Cifrado de disco completo y FIPS

Navega tus respuestas
3

Se me ha asignado la tarea de averiguar qué se requiere para usar BitLocker (o cualquier otro método / mecanismo FDE) en Windows 10 en "modo FIPS". Esto está fuera del ámbito de mi experiencia (y le he informado al cliente sobre este hecho), pero me he esforzado por intentar resolverlo de todos modos. He leído mucha información en los últimos días, pero no puedo encontrar una respuesta definitiva. He visto referencias al funcionamiento de BitLocker en "modo FIPS" sin encontrar ninguna información concreta (que pudiera entender) sobre lo que realmente significa. Mi pregunta es la siguiente:

¿Se requiere para habilitar la configuración de la política de seguridad? Criptografía del sistema: use algoritmos compatibles con FIPS para cifrado, hashing y firma para que BitLocker (o cualquier otro método / mecanismo FDE) opere en " Modo FIPS "?

    
pregunta joeqwerty 28.02.2017 - 05:50
fuente

2 respuestas

3

FIPS es un estándar de seguridad; significa estándar de procesamiento de información federal.

Si habilita una configuración de política de seguridad que es compatible con FIPS, puede tener muchas restricciones:

  • BitLocker no permitirá la creación o el uso de una contraseña de recuperación. El estándar prohíbe esto.
  • BitLocker solo liberará claves para ser almacenadas en unidades flash USB
  • BitLocker Drive Encryption es actualmente compatible / restringido a versiones específicas de Windows.
  • BitLocker solo ofrecerá métodos de validación aprobados por FIPS

  • BitLocker solo funcionará en su modo FIPS una vez que se haya completado la conversión de volumen (encriptación) y el volumen esté completamente encriptado.

    En la práctica, si desea ser compatible con FIPS tiene que haber cifrado el volumen, luego deshágase de la contraseña de recuperación. A continuación, deberá usar solo uno de los 2 protectores que cumplen con FIPS: un agente de recuperación de datos o una clave de recuperación para el volumen. Además, en la política de grupo para FIPS, puede desactivar la posibilidad de creación de contraseñas de recuperación.

Si hace lo anterior, es compatible con FIPS y debe habilitar "Usar algoritmos compatibles con FIPS para cifrado, hashing y firma". Si no necesita ser compatible con FIPS, puede usar Bitlocker bien y no necesita restringir nada relacionado.

La política en sí no es un requisito porque podría configurar correctamente un sistema compatible con FIPS sin que esté activo, dado que sigue las pautas de cumplimiento de FIPS. Pero sin esa política, podría por error (y con alta probabilidad) configurar algo que no cumpla con FIPS. La política le impedirá hacerlo y filtrará sus opciones (con respecto a los algoritmos, el cifrado, etc.), de modo que solo estarán disponibles / se mostrarán los que cumplan con los requisitos. Ese es el propósito real de esto.

    
respondido por el Overmind 28.02.2017 - 14:26
fuente
2

Si desea tener un sistema compatible con FIPS, y parece que sí, entonces sí, debe habilitar esta configuración. El enlace que Bill proporcionó en su comentario a la respuesta de Overmind lo confirma. La información de Overmind es incorrecta ya que está preguntando acerca de Windows 10, parece que se está dirigiendo a Windows 7.

" La funcionalidad introducida en Windows Server 2012 R2 y Windows 8.1 permite que BitLocker sea completamente funcional en el modo FIPS ... Se pueden crear protectores de contraseña de recuperación compatibles con FIPS cuando Windows está en el modo FIPS. Estos protectores utilizan el algoritmo FIPS 140 NIST SP800-132 . "- enlace

Con respecto a Windows 7 " Una contraseña de recuperación de BitLocker tiene 48 dígitos. Esta contraseña se usa en un algoritmo de derivación de claves que no es compatible con FIPS. " - enlace

    
respondido por el pj123098 17.08.2018 - 18:35
fuente

Lea otras preguntas en las etiquetas

ssh-keygen no imprimirá el símbolo '=' en sha256 de pubkey, pero python lo hará ¿Por qué una cookie no persiste en diferentes máquinas?