क्यों आप विंडोज पर FIPS-आज्ञाकारी एन्क्रिप्शन सक्षम नहीं होना चाहिए

विंडोज में एक छिपी हुई सेटिंग है जो केवल सरकार द्वारा प्रमाणित "FIPS-अनुपालन" एन्क्रिप्शन को सक्षम करेगी। यह आपके पीसी की सुरक्षा को बढ़ावा देने के तरीके की तरह लग सकता है, लेकिन ऐसा नहीं है। जब तक आप सरकार में काम नहीं करते हैं या आपको यह जांचने की आवश्यकता नहीं होती है कि सरकारी पीसी पर सॉफ्टवेयर कैसे व्यवहार करेगा.

यह ट्विक अन्य बेकार विंडोज के साथ मिथकों को समेटे हुए है। यदि आपने विंडोज में इस सेटिंग को ठोकर खाया है या इसे कहीं और उल्लेख किया है, तो इसे सक्षम न करें। यदि आपने पहले ही इसे बिना किसी कारण के सक्षम कर लिया है, तो "FIPS मोड" को अक्षम करने के लिए नीचे दिए गए चरणों का उपयोग करें.

क्या संक्षिप्त अनुपालन एन्क्रिप्शन है?

FIPS "संघीय सूचना प्रसंस्करण मानकों" के लिए खड़ा है। यह सरकार के मानकों का एक सेट है जो परिभाषित करता है कि सरकार में कुछ चीजों का उपयोग कैसे किया जाता है-उदाहरण के लिए, एन्क्रिप्शन हथियार। FIPS कुछ विशिष्ट एन्क्रिप्शन विधियों को परिभाषित करता है, जिनका उपयोग किया जा सकता है, साथ ही एन्क्रिप्शन कुंजी बनाने के लिए तरीके भी। यह राष्ट्रीय मानक और प्रौद्योगिकी संस्थान, या NIST द्वारा प्रकाशित किया जाता है.

विंडोज में सेटिंग अमेरिकी सरकार के 140 मानक मानक का अनुपालन करती है। जब यह सक्षम हो जाता है, तो यह विंडोज़ को केवल स्वीकृत-मान्य एन्क्रिप्शन योजनाओं का उपयोग करने के लिए मजबूर करता है और अनुप्रयोगों को ऐसा करने की सलाह देता है.

"FIPS मोड" विंडोज को अधिक सुरक्षित नहीं बनाता है। यह सिर्फ नई क्रिप्टोग्राफी योजनाओं तक पहुंच को अवरुद्ध करता है जो कि FIPS-मान्य नहीं हैं। इसका मतलब है कि यह नई एन्क्रिप्शन स्कीमों का उपयोग करने में सक्षम नहीं होगा, या समान एन्क्रिप्शन स्कीमों का उपयोग करने के तेज़ तरीके। दूसरे शब्दों में, यह आपके कंप्यूटर को धीमा, कम कार्यात्मक और यकीनन बनाता है कम से सुरक्षित.

यदि आप इस सेटिंग को सक्षम करते हैं तो Windows भिन्न रूप से कैसे व्यवहार करता है

Microsoft समझाता है कि यह सेटिंग वास्तव में एक ब्लॉग पोस्ट में शीर्षक देती है जिसका शीर्षक है "व्हाई वी आर नॉट रिकमेंडिंग" केंट मोड "अनिमोर।" Microsoft आपको केवल अगर आप करना है, तो आप FIPS मोड का उपयोग करने की सलाह देते हैं। उदाहरण के लिए, यदि आप अमेरिकी सरकार के कंप्यूटर का उपयोग कर रहे हैं, तो उस कंप्यूटर को सरकार के स्वयं के नियमों के अनुसार "FIPS मोड" सक्षम होना चाहिए। कोई वास्तविक मामला नहीं है जहां आप इसे अपने निजी कंप्यूटर पर सक्षम करना चाहते हैं-जब तक कि आप परीक्षण नहीं कर रहे थे कि आपका सॉफ्टवेयर अमेरिकी सरकार के कंप्यूटरों पर इस तरह से सक्षम कैसे व्यवहार करता है.

