Full Disk Encryption e FIPS

3

Mi è stato chiesto di scoprire cosa è necessario utilizzare BitLocker (o qualsiasi altro metodo / meccanismo FDE) in Windows 10 in "Modalità FIPS". Questo è al di fuori del mio ambito di competenza (e ho consigliato il cliente a questo fatto), ma mi sono sforzato di cercare di capirlo comunque. Ho letto molte informazioni negli ultimi giorni ma non riesco a trovare una risposta definitiva. Ho visto dei riferimenti all'utilizzo di BitLocker in "modalità FIPS" senza trovare alcuna informazione concreta (che potessi capire) su cosa questo significhi realmente. La mia domanda è questa:

È necessario abilitare l'impostazione dei criteri di sicurezza Crittografia di sistema: utilizzare algoritmi conformi a FIPS per crittografia, hashing e firma in modo che BitLocker (o qualsiasi altro metodo / meccanismo FDE) funzioni in " Modalità FIPS "?

    
posta joeqwerty 28.02.2017 - 05:50
fonte

2 risposte

3

FIPS è uno standard di sicurezza; è l'acronimo di Federal Information Processing Standard.

Se abiliti un'impostazione del criterio di sicurezza conforme a FIPS, potresti avere molte limitazioni:

  • BitLocker non consente la creazione o l'uso di una password di ripristino Lo standard lo vieta.
  • BitLocker rilascia le chiavi solo per essere memorizzate su unità flash USB
  • BitLocker Drive Encryption è attualmente supportato / limitato a versioni specifiche di Windows.
  • BitLocker offrirà solo metodi di convalida approvati FIPS
  • BitLocker funzionerà solo in modalità FIPS una volta completata la conversione del volume (crittografia) e il volume sarà completamente crittografato.

    In pratica, se vuoi essere conforme ai FIPS devi aver crittografato il volume, quindi eliminare la password di ripristino. Dovrai quindi utilizzare solo una delle 2 protezioni compatibili con FIPS: un agente di recupero dati o una chiave di ripristino per il volume. Inoltre, nel criterio di gruppo per FIPS, è possibile disabilitare la possibilità di creare password di ripristino.

Se lo fai, sei conforme FIPS e dovresti abilitare "Usa gli algoritmi FIPS compatibili per crittografia, hashing e firma". Se non è necessario essere conformi a FIPS, è possibile utilizzare Bitlocker bene e non è necessario limitare alcun problema.

Il criterio in sé non è un requisito perché è possibile configurare correttamente un sistema FIPS compatibile senza che sia attivo, dato che si seguono le linee guida di conformità FIPS. Ma senza quella politica potresti per errore (e con alta probabilità) configurare qualcosa che non è conforme a FIPS. La politica ti impedirà di farlo e filtrerà le tue scelte (riguardanti algoritmi, crittografia, ecc.) In modo che solo quelle conformi siano disponibili / visualizzate. Questo è il vero scopo di questo.

    
risposta data 28.02.2017 - 14:26
fonte
2

Se stai cercando di avere un sistema FIPS compatibile e sembra che tu sia, allora sì, devi abilitare questa impostazione. Il link che Bill ha fornito nel suo commento alla risposta di Overmind lo conferma. Le informazioni di Overmind non sono corrette poiché stai chiedendo di Windows 10, sembra che stia indirizzando Windows 7.

" Funzionalità introdotta in Windows Server 2012 R2 e Windows 8.1, consente a BitLocker di essere pienamente funzionante in modalità FIPS .... È possibile creare protezioni password di ripristino compatibili con FIPS quando Windows è in modalità FIPS. Queste protezioni utilizzano l'algoritmo FIPS 140 NIST SP800-132 . "- link

Informazioni su Windows 7 " Una password di ripristino BitLocker ha 48 cifre.Questa password viene utilizzata in un algoritmo di derivazione chiave che non è FIPS-compatibile. " - link

    
risposta data 17.08.2018 - 18:35
fonte

Leggi altre domande sui tag