Fips mode что это

USB-накопители Kingston с поддержкой шифрования соответствуют требованиям стандартов FIPS и одобрены для использования Национальным институтом стандартов и технологий США

Федеральные стандарты обработки информации (Federal Information Processing Standards, FIPS) – это государственные стандарты США для информационных технологий и компьютерной безопасности. Программа FIPS выполняется Национальным институтом стандартов (National Institute of Standards, NIST). FIPS 140 института NIST – это программа криптографического стандарта, используемая федеральным правительством США для защиты уязвимых данных. Все продукты, использующие криптографию и используемые в гражданских и военных федеральных органах США, должны соответствовать FIPS 140. Действующая версия FIPS — 140-3.

Получение подтверждения соответствия FIPS 140 требует процесса тщательного тестирования при помощи аккредитованной испытательной лаборатории. Результаты изучаются Национальным институтом стандартов и технологий (NIST), выпускающим сертификат соответствия FIPS 140. Посетить веб-сайт.

Почему не следует включать «FIPS-совместимое» шифрование в Windows

В Windows есть скрытый параметр, который позволяет использовать только сертифицированные государством «FIPS-совместимые». шифрование . Может показаться, что это способ повысить безопасность вашего компьютера, но это не так. Не следует включать этот параметр, если вы не работаете в правительстве или вам не нужно тестировать, как программное обеспечение будет вести себя на государственных компьютерах.

Этот твик подходит к другим бесполезные мифы о настройке Windows . Если вы наткнулись на этот параметр в Windows или видели, как он упоминается в другом месте, не включайте его. Если вы уже включили его без уважительной причины, выполните следующие действия, чтобы отключить «Режим FIPS».

Что такое шифрование по стандарту FIPS?

FIPS расшифровывается как «Федеральные стандарты обработки информации». Это набор государственных стандартов, которые определяют, как определенные вещи используются в правительстве, например, алгоритмы шифрования. FIPS определяет определенные конкретные методы шифрования, которые можно использовать, а также методы для генерации ключей шифрования. Он опубликован Национальным институтом стандартов и технологий (NIST).

Настройка в Windows соответствует стандарту правительства США FIPS 140. Когда он включен, он заставляет Windows использовать только схемы шифрования, проверенные FIPS, и также рекомендует делать это приложениям.

«Режим FIPS» не делает Windows более безопасной. Он просто блокирует доступ к новым схемам криптографии, которые не прошли проверку FIPS. Это означает, что он не сможет использовать новые схемы шифрования или более быстрые способы использования тех же схем шифрования. Другими словами, это делает ваш компьютер медленнее, менее функциональным и, возможно, Меньше безопасный.

Как Windows ведет себя по-другому, если вы включите этот параметр

Microsoft объясняет, что на самом деле делает этот параметр, в сообщении блога, озаглавленном « Почему мы больше не рекомендуем «режим FIPS» . » Microsoft рекомендует использовать режим FIPS только в случае необходимости. Например, если вы используете правительственный компьютер США, на этом компьютере должен быть включен «режим FIPS» в соответствии с собственными постановлениями правительства. Нет никакого реального случая, когда вы захотели бы включить это на своем собственном персональном компьютере — если только вы не тестировали, как ваше программное обеспечение ведет себя на компьютерах правительства США с этой включенной настройкой.

Этот параметр выполняет две функции с самой Windows. Он заставляет службы Windows и Windows использовать только шифрование, подтвержденное FIPS. Например, служба Schannel, встроенная в Windows, не будет работать со старыми протоколами SSL 2.0 и 3.0 и вместо этого потребует хотя бы TLS 1.0.

