フルディスク暗号化とFIPS
「FIPSモード」のWindows 10でBitLocker(またはその他のFDEメソッド/メカニズム)を使用するために何が必要かを調べる任務があります。これは私の専門知識の範囲外です(そして私はクライアントにこの事実について助言しました)が、それでもそれを理解しようと努めました。過去数日間、多くの情報を読みましたが、決定的な答えを見つけるのに途方に暮れています。 BitLockerを「FIPSモード」で操作することへの言及は、それが実際に何を意味するかについて(理解できる)具体的な情報を見つけることなく見ました。私の質問はこれです:
セキュリティポリシー設定を有効にする必要がありますかシステム暗号化:FIPS暗号化、ハッシュ、署名に準拠したアルゴリズムを使用して、BitLocker(またはその他のFDEメソッド/メカニズム)「FIPSモード」で操作するには?
FIPSはセキュリティ標準です。それは連邦情報処理標準の略です。
FIPS準拠のセキュリティポリシー設定を有効にすると、多くの制限が発生する可能性があります。
- BitLockerは、回復パスワードの作成または使用を許可しません標準ではこれを禁止しています。
- BitLockerは、USBフラッシュドライブに保存されるキーのみを解放します
- BitLockerドライブ暗号化は現在サポートされているか、特定のバージョンのWindowsに制限されています。
- BitLockerはFIPS承認された検証方法のみを提供します
BitLockerは、ボリュームの変換(暗号化)が完了し、ボリュームが完全に暗号化されると、FIPSモードでのみ動作します。
実際には、FIPSに準拠する場合は、ボリュームを暗号化する必要があります。その後、回復パスワードを削除します。次に、FIPSに準拠している2つのプロテクターの1つだけを使用する必要があります。ボリュームのデータ回復エージェントまたは回復キーです。さらに、FIPSのグループポリシーでは、回復パスワードの作成の可能性。
上記を実行すると、FIPSに準拠しているため、「FIPS暗号化、ハッシュ、署名に準拠したアルゴリズムを使用する」を有効にする必要があります。 FIPSに準拠している必要はありません。Bitlockerを問題なく使用でき、関連するものを制限する必要はありません。
FIPSコンプライアンスガイドラインに従えば、アクティブでなくてもFIPS準拠システムを正しく構成できるため、ポリシー自体は必須ではありません。誤って(そして偶然に)FIPSに準拠しないものを構成する可能性があるポリシー。このポリシーは、そのようなことを防止し、選択内容(アルゴリズム、暗号化など)をフィルタリングして、準拠しているもののみが利用できるようにします/それが実際の目的です。
FIPSに準拠したシステムを使用している場合、そのように思われる場合は、この設定を有効にする必要があります。Billが彼のコメントでOvermindの回答に提供したリンクは、これを確認します。OvermindのWindows 10について質問しているため、情報が正しくありません。彼はWindows 7を扱っているようです。
「Windows Server 2012 R2およびWindows 8.1で導入された機能により、BitLockerはFIPSモードで完全に機能することができます。..FIPS準拠の回復パスワードプロテクターを作成できます。 WindowsがFIPSモードです。これらのプロテクターは、FIPS 140 NIST SP800-132アルゴリズムを使用します。 "- https://docs.Microsoft.com/en-us/windows/security/information-protection/bitlocker/prepare-your-organization-for-bitlocker-計画とポリシー#bkmk-fipssupport
Windows 7について "A BitLocker回復パスワードは48桁です。このパスワードは、FIPSに準拠していないキー導出アルゴリズムで使用されます。"- https:// support.Microsoft.com/en-us/help/947249/the-recovery-password-for-windows-bitlocker-is-not-available-when-fips