Microsoft nedoporučuje zapnutí režimu FIPS (FIPS mode)

Donedávna Microsoft jako součást šablon Microsoft Security Baseline doporučoval zapnutí režimu FIPS (FIPS mode) pro klientské a serverové systémy Windows.

Bezpečnost

 

Pokud jste studovali šablony Microsoft Security Baseline, víte, že režimu FIPS (FIPS mode) je doporučeno zapnout jak pro klientské Microsoft Windows, tak pro serverové systémy Microsoft Windows Server.

 

Co je FIPS režim (FIPS mode)?

FIPS mode je přepnutí režimu šifrování Windows, jeho součástí a dalších produktů do kryptografického standardu FIPS 140, definovaného National Institute of Standards and Technology (NIST). Jedná se o šifrovací algorytmus jako standard vlády USA a je požadován jako povinný pro všechny vládní úřady a organizace, včetně armády a tajných služeb.

Tento režim je striktní, to tedy znamená, že všechny algorytmy a protokoly, které nepodléhají schválení definici FIPS 140, jsou zakázány.

 

 

Možné potíže s FIPS řežimem

To však je zdrojem problémů pro většinu aplikací třetích stran, které s FIPS nepočítají a které používají současné standardy. Z pohledu běžných standardů je například aktuálně používaný protokol TLS ve verzi 1.3, z pohledu FIPS 140 je to TLS verze 1.0. Pokud je režim FIPS zapnut, musí systém a veškerý software používat standard z pohledu FIPS, tedy TLS 1.0.

Další problémy mohou být u aplikací napsaných v .NET Frameworku. Pokud aplikace nepodporuje režim FIPS a používá na tvrdo nějaký konkrétní šifrovací algorytmus, běhový engine .NET Frameworku to pozná a tuto akci aplikace ukončí. Při zapnutém režimu FIPS s aplikací, která jej nepodporuje a používá šifrování tedy hrozí, že nebude vůbec fungovat.

Zapnutí režimu FIPS je politika, definovaná v Group Policy, je to tedy technicky hodnota v registru. Některé aplikace nemusí toto zohledňovat a mohou fungovat dál bez ohledu, zda je FIPS režim zapnutý, či vypnutý.

Poznámka: Tento popis považujte za velmi stručný.

 

 

Závěr

Microsoft přímo neříká, že používání FIPS nedoporučuje, či zakazuje. Doporučení zní, pokud můžete, použití FIPS se vyhněte.

Zvláště pokud se bude jednat o server, který zajišťuje veřejně dostupné služby na internetu, může být zapnutý režim FIPS zdrojem potíží.

 

Odkazy

 

Michal Zobec

Michal Zobec Senior IT Consultant, Project Manager ZOBEC Consulting