uma configuração oculta que ativará somente a criptografia “compatível com FIPS” certificada pelo governo. Pode parecer uma maneira de aumentar a segurança do seu PC, mas não é. Você não deve ativar essa configuração a menos que trabalhe no governo ou precise testar como o software se comportará nos PCs do governo.
Este ajuste se encaixa bem ao lado de outros mitos inúteis do Windows. Se você se deparou com essa configuração no Windows ou a viu mencionada em outro lugar, não a habilite. Se você já o habilitou sem um bom motivo, use as etapas abaixo para desabilitar o “modo FIPS”.
O que é criptografia compatível com FIPS?
FIPS significa “Federal Information Processing Standards” (Padrões federais de processamento de informações). É um conjunto de padrões governamentais que definem como certas coisas são usadas no governo - por exemplo, algoritmos de criptografia. O FIPS define determinados métodos de criptografia específicos que podem ser usados, bem como métodos para gerar chaves de criptografia. É publicado pelo Instituto Nacional de Padrões e Tecnologia, ou NIST.
A configuração no Windows está em conformidade com o padrão FIPS 140 do governo dos EUA. Quando está habilitado, ele força o Windows a usar somente esquemas de criptografia validados pelo FIPS e aconselha os aplicativos a fazer isso, bem.
O “modo FIPS” não torna o Windows mais seguro. Apenas bloqueia o acesso a esquemas de criptografia mais recentes que não foram validados pelo FIPS. Isso significa que não será capaz de usar novos esquemas de criptografia ou maneiras mais rápidas de usar os mesmos esquemas de criptografia. Em outras palavras, isso torna o computador mais lento, menos funcional e indiscutivelmente Menos seguro.
Como o Windows se comporta de maneira diferente se você habilitar essa configuração
A Microsoft explica o que essa configuração realmente faz em uma postagem de blog intitulada “Por que não estamos recomendando o“ modo FIPS ”Anymore.” A Microsoft recomenda que você use o modo FIPS somente se for necessário. Por exemplo, se você estiver usando um computador do governo dos EUA, esse computador deve ter o "modo FIPS" habilitado de acordo com as próprias regulamentações do governo. Não há nenhum caso real em que você queira ativar isso em seu próprio computador pessoal, a menos que você esteja testando como seu software se comporta em computadores do governo dos EUA com essa configuração ativada..
Essa configuração faz duas coisas para o próprio Windows. Ele força os serviços do Windows e do Windows a usar somente criptografia validada por FIPS. Por exemplo, o serviço Schannel incorporado no Windows não funcionará com protocolos SSL 2.0 e 3.0 mais antigos e exigirá pelo menos TLS 1.0.
A estrutura .NET da Microsoft também bloqueará o acesso a algoritmos que não sejam validados pelo FIPS. O .NET framework oferece vários algoritmos diferentes para a maioria dos algoritmos de criptografia, e nem todos eles foram submetidos para validação. Como exemplo, a Microsoft observa que existem três versões diferentes do algoritmo hash SHA256 na estrutura .NET. O mais rápido não foi submetido para validação, mas deve ser tão seguro quanto. Assim, ativar o modo FIPS interromperá os aplicativos .NET que usam o algoritmo mais eficiente ou os forçará a usar o algoritmo menos eficiente e será mais lento.
Além dessas duas coisas, a ativação do modo FIPS recomenda aos aplicativos que eles também usem somente criptografia validada por FIPS. Mas isso não força mais nada. Os aplicativos tradicionais de área de trabalho do Windows podem optar por implementar qualquer código de criptografia desejado - até mesmo criptografia horrivelmente vulnerável - ou nenhuma criptografia. O modo FIPS não faz nada para outros aplicativos, a menos que eles obedeçam a essa configuração.
Como desativar o modo FIPS (ou habilitá-lo, se você precisar)
Você não deve ativar essa configuração, a menos que esteja usando um computador do governo e seja forçado a isso. Se você habilitar essa configuração, alguns aplicativos de consumidor podem realmente solicitar que você desative o modo FIPS para que eles possam funcionar corretamente.
Se você precisar ativar ou desativar o modo FIPS, talvez tenha visto uma mensagem de erro depois de ativada, você precisa testar como o software se comportará em um computador com o modo FIPS ativado ou se estiver usando um computador do governo e para habilitá-lo, você pode fazer isso de várias maneiras. O modo FIPS só pode ser ativado quando conectado a uma rede específica ou por meio de uma configuração em todo o sistema que sempre será aplicada.
Para ativar o modo FIPS somente quando conectado a uma rede específica, execute as seguintes etapas:
- Abra a janela do Painel de Controle.
- Clique em “Exibir o status e as tarefas da rede” em Rede e Internet..
- Clique em "Alterar as configurações do adaptador".
- Clique com o botão direito do mouse na rede para a qual você deseja ativar o FIPS e selecione "Status".
- Clique no botão "Wireless Properties" na janela de status do Wi-Fi.
- Clique na guia "Segurança" na janela de propriedades da rede.
- Clique no botão "Configurações avançadas".
- Alterne a opção “Ative a conformidade com FIPS (Federal Information Processing Standards) para esta rede” nas configurações 802.11.
Essa configuração também pode ser alterada em todo o sistema no editor de política de grupo. Essa ferramenta está disponível apenas nas versões Professional, Enterprise e Education das versões Windows não Home. Você só pode usar o editor de política de grupo local para alterar essa ferramenta se estiver em um computador que não esteja associado a um domínio que esteja gerenciando as configurações de política de grupo do seu computador. Se o seu computador tiver ingressado em um domínio e as configurações da política de grupo forem gerenciadas centralmente pela sua organização, você não poderá alterá-lo. Para alterar essa configuração na Diretiva de Grupo:
- Pressione a tecla Windows + R para abrir a caixa de diálogo Executar.
- Digite "gpedit.msc" na caixa de diálogo Executar (sem as aspas) e pressione Enter.
- Navegue até “Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Políticas Locais \ Opções de Segurança” no Editor de Diretiva de Grupo..
- Localize a configuração "Criptografia do sistema: Usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura" no painel direito e clique duas vezes nele.
- Defina a configuração como "Desativado" e clique em "OK".
- Reinicie o computador.
Nas versões iniciais do Windows, você ainda pode ativar ou desativar a configuração FIPS por meio de uma configuração de registro. Para verificar se o FIPS está ativado ou desativado no registro, siga as etapas a seguir:
- Pressione a tecla Windows + R para abrir a caixa de diálogo Executar.
- Digite “regedit” na caixa de diálogo Executar (sem as aspas) e pressione Enter.
- Navegue até “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \”.
- Observe o valor "Ativado" no painel direito. Se estiver definido como "0", o modo FIPS está desativado. Se estiver definido como “1”, o modo FIPS está ativado. Para alterar a configuração, clique duas vezes no valor "Ativado" e defina como "0" ou "1".
- Reinicie o computador.
Graças a @SwiftOnSecurity no Twitter por inspirar este post!