Mengapa Anda Tidak Harus Mengaktifkan Enkripsi "FIPS-compliant" di Windows

Windows memiliki pengaturan tersembunyi yang hanya akan mengaktifkan enkripsi "FIPS-compliant" yang bersertifikasi pemerintah. Ini mungkin terdengar seperti cara untuk meningkatkan keamanan PC Anda, tetapi sebenarnya tidak. Anda tidak boleh mengaktifkan pengaturan ini kecuali Anda bekerja di pemerintahan atau perlu menguji bagaimana perangkat lunak akan berperilaku pada PC pemerintah.

Tweak ini cocok dengan mitos tweaking Windows yang tidak berguna lainnya. Jika Anda tidak sengaja menemukan pengaturan ini di Windows atau melihatnya disebutkan di tempat lain, jangan aktifkan. Jika Anda sudah mengaktifkannya tanpa alasan yang kuat, gunakan langkah-langkah di bawah ini untuk menonaktifkan "mode FIPS".

Apa itu Enkripsi yang Sesuai dengan FIPS?

FIPS adalah singkatan dari "Standar Pemrosesan Informasi Federal." Ini adalah seperangkat standar pemerintah yang mendefinisikan bagaimana hal-hal tertentu digunakan dalam pemerintah-misalnya, algoritma enkripsi. FIPS mendefinisikan metode enkripsi spesifik tertentu yang dapat digunakan, serta metode untuk menghasilkan kunci enkripsi. Ini diterbitkan oleh Institut Nasional Standar dan Teknologi, atau NIST.

Pengaturan pada Windows mematuhi standar FIPS 140 dari pemerintah AS. Ketika diaktifkan, itu memaksa Windows untuk hanya menggunakan skema enkripsi FIPS-divalidasi dan menyarankan aplikasi untuk melakukannya, juga.

"Mode FIPS" tidak membuat Windows lebih aman. Itu hanya memblokir akses ke skema kriptografi yang lebih baru yang belum divalidasi FIPS. Itu berarti tidak akan dapat menggunakan skema enkripsi baru, atau cara yang lebih cepat menggunakan skema enkripsi yang sama. Dengan kata lain, itu membuat komputer Anda lebih lambat, kurang fungsional, dan bisa dibilang kurang aman.

Bagaimana Windows Berperilaku Berbeda Jika Anda Mengaktifkan Pengaturan Ini

Microsoft menjelaskan apa yang sebenarnya dilakukan pengaturan ini dalam posting blog berjudul "Mengapa Kami Tidak Merekomendasikan" Mode FIPS "Lagi." Microsoft hanya menyarankan Anda menggunakan mode FIPS jika Anda harus. Misalnya, jika Anda menggunakan komputer pemerintah AS, komputer itu seharusnya memiliki "mode FIPS" yang diaktifkan sesuai dengan peraturan pemerintah sendiri. Tidak ada kasus nyata di mana Anda ingin mengaktifkan ini di komputer pribadi Anda sendiri kecuali Anda menguji bagaimana perangkat lunak Anda berperilaku di komputer pemerintah AS dengan pengaturan ini diaktifkan.

Pengaturan ini melakukan dua hal ke Windows itu sendiri. Ini memaksa layanan Windows dan Windows untuk hanya menggunakan kriptografi yang divalidasi FIPS. Misalnya, layanan Schannel yang dibangun ke Windows tidak akan berfungsi dengan protokol SSL 2.0 dan 3.0 yang lebih lama, dan akan membutuhkan setidaknya TLS 1.0 sebagai gantinya.

Microsoft. NET framework juga akan memblokir akses ke algoritma yang tidak divalidasi oleh FIPS. Kerangka. NET menawarkan beberapa algoritma yang berbeda untuk kebanyakan algoritma kriptografi, dan tidak semuanya telah dikirim untuk validasi. Sebagai contoh, Microsoft mencatat bahwa ada tiga versi berbeda dari hashing algoritma SHA256 dalam kerangka .NET. Yang tercepat belum dikirim untuk validasi, tetapi harus aman. Sehingga memungkinkan mode FIPS akan memecah aplikasi .NET yang menggunakan algoritma yang lebih efisien atau memaksa mereka untuk menggunakan algoritma yang kurang efisien dan menjadi lebih lambat.

