FIPS algoritmi compatibili per crittografia, hash e firma" impostazione di protezione in Windows XP e versioni successive di Windows


L'Italia Federal Information Processing Standard (FIPS) definisce la protezione e i requisiti di interoperabilità per i sistemi di computer che utilizza il governo federale degli Stati Uniti. Lo standard FIPS 140 definisce gli algoritmi di crittografia approvati. Lo standard FIPS 140 imposta inoltre via dei requisiti per la generazione delle chiavi e per la gestione delle chiavi. Il National Institute of Standards and Technology (NIST) utilizza CMVP (Cryptographic Module Validation Program) per determinare se una particolare implementazione di un algoritmo di crittografia è compatibile con lo standard FIPS 140. Un'implementazione di un algoritmo di crittografia è considerata compatibile FIPS 140, in solo se è stata inviata per e ha superato la convalida di NIST. Un algoritmo non è stato inviato non può essere considerato FIPS compatibile con anche se l'implementazione produce dati identici come un'implementazione dell'algoritmo stesso convalidata. 

In alcuni scenari, un'applicazione può utilizzare gli algoritmi non approvati o processi mentre l'applicazione opera in modalità compatibile con FIPS. Ad esempio, potrebbe essere consentito l'utilizzo di algoritmi non approvati nei seguenti scenari:
  • Alcuni processi interni rimangono all'interno del computer.
  • Alcuni dati esterni sono inoltre essere crittografati da un'implementazione compatibile con FIPS.

Informazioni

In Windows XP e versioni successive di Windows se si attiva l'impostazione di protezione in Criteri di protezione locali o come parte dei criteri di gruppo, informare le applicazioni devono utilizzare solo gli algoritmi di crittografia che sono compatibili con FIPS 140 e in conformità con FIPS approvati modalità operative:
Crittografia di sistema: utilizza FIPS algoritmi compatibili per crittografia, hash e firma
Questo criterio è solo consultivo per le applicazioni. Pertanto, se si attiva il criterio, non rende certi che tutte le applicazioni saranno conformi. Le seguenti aree del sistema operativo interessate da questa impostazione:
  • Questa impostazione fa sì che il pacchetto di protezione Schannel e tutte le applicazioni basate su pacchetto di protezione di Schannel di negoziare solo il protocollo TLS (Transport Layer Security) 1.0. Se questa impostazione è attivata su un server che esegue IIS, è possibile connettersi solo browser che supportano TLS 1.0. Se questa impostazione è attivata su un client, tutti i client di Schannel, ad esempio Microsoft Internet Explorer, possono connettersi solo a server che supportano il protocollo TLS 1.0. Per un elenco di pacchetto di crittografia supportato quando è attivata l'impostazione vedere Suite Cipher nell'argomento Schannel. 

    Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    811834  Impossibile visitare siti SSL dopo aver attivato la crittografia compatibile FIPS
  • Questa impostazione ha effetto anche su Servizi Terminal in Windows Server 2003 e nelle versioni successive di Windows. L'effetto dipende se TLS viene utilizzato per l'autenticazione del server. 

    Se si utilizza TLS per l'autenticazione del server, questa impostazione fa sì che solo il TLS 1.0 da utilizzare. 

    Per impostazione predefinita, se non viene utilizzato TLS e questa impostazione non è abilitata sul client o sul server, il canale RDP (Remote Desktop Protocol) tra il server e il client è crittografato utilizzando l'algoritmo RC4 con una lunghezza di chiave da 128 bit. Dopo aver attivato questa impostazione su un computer basato su Windows Server 2003, la condizione seguente è vera:
    • Il canale RDP viene crittografato utilizzando l'algoritmo 3DES in modalità (Cipher Block CHAINING) con una lunghezza della chiave a 168 bit.
    • L'algoritmo SHA-1 viene utilizzato per creare il digest del messaggio.
    • I client devono utilizzare il programma client RDP 5.2 o versione successiva per la connessione.
    Per ulteriori informazioni sulla configurazione di Servizi terminal, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    814590  Come attivare e configurare desktop remoto per amministrazione in Windows Server 2003
  • Quando si attiva questa opzione, i client Windows XP che utilizzano il programma client RDP 5.2 e versioni successive di RDP possono connettersi ai computer Windows Server 2003, Windows Vista o Windows Server 2008. Connessioni desktop remote ai computer Windows XP, tuttavia, non quando si attiva questa opzione sul client o server.
  • I client Windows che hanno l'impostazione FIPS attivata non possono connettersi a Servizi terminal di Windows 2000.
  • Questa impostazione si applica l'algoritmo di crittografia utilizzata da EFS (Encrypting File System) per i nuovi file. I file esistenti non vengono influenzati e continuano a cui si accede utilizzando gli algoritmi cui originariamente sono state crittografate. 

