Windows에서 FIPS 호환암호화를 사용하지 않아야하는 이유

Windows에는 정부 인증 "FIPS 호환"암호화 만 사용할 수있는 숨겨진 설정이 있습니다. PC의 보안을 강화하는 방법처럼 들리 겠지만, 그렇지는 않습니다. 정부에서 일하거나 공무원 PC에서 소프트웨어가 어떻게 작동하는지 테스트해야하는 경우가 아니라면이 설정을 사용하지 마십시오..

이 비틀기는 다른 쓸모없는 Windows가 신화를 수정하는 것과 꼭 맞습니다. Windows에서이 설정을 우연히 발견했거나 다른 곳에서 언급 한 것처럼 보이면 사용하지 마십시오. 적절한 이유없이 이미 활성화 한 경우 아래 단계를 사용하여 "FIPS 모드"를 비활성화하십시오..

FIPS 호환 암호화 란 무엇입니까??

FIPS는 "연방 정보 처리 표준 (Federal Information Processing Standards)"의 약자입니다.이 표준은 정부에서 사용되는 특정 방법 (예 : 암호화 알고리즘)을 정의하는 일련의 정부 표준입니다. FIPS는 암호화 키를 생성하는 방법뿐만 아니라 사용할 수있는 특정 암호화 방법을 정의합니다. 그것은 국립 표준 기술 연구소, 또는 NIST에 의해 출판 됨.

Windows의 설정은 미국 정부 FIPS 140 표준을 준수합니다. 이 기능을 사용하면 Windows에서 FIPS 유효성이 확인 된 암호화 체계 만 사용하도록하고 응용 프로그램에 그렇게하도록 권고합니다.

"FIPS 모드"는 Windows를 더 안전하게 만듭니다. FIPS 인증을받지 않은 새로운 암호화 체계에 대한 액세스를 차단합니다. 즉, 새로운 암호화 방식이나 동일한 암호화 방식을 사용하는 더 빠른 방법을 사용할 수 없습니다. 즉, 컴퓨터 속도가 느려지고 기능이 떨어지며 틀림없이 적게 안전한.

이 설정을 사용하면 Windows가 어떻게 다르게 동작합니까?

Microsoft는 FIPS 모드를 "더 이상 추천하지 않는 이유"라는 제목의 블로그 게시물에서 실제로이 설정이 무엇을하는지 설명합니다. Microsoft는 FIPS 모드를 사용해야한다고 권장합니다. 예를 들어 미국 정부 컴퓨터를 사용하는 경우 해당 컴퓨터는 정부의 규정에 따라 "FIPS 모드"를 사용하도록되어 있습니다. 이 설정을 사용하는 미국 정부 컴퓨터에서 소프트웨어가 작동하는 방식을 테스트하지 않은 경우 자신의 개인용 컴퓨터에서이 기능을 활성화하려는 경우는 없습니다..

이 설정은 Windows 자체에서 두 가지 작업을 수행합니다. Windows 및 Windows 서비스에서 FIPS 유효성이 입증 된 암호화 만 사용하도록합니다. 예를 들어, Windows에 내장 된 Schannel 서비스는 이전 SSL 2.0 및 3.0 프로토콜에서 작동하지 않으며 최소한 TLS 1.0이 필요합니다..

Microsoft의 .NET 프레임 워크는 FIPS 검증되지 않은 알고리즘에 대한 액세스도 차단합니다. .NET 프레임 워크는 대부분의 암호화 알고리즘에 대해 여러 알고리즘을 제공하며 모든 알고리즘이 유효성 검사를 위해 제출 된 것은 아닙니다. 예를 들어 Microsoft는 .NET Framework에 SHA256 해싱 알고리즘의 세 가지 버전이 있음을 확인합니다. 가장 빠른 인증은 유효성 검사를 위해 제출되지 않았지만 안전해야합니다. 따라서 FIPS 모드를 활성화하면보다 효율적인 알고리즘을 사용하는 .NET 응용 프로그램을 손상 시키거나 덜 효율적인 알고리즘을 사용하도록하고 느려질 수 있습니다.

이 두 가지 외에 FIPS 모드에서는 FIPS 유효성이 인정 된 암호화 만 사용하는 응용 프로그램을 권장합니다. 하지만 다른 어떤 것도 강요하지 않습니다. 기존의 Windows 데스크톱 응용 프로그램은 원하는 암호화 코드 (끔찍한 취약성 암호화 또는 전혀 암호화가없는)을 구현하도록 선택할 수 있습니다. FIPS 모드는이 설정을 따르지 않으면 다른 응용 프로그램에 아무런 영향을 미치지 않습니다..