Selain dari dua hal tersebut, mengaktifkan mode FIPS merekomendasikan aplikasi yang mereka gunakan hanya enkripsi yang divalidasi FIPS juga. Tapi itu tidak memaksa yang lain. Aplikasi desktop Windows tradisional dapat memilih untuk mengimplementasikan kode enkripsi apa pun yang mereka inginkan-bahkan enkripsi yang sangat rentan-atau tidak ada enkripsi sama sekali. Mode FIPS tidak melakukan apa pun ke aplikasi lain kecuali mereka mematuhi pengaturan ini.

Cara Menonaktifkan Mode FIPS (atau Mengaktifkannya, Jika Anda Punya)

Anda seharusnya tidak mengaktifkan pengaturan ini kecuali Anda menggunakan komputer pemerintah dan dipaksa untuk melakukannya. Jika Anda mengaktifkan pengaturan ini, beberapa aplikasi konsumen mungkin benar-benar meminta Anda untuk menonaktifkan mode FIPS sehingga mereka dapat berfungsi dengan benar.

Jika Anda perlu mengaktifkan atau menonaktifkan mode FIPS-mungkin Anda telah melihat pesan kesalahan setelah Anda mengaktifkannya, Anda perlu menguji bagaimana perangkat lunak Anda akan berperilaku pada komputer dengan mode FIPS diaktifkan, atau Anda menggunakan komputer pemerintah dan memiliki untuk mengaktifkannya-Anda dapat melakukannya dengan beberapa cara. Mode FIPS hanya dapat diaktifkan ketika terhubung ke jaringan tertentu, atau melalui pengaturan seluruh sistem yang akan selalu berlaku.

Untuk mengaktifkan mode FIPS hanya ketika terhubung ke jaringan tertentu, lakukan langkah-langkah berikut:

1. Buka jendela Control Panel.
2. Klik "Lihat status jaringan dan tugas" di bawah Jaringan dan Internet.
3. Klik "Ubah pengaturan adaptor."
4. Klik kanan jaringan yang Anda inginkan untuk mengaktifkan FIPS dan pilih "Status."
5. Klik tombol "Wireless Properties" di jendela Status Wi-Fi.
6. Klik tab "Keamanan" di jendela properti jaringan.
7. Klik tombol "Pengaturan lanjutan".
8. Alihkan opsi "Aktifkan Pemrosesan Standar Informasi Federal (FIPS) untuk jaringan ini" di bawah pengaturan 802.11.

Pengaturan ini juga dapat diubah di seluruh sistem dalam editor kebijakan grup. Alat ini hanya tersedia di versi Profesional, Enterprise, dan Pendidikan versi Windows-bukan Beranda. Anda hanya dapat menggunakan editor kebijakan grup lokal untuk mengubah alat ini jika Anda berada di komputer yang tidak bergabung dengan domain yang mengelola pengaturan kebijakan grup komputer Anda untuk Anda. Jika komputer Anda bergabung dengan domain dan pengaturan kebijakan grup dikelola secara terpusat oleh organisasi Anda, Anda tidak akan dapat mengubahnya sendiri. Untuk mengubah pengaturan ini dalam Kebijakan Grup:

1. Tekan Tombol Windows + R untuk membuka dialog Run.
2. Ketik "gpedit.msc" ke dalam kotak dialog Run (tanpa tanda kutip) dan tekan Enter.
3. Arahkan ke "Konfigurasi Komputer \ Pengaturan Windows \ Pengaturan Keamanan \ Kebijakan Lokal \ Opsi Keamanan" di Editor Kebijakan Grup.
4. Temukan "Sistem kriptografi: Gunakan algoritma FIPS compliant untuk enkripsi, hashing, dan masuk" pengaturan di panel kanan dan klik dua kali.
5. Setel pengaturan ke "Nonaktif" dan klik "OK."
6. Nyalakan ulang komputernya.

Pada Windows versi rumah, Anda masih bisa mengaktifkan atau menonaktifkan pengaturan FIPS melalui pengaturan registri. Untuk memeriksa apakah FIPS diaktifkan atau dinonaktifkan di registri, ikuti langkah-langkah berikut:

1. Tekan Tombol Windows + R untuk membuka dialog Run.
2. Ketik "regedit" ke dalam kotak dialog Run (tanpa tanda kutip) dan tekan Enter.
3. Arahkan ke "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
4. Lihatlah nilai "Diaktifkan" di panel kanan. Jika diatur ke "0", mode FIPS dinonaktifkan. Jika diatur ke "1", mode FIPS diaktifkan. Untuk mengubah pengaturan, klik dua kali nilai "Diaktifkan" dan atur ke "0" atau "1".
5. Nyalakan ulang komputernya.

Terima kasih kepada @SwiftOnSecurity di Twitter untuk menginspirasi posting ini!