    Note
    • Per impostazione predefinita, EFS in Windows XP RTM utilizza l'algoritmo DESX. Se si attiva questa impostazione, EFS utilizza la crittografia 3DES a 168 bit.
    • Per impostazione predefinita, in Windows XP Service Pack 1 (SP1), Windows XP service pack versione successivo e Windows Server 2003, EFS utilizza l'algoritmo AES (Advanced Encryption Standard) con una lunghezza della chiave a 256 bit. Tuttavia, EFS utilizza l'implementazione di AES-modalità kernel. Questa implementazione non è convalidato FIPS su queste piattaforme. Se si attiva l'impostazione FIPS su queste piattaforme, il sistema operativo utilizza l'algoritmo 3DES con una lunghezza della chiave a 168 bit.
    • In Windows Vista e Windows Server 2008, EFS utilizza l'algoritmo AES con chiavi a 256 bit. Se si attiva questa impostazione, verrà utilizzato AES-256.
  • Consentono solo le applicazioni Microsoft .NET framework, ad esempio Microsoft ASP.NET per l'utilizzo di implementazioni di algoritmi Certificate da NIST sia compatibile con FIPS 140. In particolare, le classi di algoritmo di crittografia solo che è possibile creare un'istanza sono quelli che implementano algoritmi compatibili FIPS. I nomi di queste classi terminano in "CryptoServiceProvider" o "Cng". Eventuali tentativi di creare un'istanza di altre classi di algoritmo di crittografia, ad esempio le classi i cui nomi terminano in "Managed" causare un'eccezione InvalidOperationException. Inoltre, qualsiasi tentativo di creare un'istanza di un algoritmo di crittografia non è compatibile con, ad esempio MD5, FIPS, anche un'eccezione InvalidOperationException.
  • Se è attivata l'impostazione FIPS, verifica di applicazioni ClickOnce ha esito negativo a meno che il computer client disponga di una delle seguenti edizioni:
    • .NET Framework 3.5 o versione successiva di .NET Framework
    • .NET Framework 2.0 Service Pack 1 o una versione successiva del service pack
    Note
    • Con Visual Studio 2005 non possono essere create su applicazioni ClickOnce o pubblicate da un computer richiesto FIPS. Tuttavia, se il computer dispone di .NET Framework 2.0 SP2, che è incluso in .NET Framework 3.5 SP1, Visual Studio 2005 può pubblicare applicazioni Windows Form o WPF.
    • Con Visual Studio 2008, le applicazioni ClickOnce non possono essere create o pubblicate, a meno che non è installata Visual Studio 2008 SP1 o versione successiva di Visual Studio.
  • Per impostazione predefinita, in Windows Vista e in Windows Server 2008 la funzionalità Crittografia unità BitLocker utilizza la crittografia AES 128 bit con un'ulteriore diffusore. Quando è attivata questa impostazione, BitLocker utilizza la crittografia AES 256 bit senza un diffusore. Inoltre, le password di ripristino non vengono create o di backup per il servizio directory Active Directory. Di conseguenza, non è possibile recuperare dal pin persi o da modifiche di sistema digitando in una password di ripristino alla tastiera. Invece di utilizzare una password di ripristino, è possibile eseguire il backup una chiave di ripristino su un'unità locale o in una condivisione di rete. Per utilizzare la chiave di ripristino, inserire la chiave su un dispositivo USB. Quindi, collegare il dispositivo al computer.
  • In Windows Vista SP1 e versioni successive di Windows Vista e in Windows Server 2008, solo i membri del gruppo Cryptographic Operators possono modificare le impostazioni di crittografiche nel criterio IPsec di Windows Firewall.
Note
  • Una volta per attivare o disattivare il crittografia di sistema: algoritmi Usa FIPS compatibili per crittografia, hash e firma protezione impostazione, è necessario riavviare l'applicazione, ad esempio Internet Explorer per rendere effettiva la nuova impostazione.
  • Questa impostazione di protezione influisce sul seguente valore del Registro di sistema in Windows Server 2008 e in Windows Vista:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
    Questo valore del Registro di sistema riflette l'impostazione corrente FIPS. Se questa impostazione è attivata, il valore è 1. Se questa impostazione è disattivata, il valore è 0.
  • Questa impostazione di protezione influisce sul seguente valore del Registro di sistema in Windows Server 2003 e in Windows XP:
    HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy
    Questo valore del Registro di sistema riflette l'impostazione corrente FIPS. Se questa impostazione è attivata, il valore è 1. Se questa impostazione è disattivata, il valore è 0.

Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Vista Home Basic 64-bit edition
  • Windows Vista Enterprise 64-bit edition
  • Windows Vista Home Premium 64-bit edition
  • Windows Vista Ultimate 64-bit edition
  • Windows Vista Business
  • Windows Vista Business 64-bit edition
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Starter
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2

1/Post a Comment/Comments

cosa ne pensi?

Posta un commento

cosa ne pensi?

Nuova Vecchia