Платформа Microsoft .NET также блокирует доступ к алгоритмам, которые не прошли проверку FIPS. Платформа .NET предлагает несколько различных алгоритмов для большинства алгоритмов криптографии, и не все из них даже были отправлены на проверку. В качестве примера Microsoft отмечает, что в .NET framework есть три различных версии алгоритма хеширования SHA256. Самый быстрый из них не был отправлен на проверку, но должен быть таким же безопасным. Таким образом, включение режима FIPS либо нарушит работу приложений .NET, использующих более эффективный алгоритм, либо заставит их использовать менее эффективный алгоритм и работать медленнее.

Помимо этих двух вещей, включение режима FIPS рекомендует приложениям также использовать только шифрование с проверкой FIPS. Но больше ничего не заставляет. Традиционные настольные приложения Windows могут реализовать любой код шифрования, который они хотят, даже ужасно уязвимое шифрование, или вообще не использовать шифрование. Режим FIPS ничего не делает с другими приложениями, если они не подчиняются этому параметру.

Как отключить режим FIPS (или включить его, если необходимо)

Не следует включать этот параметр, если вы не используете правительственный компьютер и не будете вынуждены это сделать. Если вы включите этот параметр, некоторые потребительские приложения могут фактически попросить вас отключить режим FIPS, чтобы они могли работать правильно.

Если вам нужно включить или отключить режим FIPS — возможно, вы видели сообщение об ошибке после его включения, вам нужно проверить, как ваше программное обеспечение будет вести себя на компьютере с включенным режимом FIPS, или вы используете правительственный компьютер и чтобы включить его — вы можете сделать это несколькими способами. Режим FIPS можно включить только при подключении к определенной сети или с помощью общесистемной настройки, которая будет применяться всегда.

Чтобы включить режим FIPS только при подключении к определенной сети, выполните следующие действия:

1. Откройте окно панели управления.
2. Нажмите «Просмотр состояния сети и задач» в разделе «Сеть и Интернет».
3. Нажмите «Изменить настройки адаптера».
4. Щелкните правой кнопкой мыши сеть, для которой нужно включить FIPS, и выберите «Состояние».
5. Нажмите кнопку «Свойства беспроводной сети» в окне состояния Wi-Fi.
6. Щелкните вкладку «Безопасность» в окне свойств сети.
7. Нажмите кнопку «Дополнительные настройки».
8. Включите параметр «Включить соответствие федеральным стандартам обработки информации (FIPS) для этой сети» в настройках 802.11.

Этот параметр также можно изменить для всей системы в редакторе групповой политики. Этот инструмент доступен только в версиях Windows Professional, Enterprise и Education, но не в версиях Home. Вы можете использовать только редактор локальной групповой политики чтобы изменить этот инструмент, если вы работаете на компьютере, который не подключен к домену, который управляет настройками групповой политики вашего компьютера за вас. Если ваш компьютер присоединен к домену, а настройки групповой политики централизованно управляются вашей организацией, вы не сможете изменить их самостоятельно. Чтобы изменить этот параметр в групповой политике:

1. Нажмите Windows Key + R, чтобы открыть диалоговое окно «Выполнить».
2. Введите «gpedit.msc» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
3. Перейдите к «Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности» в редакторе групповой политики.
4. Найдите параметр «Системная криптография: использовать алгоритмы, совместимые с FIPS для шифрования, хеширования и подписи» на правой панели и дважды щелкните его.
5. Установите для параметра значение «Отключено» и нажмите «ОК».
6. Перезагрузите компьютер.

В домашних версиях Windows вы по-прежнему можете включать или отключать параметр FIPS через параметр реестра. Чтобы проверить, включен или отключен FIPS в реестре выполните следующие действия:

1. Нажмите Windows Key + R, чтобы открыть диалоговое окно «Выполнить».
2. Введите «regedit» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
3. Перейдите к «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \».
4. Посмотрите на значение «Включено» на правой панели. Если установлено значение «0», режим FIPS отключен. Если установлено значение «1», режим FIPS включен. Чтобы изменить настройку, дважды щелкните значение «Включено» и установите для него значение «0» или «1».
5. Перезагрузите компьютер.

Благодаря @SwiftOnSecurity в Твиттере за создание этого поста!

