Por que você não deve habilitar a criptografia “compatível com FIPS” no Windows

O Windows tem uma configuração oculta que permitirá apenas a criptografia “compatível com FIPS” certificada pelo governo . Pode parecer uma forma de aumentar a segurança do seu PC, mas não é. Você não deve habilitar essa configuração a menos que trabalhe no governo ou precise testar como o software se comportará em PCs do governo.

Esse ajuste se encaixa bem ao lado de outros  mitos inúteis de ajustes do Windows . Se você encontrou essa configuração no Windows ou a viu mencionada em outro lugar, não a habilite. Se você já o ativou sem um bom motivo, siga as etapas abaixo para desativar o “modo FIPS”.

O que é criptografia compatível com FIPS?

FIPS significa “Federal Information Processing Standards”. É um conjunto de padrões governamentais que definem como certas coisas são usadas no governo – por exemplo, algoritmos de criptografia. FIPS define certos métodos de criptografia específicos que podem ser usados, bem como métodos para gerar chaves de criptografia. É publicado pelo Instituto Nacional de Padrões e Tecnologia, ou NIST.

A configuração do Windows está em conformidade com o padrão FIPS 140 do governo dos Estados Unidos. Quando habilitado, força o Windows a usar apenas esquemas de criptografia validados por FIPS e aconselha os aplicativos a fazerem isso também.

O “modo FIPS” não torna o Windows mais seguro. Ele apenas bloqueia o acesso a esquemas de criptografia mais recentes que não foram validados por FIPS. Isso significa que ele não poderá usar novos esquemas de criptografia ou maneiras mais rápidas de usar os mesmos esquemas de criptografia. Em outras palavras, torna o seu computador mais lento, menos funcional e possivelmente menos seguro.

Recomendado:  O que é um erro 502 Bad Gateway (e como posso corrigi-lo)?

Como o Windows se comporta de maneira diferente se você ativar esta configuração

A Microsoft explica o que essa configuração realmente faz em uma postagem de blog intitulada “ Por que não estamos recomendando o“ Modo FIPS ”mais .” A Microsoft só recomenda usar o modo FIPS se for necessário. Por exemplo, se você estiver usando um computador do governo dos EUA, esse computador deve ter o “modo FIPS” ativado de acordo com os próprios regulamentos do governo. Não há nenhum caso real em que você queira habilitar isso em seu próprio computador pessoal – a menos que esteja testando como seu software se comporta em computadores do governo dos EUA com essa configuração habilitada.

Essa configuração faz duas coisas no próprio Windows. Ele força o Windows e os serviços do Windows a usarem apenas criptografia validada por FIPS. Por exemplo, o serviço Schannel integrado ao Windows não funcionará com protocolos SSL 2.0 e 3.0 mais antigos e exigirá pelo menos TLS 1.0.

A estrutura .NET da Microsoft também bloqueará o acesso a algoritmos que não são validados por FIPS. O .NET framework oferece vários algoritmos diferentes para a maioria dos algoritmos de criptografia, e nem todos eles foram enviados para validação. Como exemplo, a Microsoft observa que existem três versões diferentes do algoritmo de hash SHA256 na estrutura .NET. O mais rápido não foi enviado para validação, mas deve ser igualmente seguro. Portanto, a ativação do modo FIPS interromperá os aplicativos .NET que usam o algoritmo mais eficiente ou os forçará a usar o algoritmo menos eficiente e ficar mais lentos.

Além dessas duas coisas, ativar o modo FIPS recomenda aos aplicativos que também usem apenas criptografia validada por FIPS. Mas não força mais nada. Os aplicativos de desktop tradicionais do Windows podem escolher implementar qualquer código de criptografia que desejem – mesmo criptografia terrivelmente vulnerável – ou nenhuma criptografia. O modo FIPS não faz nada para outros aplicativos, a menos que obedeçam a esta configuração.

Recomendado:  Quão boa é a RV em 2018? Vale a pena comprar?

Como desativar o modo FIPS (ou ativá-lo, se necessário)

Você não deve habilitar essa configuração a menos que esteja usando um computador do governo e seja forçado a isso. Se você habilitar esta configuração, alguns aplicativos de consumidor podem, na verdade, solicitar que você desabilite o modo FIPS para que possam funcionar corretamente.

Se você precisar habilitar ou desabilitar o modo FIPS – talvez você tenha visto uma mensagem de erro depois de habilitá-lo, você precisa testar como seu software se comportará em um computador com o modo FIPS habilitado, ou você está usando um computador do governo e tem para habilitá-lo – você pode fazer isso de várias maneiras. O modo FIPS pode ser habilitado apenas quando conectado a uma rede específica ou por meio de uma configuração de todo o sistema que sempre se aplicará.

Para ativar o modo FIPS apenas quando conectado a uma rede específica, execute as seguintes etapas:

  1. Abra a janela Painel de controle.
  2. Clique em “Exibir o status e as tarefas da rede” em Rede e Internet.
  3. Clique em “Alterar as configurações do adaptador”.
  4. Clique com o botão direito na rede para a qual deseja habilitar o FIPS e selecione “Status”.
  5. Clique no botão “Propriedades sem fio” na janela de status do Wi-Fi.
  6. Clique na guia “Segurança” na janela de propriedades da rede.
  7. Clique no botão “Configurações avançadas”.
  8. Alterne a opção “Habilitar conformidade com os padrões de processamento de informações federais (FIPS) para esta rede” nas configurações 802.11.

Essa configuração também pode ser alterada em todo o sistema no editor de política de grupo. Esta ferramenta está disponível apenas nas versões Professional, Enterprise e Education do Windows – não nas versões Home. Você só pode usar o editor de política de grupo local para alterar essa ferramenta se estiver em um computador que não faz parte de um domínio que gerencia as configurações de política de grupo do seu computador. Se o seu computador fizer parte de um domínio e as configurações de política de grupo forem gerenciadas centralmente pela sua organização, você não poderá alterá-las sozinho. Para alterar essa configuração na Política de Grupo:

  1. Pressione a tecla Windows + R para abrir a caixa de diálogo Executar.
  2. Digite “gpedit.msc” na caixa de diálogo Executar (sem as aspas) e pressione Enter.
  3. Navegue até “Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Políticas Locais \ Opções de Segurança” no Editor de Política de Grupo.
  4. Localize a configuração “Criptografia do sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura” no painel direito e clique duas vezes nele.
  5. Defina a configuração como “Desativado” e clique em “OK”.
  6. Reinicie o computador.
Recomendado:  Como obter instruções de direção no seu Apple Watch

Nas versões Home do Windows, você ainda pode ativar ou desativar a configuração FIPS por meio de uma configuração de registro. Para verificar se o FIPS está ativado ou desativado no registro , siga as seguintes etapas:

  1. Pressione a tecla Windows + R para abrir a caixa de diálogo Executar.
  2. Digite “regedit” na caixa de diálogo Executar (sem as aspas) e pressione Enter.
  3. Navegue até “HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \”.
  4. Observe o valor “Ativado” no painel direito. Se estiver definido como “0”, o modo FIPS é desabilitado. Se estiver definido como “1”, o modo FIPS está ativado. Para alterar a configuração, clique duas vezes no valor “Ativado” e defina-o como “0” ou “1”.
  5. Reinicie o computador.


Obrigado a @SwiftOnSecurity no Twitter por inspirar este post!