Windows'ta “FIPS Uyumlu” Şifrelemeyi Neden Etkinleştirmemelisiniz?

Windows, yalnızca devlet onaylı “FIPS uyumlu” şifrelemeyi etkinleştirecek gizli bir ayara sahiptir. Bilgisayarınızın güvenliğini artırmak için bir yol gibi gelebilir, ama değil. Devlette çalışmadığınız veya yazılımın devlet PC'lerinde nasıl davranacağını test etmeniz gerekmedikçe bu ayarı etkinleştirmemelisiniz.

Bu ince ayar, diğer gereksiz Windows ince ayar mitlerinin yanı sıra uyuyor. Windows'ta bu ayarda tökezlediyseniz veya başka bir yerde bahsettiğini gördüyseniz, etkinleştirmeyin. Zaten iyi bir neden olmadan etkinleştirmişseniz, “FIPS modunu” devre dışı bırakmak için aşağıdaki adımları kullanın..

FIPS uyumlu Şifreleme Nedir??

FIPS, “Federal Bilgi İşleme Standartları” anlamına gelir. Devlette bazı şeylerin nasıl kullanıldığını tanımlayan bir dizi devlet standardıdır - örneğin şifreleme algoritmaları. FIPS, kullanılabilecek belirli şifreleme yöntemlerinin yanı sıra şifreleme anahtarları oluşturma yöntemlerini de tanımlar. Ulusal Standartlar ve Teknoloji Enstitüsü veya NIST tarafından yayınlanmaktadır..

Windows'taki ayar ABD hükümeti FIPS 140 standardına uygundur. Etkinleştirildiğinde, Windows'u yalnızca FIPS onaylı şifreleme şemaları kullanmaya zorlar ve uygulamaların da yapmasını önerir..

“FIPS modu” Windows'u daha güvenli yapmaz. Yalnızca FIPS onaylı olmayan yeni şifreleme şemalarına erişimi engeller. Bu, yeni şifreleme düzenlerini kullanamayacağı veya aynı şifreleme düzenlerini kullanmanın daha hızlı yollarını kullanamayacağı anlamına gelir. Başka bir deyişle, bilgisayarınızı daha yavaş, daha az işlevsel ve tartışmalı hale getirir az güvenli.

Bu Ayarı Etkinleştirdiğinizde Windows Nasıl Farklı Davranır?

Microsoft, bu ayarın “Neden“ FIPS Modu ”Önerilmiyor” başlıklı bir blog yazısında gerçekte ne yaptığını açıklıyor. Microsoft, yalnızca gerekiyorsa FIPS modunu kullanmanızı önerir. Örneğin, bir ABD hükümet bilgisayarı kullanıyorsanız, o bilgisayarın hükümetin kendi düzenlemelerine göre “FIPS modunu” etkinleştirmiş olması gerekir. Yazılımını ABD devlet bilgisayarlarında bu ayar etkinken nasıl çalıştığını test etmediğiniz sürece, bunu kendi kişisel bilgisayarınızda etkinleştirmek istediğiniz gerçek bir durum yoktur..

Bu ayar, Windows için iki şey yapar. Windows ve Windows hizmetlerini yalnızca FIPS onaylı şifreleme kullanmaya zorlar. Örneğin, Windows’ta yerleşik olan Schannel servisi, eski SSL 2.0 ve 3.0 protokolleriyle çalışmaz ve bunun yerine en az TLS 1.0 gerekir..

Microsoft'un .NET çerçevesi, FIPS onaylı olmayan algoritmalara erişimi de engeller. .NET çerçevesi çoğu şifreleme algoritması için birkaç farklı algoritma sunar ve hepsi doğrulama için bile gönderilmedi. Örnek olarak, Microsoft, .NET çerçevesinde SHA256 karma algoritmasının üç farklı sürümü olduğunu not eder. En hızlı olanı doğrulama için gönderilmedi, ancak aynı derecede güvenli olması gerekiyor. Bu yüzden FIPS modunu etkinleştirmek ya daha verimli algoritmayı kullanan .NET uygulamalarını kıracak ya da daha az verimli algoritmayı kullanmaya zorlayacak ve daha yavaş olacak.

Bu iki şeyin yanı sıra, FIPS modunun etkinleştirilmesi, uygulamalara yalnızca FIPS onaylı şifreleme kullanmalarını önerir. Ama başka bir şeyi zorlamıyor. Geleneksel Windows masaüstü uygulamaları, istedikleri herhangi bir şifreleme kodunu, hatta korkunç derecede hassas şifrelemeyi veya hiç şifreleme yapmamayı seçebilir. FIPS modu, bu ayarlara uymadıkları sürece diğer uygulamalara hiçbir şey yapmaz.