Почему вы не должны включать FIPS-совместимое шифрование в Windows

В Windows есть скрытый параметр, который включает только сертифицированное правительством «FIPS-совместимое» шифрование. Это может звучать как способ повысить безопасность вашего ПК, но это не так. Вам не следует включать этот параметр, если вы не работаете в правительстве или не хотите проверить, как программное обеспечение будет работать на государственных ПК.

Этот твик отлично сочетается с другими бесполезными мифами о настройке Windows. Если вы наткнулись на этот параметр в Windows или видели, что он упоминался в другом месте, не включайте его. Если вы уже включили его без уважительной причины, выполните следующие действия, чтобы отключить «Режим FIPS»..

Что такое FIPS-совместимое шифрование?

FIPS расшифровывается как «Федеральные стандарты обработки информации». Это набор государственных стандартов, которые определяют, как определенные вещи используются в правительстве, например, алгоритмы шифрования. FIPS определяет определенные конкретные методы шифрования, которые можно использовать, а также методы генерации ключей шифрования. Он публикуется Национальным институтом стандартов и технологий или NIST.

Настройка в Windows соответствует стандарту FIPS 140 правительства США. Когда он включен, он заставляет Windows использовать только схемы шифрования, проверенные FIPS, и рекомендует приложениям также.

«Режим FIPS» не делает Windows более безопасной. Он просто блокирует доступ к новым схемам криптографии, которые не прошли FIPS-проверку. Это означает, что он не сможет использовать новые схемы шифрования или более быстрые способы использования тех же схем шифрования. Другими словами, это делает ваш компьютер медленнее, менее функциональным и, возможно, Меньше безопасный.

Как Windows ведет себя по-другому, если вы включите этот параметр

Microsoft объясняет, что на самом деле делает этот параметр, в своем блоге, озаглавленном «Почему мы больше не рекомендуем« режим FIPS ».» Microsoft рекомендует использовать режим FIPS только в случае необходимости. Например, если вы используете компьютер правительства США, на этом компьютере должен быть включен «режим FIPS» в соответствии с собственными нормативными актами правительства. Нет реального случая, когда вы захотите включить это на своем персональном компьютере, если только вы не тестировали поведение своего программного обеспечения на компьютерах правительства США с включенным этим параметром..

Этот параметр делает две вещи для самой Windows. Это заставляет службы Windows и Windows использовать только проверенную FIPS криптографию. Например, служба Schannel, встроенная в Windows, не будет работать со старыми протоколами SSL 2.0 и 3.0, и вместо этого потребуется как минимум TLS 1.0.

Microsoft .NET Framework также будет блокировать доступ к алгоритмам, не прошедшим FIPS-проверку. .NET Framework предлагает несколько различных алгоритмов для большинства алгоритмов криптографии, и не все из них даже были представлены для проверки. В качестве примера Microsoft отмечает, что в .NET Framework есть три разные версии алгоритма хеширования SHA256. Самый быстрый из них не был представлен для проверки, но должен быть таким же безопасным. Таким образом, включение режима FIPS приведет к поломке приложений .NET, которые используют более эффективный алгоритм, или заставит их использовать менее эффективный алгоритм и будет медленнее..

Помимо этих двух вещей, включение режима FIPS рекомендует приложениям использовать только проверенное шифрование FIPS. Но это не заставляет больше ничего. Традиционные настольные приложения Windows могут выбрать любой код шифрования, какой пожелают, даже ужасно уязвимое, или вообще не шифровать. Режим FIPS ничего не делает с другими приложениями, если они не подчиняются этому параметру.

Как отключить режим FIPS (или включить его, если нужно)

Вам не следует включать этот параметр, если вы не используете государственный компьютер и не обязаны это делать. Если вы включите этот параметр, некоторые потребительские приложения могут фактически попросить вас отключить режим FIPS, чтобы они могли нормально работать.