यह सेटिंग विंडोज को ही दो काम करती है। यह विंडोज और विंडोज सेवाओं को केवल FIPS-मान्य क्रिप्टोग्राफी का उपयोग करने के लिए मजबूर करता है। उदाहरण के लिए, Windows में निर्मित Schannel सेवा पुराने SSL 2.0 और 3.0 प्रोटोकॉल के साथ काम नहीं करेगी, और इसके बजाय कम से कम TLS 1.0 की आवश्यकता होगी.

Microsoft का .NET फ्रेमवर्क एल्गोरिदम तक पहुंच को अवरुद्ध कर देगा जो कि FIPS-मान्य नहीं हैं। .NET फ्रेमवर्क अधिकांश क्रिप्टोग्राफी एल्गोरिदम के लिए कई अलग-अलग एल्गोरिदम प्रदान करता है, और उन सभी को सत्यापन के लिए भी प्रस्तुत नहीं किया गया है। एक उदाहरण के रूप में, Microsoft नोट करता है कि .NET फ्रेमवर्क में SHA256 हैशिंग एल्गोरिथ्म के तीन अलग-अलग संस्करण हैं। सबसे तेज़ को सत्यापन के लिए प्रस्तुत नहीं किया गया है, लेकिन यह उतना ही सुरक्षित होना चाहिए। तो FIPS मोड को सक्षम करने से या तो .NET अनुप्रयोगों को तोड़ दिया जाएगा जो अधिक कुशल एल्गोरिथ्म का उपयोग करते हैं या उन्हें कम कुशल एल्गोरिदम का उपयोग करने के लिए मजबूर करते हैं और धीमे होते हैं.

उन दो चीजों के अलावा, FIPS मोड को सक्षम करने से उन अनुप्रयोगों के लिए अनुशंसा की जाती है जो वे केवल FIPS-मान्य एन्क्रिप्शन का उपयोग करते हैं। लेकिन यह कुछ और करने के लिए मजबूर नहीं करता है। पारंपरिक विंडोज डेस्कटॉप अनुप्रयोग वे चाहते हैं कि किसी भी एन्क्रिप्शन कोड को लागू करने का चयन कर सकते हैं-यहां तक ​​कि भयानक रूप से कमजोर एन्क्रिप्शन या बिल्कुल भी एन्क्रिप्शन नहीं। जब तक वे इस सेटिंग को नहीं मानते तब तक अन्य मोड के लिए कुछ भी नहीं किया जाता है.

दान मोड को अक्षम कैसे करें (या इसे सक्षम करें, यदि आपके पास है)

जब तक आप सरकारी कंप्यूटर का उपयोग नहीं करते और आपको मजबूर किया जाता है, तब तक आपको इस सेटिंग को सक्षम नहीं करना चाहिए। यदि आप इस सेटिंग को सक्षम करते हैं, तो कुछ उपभोक्ता एप्लिकेशन आपको वास्तव में FIPS मोड को अक्षम करने के लिए कह सकते हैं ताकि वे ठीक से काम कर सकें.

यदि आपको FIPS मोड को सक्षम या अक्षम करने की आवश्यकता है-हो सकता है कि आपने इसे सक्षम करने के बाद एक त्रुटि संदेश देखा हो, तो आपको यह परीक्षण करने की आवश्यकता है कि आपका सॉफ़्टवेयर सक्षम कंप्यूटर के साथ कैसा व्यवहार करेगा, या आप सरकारी कंप्यूटर का उपयोग कर रहे हैं और आपके पास है इसे सक्षम करने के लिए-आप कई तरीकों से ऐसा कर सकते हैं। किसी विशिष्ट नेटवर्क से कनेक्ट होने पर, या सिस्टम-वाइड सेटिंग के माध्यम से केवल तभी मोड सक्रिय किया जा सकता है जो हमेशा लागू होगा.

