Mengapa Anda Tidak Harus Mengaktifkan Enkripsi “FIPS-compliant” di Windows
Windows memiliki pengaturan tersembunyi yang hanya akan mengaktifkan enkripsi “FIPS-compliant” yang disertifikasi pemerintah. Ini mungkin terdengar seperti cara untuk meningkatkan keamanan PC Anda, tetapi sebenarnya tidak. Anda tidak boleh mengaktifkan pengaturan ini kecuali Anda bekerja di pemerintahan atau perlu menguji bagaimana perangkat lunak akan berperilaku pada PC pemerintah.
Tweak ini pas dengan mitos tweaking Windows tidak berguna lainnya. Jika Anda menemukan pengaturan ini di Windows atau melihatnya disebutkan di tempat lain, jangan aktifkan. Jika Anda telah mengaktifkannya tanpa alasan yang bagus, gunakan langkah-langkah di bawah ini untuk menonaktifkan "mode FIPS".
Apa Enkripsi yang Sesuai dengan FIPS?
FIPS adalah singkatan dari "Standar Pemrosesan Informasi Federal." Ini adalah sekumpulan standar pemerintah yang menentukan bagaimana hal-hal tertentu digunakan dalam pemerintahan — misalnya, algoritma enkripsi. FIPS mendefinisikan metode enkripsi spesifik tertentu yang dapat digunakan, serta metode untuk menghasilkan kunci enkripsi. Ini diterbitkan oleh Institut Nasional Standar dan Teknologi, atau NIST.
Pengaturan pada Windows sesuai dengan standar US FIPS 140 pemerintah AS. Ketika diaktifkan, ia memaksa Windows untuk hanya menggunakan skema enkripsi yang divalidasi FIPS dan menyarankan aplikasi untuk melakukannya juga.
"Mode FIPS" tidak membuat Windows lebih aman. Itu hanya memblokir akses ke skema kriptografi baru yang belum divalidasi FIPS. Itu berarti tidak akan dapat menggunakan skema enkripsi baru, atau cara yang lebih cepat menggunakan skema enkripsi yang sama. Dengan kata lain, itu membuat komputer Anda lebih lambat, kurang fungsional, dan bisa dibilang kurang aman.
Bagaimana Windows Berperilaku Berbeda Jika Anda Mengaktifkan Pengaturan Ini
Microsoft menjelaskan apa yang sebenarnya dilakukan pengaturan ini dalam posting blog berjudul "Mengapa Kami Tidak Merekomendasikan" Mode FIPS "Lagi." Microsoft hanya menyarankan Anda menggunakan mode FIPS jika Anda harus. Misalnya, jika Anda menggunakan komputer pemerintah AS, komputer itu seharusnya mengaktifkan "mode FIPS" sesuai dengan peraturan pemerintah sendiri. Tidak ada kasus nyata di mana Anda ingin mengaktifkan ini di komputer pribadi Anda sendiri - kecuali jika Anda menguji bagaimana perangkat lunak Anda berperilaku di komputer pemerintah AS dengan pengaturan ini diaktifkan.
Pengaturan ini melakukan dua hal untuk Windows itu sendiri. Ini memaksa Windows dan layanan Windows untuk menggunakan hanya kriptografi yang divalidasi FIPS. Misalnya, layanan Schannel yang dibangun ke dalam Windows tidak akan berfungsi dengan protokol SSL 2.0 dan 3.0 yang lebih lama, dan akan membutuhkan setidaknya TLS 1.0.
Kerangka kerja Microsoft .NET juga akan memblokir akses ke algoritma yang tidak divalidasi FIPS. Kerangka .NET menawarkan beberapa algoritma berbeda untuk sebagian besar algoritma kriptografi, dan tidak semua dari mereka bahkan telah diajukan untuk validasi. Sebagai contoh, Microsoft mencatat bahwa ada tiga versi berbeda dari algoritma hashing SHA256 dalam .NET framework. Yang tercepat belum dikirim untuk validasi, tetapi harus sama amannya. Jadi mengaktifkan mode FIPS akan memecah aplikasi .NET yang menggunakan algoritma yang lebih efisien atau memaksa mereka untuk menggunakan algoritma yang kurang efisien dan lebih lambat.