Если вам нужно включить или отключить режим FIPS — возможно, вы увидели сообщение об ошибке после его включения, вам нужно проверить, как ваше программное обеспечение будет работать на компьютере с включенным режимом FIPS, или вы используете правительственный компьютер и имеете чтобы включить его — вы можете сделать это несколькими способами. Режим FIPS можно включить только при подключении к определенной сети или через общесистемный параметр, который всегда будет применяться.

Чтобы включить режим FIPS только при подключении к определенной сети, выполните следующие действия:

1. Откройте окно панели управления.
2. Нажмите «Просмотр состояния сети и задач» в разделе «Сеть и Интернет»..
3. Нажмите «Изменить настройки адаптера».
4. Щелкните правой кнопкой мыши сеть, для которой вы хотите включить FIPS, и выберите «Статус».
5. Нажмите кнопку «Свойства беспроводной сети» в окне статуса Wi-Fi..
6. Перейдите на вкладку «Безопасность» в окне свойств сети..
7. Нажмите кнопку «Дополнительные настройки».
8. Установите флажок «Включить соответствие федеральным стандартам обработки информации (FIPS) для этой сети» в настройках 802.11.

Этот параметр также можно изменить в масштабе всей системы в редакторе групповой политики. Этот инструмент доступен только в Профессиональной, Корпоративной и Образовательной версиях Windows-not Home. Вы можете использовать редактор локальной групповой политики только для изменения этого инструмента, если вы находитесь на компьютере, который не присоединен к домену, который управляет параметрами групповой политики вашего компьютера для вас. Если ваш компьютер присоединен к домену и параметры групповой политики централизованно управляются вашей организацией, вы не сможете изменить его самостоятельно. Чтобы изменить этот параметр в групповой политике:

1. Нажмите клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить».
2. Введите «gpedit.msc» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
3. Перейдите к «Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности» в редакторе групповой политики..
4. Найдите параметр «Системная криптография: используйте FIPS-совместимые алгоритмы для шифрования, хэширования и подписи» на правой панели и дважды щелкните его.
5. Установите параметр «Отключено» и нажмите «ОК».
6. Перезагрузите компьютер.

В домашних версиях Windows вы все равно можете включить или отключить параметр FIPS через параметр реестра. Чтобы проверить, включен или выключен FIPS в реестре, выполните следующие действия:

1. Нажмите клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить».
2. Введите «regedit» в диалоговом окне «Выполнить» (без кавычек) и нажмите Enter.
3. Перейдите к «HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \».
4. Посмотрите на значение «Включено» на правой панели. Если установлено значение «0», режим FIPS отключен. Если установлено значение «1», режим FIPS включен. Чтобы изменить настройку, дважды щелкните значение «Включено» и установите для него значение «0» или «1»..
5. Перезагрузите компьютер.

Спасибо @SwiftOnSecurity в Твиттере за вдохновение в этот пост!

How to Ubuntu

Возможна такая ситуация, в Windows 7 или 8 по сетевому кабелю интернет есть, по WiFi при отключенном сетевом кабеле — сеть без Интернета.
Если в свойствах беспроводного соединения, в закладке «Безопасность» тип безопасности WPA2, тип шифрования AES. Нужно проверить, там где кнопка «Дополнительные параметры», что флажок включен «Включить для этой сети режим совместимости с Федеральным стандартом обработки информации (FIPS)» (Enable Federal Information Processing Standards (FIPS) compliance for this network). Это позволяет указать, следует ли выполнять шифрование AES в режиме проверки подлинности FIPS 140-2. Стандарт FIPS 140-2 представляет собой государственный стандарт компьютерной безопасности в США, который определяет требования к разработке и реализации криптографических модулей. Windows 7, 8 сертифицирована по стандарту FIPS 140-2. Когда режим проверки сертификации FIPS 140-2 включен, Windows выполняет шифрование средствами AES программным путем, а не полагается на адаптер беспроводной сети.