केवल किसी विशिष्ट नेटवर्क से कनेक्ट होने पर FIPS मोड को सक्षम करने के लिए, निम्न चरणों का पालन करें:

1. नियंत्रण कक्ष विंडो खोलें.
2. नेटवर्क और इंटरनेट के तहत "नेटवर्क स्थिति और कार्य देखें" पर क्लिक करें.
3. "एडेप्टर सेटिंग्स बदलें" पर क्लिक करें।
4. जिस नेटवर्क को आप सक्षम करना चाहते हैं उसके लिए राइट-क्लिक करें और "स्थिति" चुनें।
5. वाई-फाई स्थिति विंडो में "वायरलेस गुण" बटन पर क्लिक करें.
6. नेटवर्क गुण विंडो में "सुरक्षा" टैब पर क्लिक करें.
7. "उन्नत सेटिंग्स" बटन पर क्लिक करें.
8. 802.11 सेटिंग्स के तहत "इस नेटवर्क के लिए संघीय सूचना प्रसंस्करण मानक (FIPS) अनुपालन सक्षम करें" को टॉगल करें.

समूह नीति संपादक में इस सेटिंग को सिस्टम-वाइड भी बदला जा सकता है। यह टूल केवल विंडोज के प्रोफेशनल, एंटरप्राइज और एजुकेशन वर्जन पर उपलब्ध है, न कि होम वर्जन में। आप इस उपकरण को बदलने के लिए केवल स्थानीय समूह नीति संपादक का उपयोग कर सकते हैं यदि आप एक ऐसे कंप्यूटर पर हैं, जो आपके डोमेन के लिए आपके कंप्यूटर की समूह नीति सेटिंग्स को प्रबंधित करने वाले डोमेन में शामिल नहीं हुआ है। यदि आपका कंप्यूटर एक डोमेन में शामिल हो गया है और समूह नीति सेटिंग्स आपके संगठन द्वारा केंद्रीय रूप से प्रबंधित की जाती हैं, तो आप इसे स्वयं नहीं बदल पाएंगे। समूह नीति में इस सेटिंग को बदलने के लिए:

1. रन डायलॉग खोलने के लिए विंडोज की + आर दबाएँ.
2. रन डायलॉग बॉक्स (उद्धरण चिह्नों के बिना) में "gpedit.msc" टाइप करें और एंटर दबाएं.
3. समूह नीति संपादक में "कंप्यूटर कॉन्फ़िगरेशन \ Windows सेटिंग्स \ सुरक्षा सेटिंग्स \ स्थानीय नीतियों \ सुरक्षा विकल्प" पर नेविगेट करें.
4. "सिस्टम क्रिप्टोग्राफ़ी: लोकेटर कंप्लायंट एल्गोरिदम इनक्रिप्शन, हैशिंग और साइनिंग के लिए" सही पैन में सेटिंग का उपयोग करें और इसे डबल-क्लिक करें।.
5. सेटिंग को "अक्षम" पर सेट करें और "ओके" पर क्लिक करें।
6. कंप्यूटर को पुनरारंभ.

विंडोज के होम संस्करणों पर, आप अभी भी रजिस्ट्री सेटिंग के माध्यम से FIPS सेटिंग को सक्षम या अक्षम कर सकते हैं। यह देखने के लिए कि रजिस्ट्री में FIPS सक्षम है या अक्षम है, निम्न चरणों का पालन करें:

1. रन डायलॉग खोलने के लिए विंडोज की + आर दबाएँ.
2. रन डायलॉग बॉक्स (उद्धरण चिह्नों के बिना) में “regedit” टाइप करें और Enter दबाएँ.
3. "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \" पर नेविगेट करें.
4. दाएँ फलक में "सक्षम" मान देखें। यदि यह "0" पर सेट है, तो FIPS मोड अक्षम है। यदि यह "1" पर सेट है, तो FIPS मोड सक्षम है। सेटिंग बदलने के लिए, "सक्षम" मान को डबल-क्लिक करें और इसे "0" या "1" पर सेट करें।.
5. कंप्यूटर को पुनरारंभ.

इस पोस्ट को प्रेरित करने के लिए ट्विटर पर @SwiftOnSecurity का धन्यवाद!