Windows 10 FIPS140 Bitlocker senza utilizzare la politica di crittografia di sistema

1

Disponiamo di un'app che utilizza chiamate System.Cryptography conformi a Non FIPS AES256. La mia domanda è, può Bitlocker essere compatibile con FIPS140 su un PC, ma non è necessario l'algoritmo FIPS impostato per le chiamate .NET?

Per il governo degli Stati Uniti (VA), ci viene detto che è necessario il criterio abilitato per FIPS, Policy Editor - > Impostazioni di sicurezza - > Politiche locali - > Opzioni di sicurezza - > Crittografia di sistema: utilizza l'algoritmo conforme FIPS ... abilitato. (Ci viene anche detto che questo coincide con: Impostare il valore Abilitato su 1 in HKLM \ System \ CurrentControlSet \ Control \ Lsa \ FIPSAlgorithmPolicy, che è ciò che sta facendo l'immagine del PC.)

La buona notizia è che questo cambia la configurazione di Bitlocker in modo che le password di recupero non vengano create o sottoposte a backup.

La cattiva notizia è che le chiamate .NET ad API non FIPS conformi comportano un'eccezione: " Questa implementazione non fa parte degli algoritmi di crittografia convalidati FIPS della piattaforma Windows.  Stack: a System.Security.Cryptography.AesManaged..ctor () "Potrebbe non essere così complicato da refactoring, ma questo in realtà è il codice API del fornitore, quindi dobbiamo sistemare con loro per ricodificare.

L'ho esaminato alcune volte.
link

Oltre a questo: link

    
posta Ben Butzer 10.07.2017 - 15:15
fonte

1 risposta

1

In definitiva, abbiamo cambiato l'app. Abbiamo cambiato il codice dell'app per utilizzare AesCryptoServiceProvider per sostituire AesManaged che stavamo usando. AesCryptoServiceProvider utilizza il CryptoAPI di Windows sottostante per eseguire la crittografia. AesManaged esegue la crittografia in puro codice gestito. I vantaggi dell'utilizzo di AesCryptoServiceProvider includono la possibilità di una maggiore velocità e il fatto che CryptoAPI è certificato FIPS (AesManaged non lo è, ed è la fonte del crash). Una volta che Windows 10 ha il criterio di crittografia FIPS, le vecchie chiamate di crittografia vengono bloccate in .NET. Si è discusso molto sulla necessità o meno della crittografia a livello di app e nessuno potrebbe essere bloccato. La risposta che probabilmente soddisferebbe i revisori sarebbe: "Se non l'hai mai avuto prima e ora il Bitlocker FIPS140 è abilitato, sei coperto: se prima avevi la crittografia a livello di app, devi sostituirla con una crittografia compatibile compatibile". Nota a margine, abbiamo verificato che AesCryptoServiceProvider può decodificare la crittografia AesManaged e viceversa.

    
risposta data 12.04.2018 - 23:44
fonte

Leggi altre domande sui tag