Selain kedua hal itu, mengaktifkan mode FIPS merekomendasikan untuk aplikasi yang mereka gunakan hanya enkripsi FIPS-divalidasi juga. Tapi itu tidak memaksakan hal lain. Aplikasi desktop Windows tradisional dapat memilih untuk mengimplementasikan kode enkripsi apa pun yang mereka inginkan - bahkan enkripsi yang sangat rentan - atau tidak ada enkripsi sama sekali. Mode FIPS tidak melakukan apa pun untuk aplikasi lain kecuali mereka mematuhi pengaturan ini.
Cara Menonaktifkan Mode FIPS (atau Mengaktifkannya, Jika Harus)
Anda seharusnya tidak mengaktifkan pengaturan ini kecuali Anda menggunakan komputer pemerintah dan terpaksa melakukannya. Jika Anda mengaktifkan pengaturan ini, beberapa aplikasi konsumen mungkin meminta Anda untuk menonaktifkan mode FIPS agar dapat berfungsi dengan baik.
Jika Anda perlu mengaktifkan atau menonaktifkan mode FIPS-mungkin Anda telah melihat pesan kesalahan setelah Anda mengaktifkannya, Anda perlu menguji bagaimana perangkat lunak Anda akan berperilaku pada komputer dengan mode FIPS diaktifkan, atau Anda menggunakan komputer pemerintah dan memiliki untuk mengaktifkannya - Anda dapat melakukannya dengan beberapa cara. Mode FIPS dapat diaktifkan hanya ketika terhubung ke jaringan tertentu, atau melalui pengaturan sistem yang akan selalu berlaku.
Untuk mengaktifkan mode FIPS hanya ketika terhubung ke jaringan tertentu, lakukan langkah-langkah berikut:
- Buka jendela Panel Kontrol.
- Klik "Lihat status dan tugas jaringan" di bawah Jaringan dan Internet.
- Klik "Ubah pengaturan adaptor."
- Klik kanan jaringan yang Anda inginkan untuk mengaktifkan FIPS dan pilih "Status."
- Klik tombol "Properti Nirkabel" di jendela Status Wi-Fi.
- Klik tab "Keamanan" di jendela properti jaringan.
- Klik tombol "Pengaturan lanjutan".
- Alihkan opsi "Aktifkan kepatuhan Standar Informasi Proses Federal (FIPS) untuk jaringan ini" di bawah pengaturan 802.11.
Pengaturan ini juga dapat diubah di seluruh sistem di editor kebijakan grup. Alat ini hanya tersedia pada versi Windows, bukan versi Profesional, Perusahaan, dan Pendidikan. Anda hanya dapat menggunakan editor kebijakan grup lokal untuk mengubah alat ini jika Anda menggunakan komputer yang tidak bergabung dengan domain yang mengelola pengaturan kebijakan grup komputer Anda untuk Anda. Jika komputer Anda bergabung dengan domain dan pengaturan kebijakan grup dikelola secara terpusat oleh organisasi Anda, Anda tidak akan dapat mengubahnya sendiri. Untuk mengubah pengaturan ini dalam Kebijakan Grup:
- Tekan Windows Key + R untuk membuka dialog Run.
- Ketik "gpedit.msc" ke dalam kotak dialog Run (tanpa tanda kutip) dan tekan Enter.
- Arahkan ke "Konfigurasi Komputer \ Pengaturan Windows \ Pengaturan Keamanan \ Kebijakan Lokal \ Opsi Keamanan" di Editor Kebijakan Grup.
- Temukan "Sistem kriptografi: Gunakan algoritma yang sesuai FIPS untuk pengaturan enkripsi, hashing, dan penandatanganan" di panel kanan dan klik dua kali.
- Atur pengaturan ke "Disabled" dan klik "OK."
- Nyalakan ulang komputernya.
Pada Windows versi Home, Anda masih dapat mengaktifkan atau menonaktifkan pengaturan FIPS melalui pengaturan registri. Untuk memeriksa apakah FIPS diaktifkan atau dinonaktifkan di registri, ikuti langkah-langkah berikut:
- Tekan Windows Key + R untuk membuka dialog Run.
- Ketik "regedit" ke dalam kotak dialog Run (tanpa tanda kutip) dan tekan Enter.
- Arahkan ke "HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Lsa \ FipsAlgorithmPolicy \".
- Lihatlah nilai "Diaktifkan" di panel kanan. Jika diatur ke "0", mode FIPS dinonaktifkan. Jika diatur ke "1", mode FIPS diaktifkan. Untuk mengubah pengaturan, klik dua kali nilai "Diaktifkan" dan atur ke "0" atau "1".
- Nyalakan ulang komputernya.
Terima kasih kepada @SwiftOnSecurity di Twitter karena menginspirasi pos ini!