Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

Úvod

Tento článek popisuje pokyny pro FIPS 140-2 a způsob použití Microsoft SQL serveru 2012 v režimu FIPS 140-2.Poznámky:

  • Pojmy "FIPS 140-2 kompatibilní," "kompatibilita se standardem FIPS 140-2" a "režim kompatibilní se standardem FIPS 140-2" jsou definovány pro použití a jasnost. Tyto termíny nejsou uznané ani definované státními podmínkami. Spojené státy a kanadské vlády rozpoznávají ověřování kryptografických modulů podle standardů, jako jsou FIPS 140-2 a nepoužívají kryptografické moduly v zadaném nebo vyhovujícím způsobem. V tomto článku používáme Standard FIPS 140-2-kompatibilní s dodržováním předpisů FIPS 140-2, a dále režim FIPS 140-2, který je v tom smyslu, že SQL Server 2012 používá jenom instance algoritmů FIPS s ověřenými algoritmy a zatřiďovací funkce ve všech instancích, ve kterých jsou zašifrovaná nebo vyšifrovaná data importována nebo exportována z SQL Server 140-2. Navíc to znamená, že SQL Server 2012 bude spravovat klíče bezpečným způsobem, podle toho, jak je vyžadováno šifrování šifrovacích modulů FIPS 140-2. Proces správy klíčů také zahrnuje generování klíčů a úložiště klíčů.

  • Tady je "certifikovaný", což znamená, že instance algoritmu je ověřená pomocí FIPS 140-2 a že operační systém obsahuje neověřené instance algoritmu FIPS 140-2.

Další informace

Co je FIPS?

Standard FIPS (Federal Information Processing Standard) je standard vyvinutý těmito dvěma státními orgány:

  • National Institute of Standards and Technology (NIST) ve Spojených státech

  • Organizace pro bezpečnost komunikací (CSE) v Kanadě

Standardy standardu FIPS jsou buď doporučovány, nebo pověřeny používáním systémů IT v federální vládě ve Spojených státech a Kanadě.

Co je FIPS 140-2?

FIPS 140-2 je příkaz s názvem požadavky na zabezpečení kryptografických modulů. Určuje, jaké šifrovací algoritmy a jaké algoritmy hash se dají použít a jak se mají vygenerovat a spravovat šifrovací klíče. Některým hardwarem, softwarem a procesy může být Standard FIPS 140-2 certifikováno a některý hardware, software a procesy mohou být kompatibilní se standardem FIPS 140-2.

Jaký je rozdíl mezi tím, jak se používá FIPS 140-2 a je certifikovaný Standard FIPS 140-2?

SQL Server 2012 lze nakonfigurovat a spustit způsobem, který je kompatibilní se standardem FIPS 140-2. Chcete-li nakonfigurovat SQL Server 2012 tímto způsobem, musí být SQL Server 2012 spuštěn v operačním systému, který je systémem FIPS 140-2 Certified nebo v operačním systému, který poskytuje kryptografický modul, který je certifikovaný. Rozdíl mezi dodržováním a osvědčováním není malý. Algoritmy mohou být certifikovány. Nestačí použít algoritmus ze schválených seznamů v FIPS 140-2. Místo toho musíte použít instanci takového algoritmu, který je certifikovaný. Certifikace vyžaduje testování a ověřování prostřednictvím testovací laboratoře schválené vládou. Windows Server 2003, Windows XP a Windows Server 2008 obsahují povolené algoritmy a instance všech těchto operačních systémů jsou testovány a certifikovány pro oficiální testy.

Které aplikace můžou být kompatibilní se standardem FIPS 140-2?

Všechny aplikace, které provádějí šifrování nebo zatřiďování a které běží v certifikované verzi systému Windows, mohou být kompatibilní pouze pomocí certifikovaných instancí schválených algoritmů a dodržování požadavků na generování klíčů a správy klíčů buď pomocí funkce pro generování klíčů a správy klíčů, nebo dodržováním požadavků na generování klíčů a správy klíčů v rámci aplikace. Uvědomte si, že oblasti v aplikaci kompatibilní se standardem FIPS mohou existovat tam, kde jsou povolené algoritmy nebo procesy neodpovídající požadavkům. Některé interní procesy, které zůstávají v systému, a některá externí data, která mají být dále šifrována pomocí instance certifikovaného algoritmu, jsou povolena.