FIPS 모드를 비활성화하는 방법 (또는 사용하도록 설정 한 경우)

정부 컴퓨터를 사용하고 강제로 사용하지 않는 이상이 설정을 사용하지 마십시오. 이 설정을 사용하면 일부 소비자 응용 프로그램에서 FIPS 모드를 비활성화하여 실제로 작동하도록 요청할 수 있습니다.

FIPS 모드를 활성화 또는 비활성화해야 할 경우 (활성화 한 후 오류 메시지가 표시되는 경우) FIPS 모드가 활성화 된 컴퓨터에서 소프트웨어가 작동하는 방식을 테스트하거나 정부 컴퓨터를 사용하고 있고 이를 가능하게하려면 여러 가지 방법이 있습니다. FIPS 모드는 특정 네트워크에 연결되어 있거나 항상 적용되는 시스템 전체 설정을 통해서만 활성화 할 수 있습니다.

특정 네트워크에 연결된 경우에만 FIPS 모드를 활성화하려면 다음 단계를 수행하십시오.

1. 제어판 창 열기.
2. 네트워크 및 인터넷에서 "네트워크 상태 및 작업보기"를 클릭하십시오..
3. "어댑터 설정 변경"을 클릭하십시오.
4. FIPS를 활성화 할 네트워크를 마우스 오른쪽 단추로 클릭하고 "상태"를 선택하십시오.
5. Wi-Fi 상태 창에서 "무선 속성"버튼을 클릭하십시오..
6. 네트워크 속성 창에서 "보안"탭을 클릭하십시오..
7. '고급 설정'버튼을 클릭하십시오..
8. 802.11 설정에서 "이 FIPS (Federal Information Processing Standards) 준수 설정"옵션을 전환합니다..

이 설정은 그룹 정책 편집기에서 시스템 전체로 변경할 수도 있습니다. 이 도구는 Home, Home 버전이 아닌 Professional, Enterprise 및 Education 버전에서만 사용할 수 있습니다. 로컬 그룹 정책 편집기를 사용하여 컴퓨터의 그룹 정책 설정을 관리하는 도메인에 가입되어 있지 않은 컴퓨터에있는 경우에만이 도구를 변경할 수 있습니다. 컴퓨터가 도메인에 가입되어 있고 조직에서 그룹 정책 설정을 중앙에서 관리하는 경우 직접 변경할 수 없습니다. 그룹 정책에서이 설정을 변경하려면 다음과 같이하십시오.

1. Windows 키 + R을 눌러 실행 대화 상자를 엽니 다..
2. 실행 대화 상자에 따옴표없이 "gpedit.msc"를 입력하고 Enter 키를 누릅니다..
3. 그룹 정책 편집기의 "컴퓨터 구성 \ Windows 설정 \ 보안 설정 \ 로컬 정책 \ 보안 옵션"으로 이동하십시오..
4. 오른쪽 창에서 "시스템 암호화 : 암호화, 해시 및 서명에 FIPS 호환 알고리즘 사용"설정을 찾아 두 번 클릭합니다..
5. 설정을 "사용 안함"으로 설정하고 "확인"을 클릭하십시오.
6. 컴퓨터를 다시 시작하십시오..

Home Windows 버전에서는 여전히 레지스트리 설정을 통해 FIPS 설정을 사용하거나 사용하지 않도록 설정할 수 있습니다. 레지스트리에서 FIPS의 사용 여부를 확인하려면 다음 단계를 수행하십시오.

1. Windows 키 + R을 눌러 실행 대화 상자를 엽니 다..
2. 실행 대화 상자에 따옴표없이 "regedit"를 입력하고 Enter 키를 누릅니다..
3. "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \"로 이동하십시오..
4. 오른쪽 창에서 "사용 가능"값을보십시오. "0"으로 설정하면 FIPS 모드가 비활성화됩니다. "1"로 설정하면 FIPS 모드가 활성화됩니다. 설정을 변경하려면 "Enabled"값을 두 번 클릭하고 "0"또는 "1"로 설정하십시오.
5. 컴퓨터를 다시 시작하십시오..

이 게시물에 영감을 불어 넣어 준 @SwiftOnSecurity에게 감사드립니다.!