FIPS Modunu Devre Dışı Bırakma (veya Gerekirse Etkinleştir)

Bir devlet bilgisayarı kullanıp mecbur kalmadıkça bu ayarı etkinleştirmemelisiniz. Bu ayarı etkinleştirirseniz, bazı tüketici uygulamaları FIPS modunu devre dışı bırakmanızı isteyebilir;.

FIPS modunu etkinleştirmeniz veya devre dışı bırakmanız gerekirse, belki etkinleştirdikten sonra bir hata mesajı gördünüz, yazılımınızın FIPS modu etkin olan bir bilgisayarda nasıl davranacağını veya bir devlet bilgisayarı kullanıp kullanmadığınızı test etmeniz gerekir. Bunu etkinleştirmek için bunu birkaç yolla yapabilirsiniz. FIPS modu yalnızca belirli bir ağa bağlanıldığında veya her zaman uygulanacak sistem genelinde bir ayar aracılığıyla etkinleştirilebilir.

FIPS modunu yalnızca belirli bir ağa bağlıyken etkinleştirmek için aşağıdaki adımları izleyin:

1. Denetim Masası penceresini açın.
2. Ağ ve İnternet altındaki “Ağ durumunu ve görevlerini görüntüle” yi tıklayın..
3. “Adaptör ayarlarını değiştir” e tıklayın.
4. FIPS'ı etkinleştirmek istediğiniz ağı sağ tıklayın ve “Durum” u seçin.
5. Wi-Fi Durum penceresinde "Kablosuz Özellikler" düğmesini tıklayın.
6. Ağ özellikleri penceresinde "Güvenlik" sekmesine tıklayın.
7. “Gelişmiş ayarlar” düğmesini tıklayın.
8. 802.11 ayarları altındaki “Bu ağ için Federal Bilgi İşleme Standartlarını (FIPS) uygunluğunu etkinleştir” seçeneğini değiştirin.

Bu ayar, grup ilkesi düzenleyicisinde sistem genelinde de değiştirilebilir. Bu araç yalnızca Windows değil Ana Sayfa sürümlerinin Profesyonel, Kurumsal ve Eğitim sürümlerinde kullanılabilir. Yerel grup ilkesi düzenleyicisini, bu aracı değiştirmek için, bilgisayarınızın grup ilkesi ayarlarını sizin için yöneten bir etki alanına katılmamış bir bilgisayardaysanız kullanabilirsiniz. Bilgisayarınız bir etki alanına katılmışsa ve grup ilkesi ayarları kuruluşunuz tarafından merkezi olarak yönetiliyorsa, kendiniz değiştiremezsiniz. Bu ayarı Grup İlkesi'nde değiştirmek için:

1. Çalıştır iletişim kutusunu açmak için Windows Key + R tuşlarına basın..
2. Çalıştır iletişim kutusuna (tırnak işaretleri olmadan) “gpedit.msc” yazın ve Enter tuşuna basın.
3. Grup İlkesi Düzenleyicisi'nde "Bilgisayar Yapılandırması \ Windows Ayarları \ Güvenlik Ayarları \ Yerel İlkeler \ Güvenlik Seçenekleri" seçeneğine gidin.
4. Sağdaki bölmede “Sistem şifrelemesi: Şifreleme, karma ve imzalama için FIPS uyumlu algoritmalar kullanın” ayarını bulun ve çift tıklayın..
5. Ayarı “Disabled” olarak ayarlayın ve “OK” e tıklayın.
6. Bilgisayarı yeniden başlatın.

Windows'un Ev sürümlerinde, FIPS ayarını bir kayıt defteri ayarıyla etkinleştirebilir veya devre dışı bırakabilirsiniz. FIPS'nin kayıt defterinde etkinleştirilip etkinleştirilmediğini kontrol etmek için aşağıdaki adımları izleyin:

1. Çalıştır iletişim kutusunu açmak için Windows Key + R tuşlarına basın..
2. Çalıştır iletişim kutusuna "regedit" yazın (tırnak işaretleri olmadan) ve Enter tuşuna basın.
3. “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \” konumuna gidin.
4. Sağ bölmedeki “Etkin” değerine bakın. “0” olarak ayarlanmışsa, FIPS modu devre dışı bırakılır. “1” olarak ayarlanmışsa, FIPS modu etkindir. Ayarı değiştirmek için “Enabled” değerini çift tıklayın ve “0” veya “1” olarak ayarlayın.
5. Bilgisayarı yeniden başlatın.

Bu yazıya ilham veren Twitter'daki @SwiftOnSecurity'e teşekkürler!