Je SQL Server 2012 vždycky kompatibilní se standardem FIPS 140-2?

Ne. SQL Server 2012 může být kompatibilní se standardem FIPS 140-2, protože se dá nakonfigurovat a spustit takovým způsobem, že používá pouze instance algoritmu FIPS 140-2-Certified, které jsou volány pomocí rozhraní CryptoAPI pro šifrování nebo algoritmem hash v každé instanci, kde je vyžadována kompatibilita se standardem FIPS 140-2.

Jak může být SQL Server 2012 nakonfigurovaný na Standard FIPS 140-2?

  • Požadavek na operační systém: SQL Server 2012 musíte nainstalovat na server, který je založený na některém z následujících operačních systémů:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • Požadavky na správu systému Windows: Režim FIPS musí být nastaven před spuštěním SQL serveru 2012. SQL Server přečte nastavení při spuštění. Režim FIPS nastavíte takto:

    1. Přihlaste se do systému Windows jako správce systému Windows.

    2. Klepněte na tlačítko Spustit.

    3. Klikněte na Ovládací panely.

    4. Klikněte na Nástroje pro správu.

    5. Klikněte na místní zásady zabezpečení. Zobrazí se okno místní nastavení zabezpečení .

    6. V navigačním podokně klikněte na místní zásadya potom na Možnosti zabezpečení.

    7. V pravém podokně poklikejte na Kryptografie systému: k šifrování, výpočtu hodnoty hash a k podepisování použijte algoritmus vyhovující standardu FIPS.

    8. V zobrazeném dialogovém okně klikněte na přepínač povolenoa potom na tlačítko použít.

    9. Klikněte na tlačítko OK.

    10. Zavřete okno místní nastavení zabezpečení .

  • Požadavek na správce systému SQL Server

    • Když služba SQL Server zjistí, že při spuštění je povolen režim FIPS, SQL Server do protokolu chyb SQL serveru zaznamená následující zprávu:

      Přenos služby Service Broker běží v režimu dodržování standardů FIPS.Navíc se může v protokolu událostí systému Windows najít následující zpráva:

      Hledáním těchto zpráv můžete ověřit, že server běží v režimu FIPS.

    • V případě zabezpečení dialogového okna (mezi službami) používá šifrování v případě, že je povolen režim FIPS, ověřená instance FIPS. Pokud je režim FIPS zakázán, šifrování používá RC4.

    • Při konfiguraci koncového bodu služby Service Broker v režimu FIPS musí správce určit pro službu Service Broker "AES". Pokud je koncový bod nakonfigurovaný jako RC4, SQL Server vygeneruje chybu. Transportní vrstva proto nebude spuštěna.

Jak pracuje SQL Server 2012 v režimu standardu FIPS 140-2?

  • Při zapnutém režimu FIPS ve Windows je ve všech oblastech, ve kterých uživatel nemá možnost zašifrování/hash a jakým způsobem bude provedena, SQL Server 2012 provede v souladu se standardem FIPS 140-2. (SQL Server 2012 bude používat CryptoAPI v systému Windows a bude používat jenom certifikované instance algoritmů.)

  • Když je režim FIPS ve Windows zapnutý, ve všech oblastech, kde má uživatel možnost šifrování, SQL Server 2012 povolí buď pouze šifrování standardu FIPS 140-2, nebo nepovolí žádné šifrování.

  • Důležité informace pro vývojáře softwaruVe všech oblastech, kde vývojář nebo uživatel zapisuje vlastní kód pro šifrování nebo zatřiďování, musí mít pokyn, aby používal pouze rozhraní CryptoAPI (a tedy pouze certifikované instance) a aby určil pouze algoritmy povolené standardem FIPS 140-2. Konkrétně musí pro šifrování určovat pouze algoritmus 3DES (Triple DES) nebo AES a pro zatřiďování pouze algoritmus SHA-1.

Jaký je efekt používání SQL serveru 2012 v režimu standardu FIPS 140-2?

  • Použití silnějšího šifrování může mít malý vliv na výkon pro procesy, pro které je méně silné šifrování povolené, když proces nefunguje, jako kompatibilní se standardem FIPS 140-2.

  • Výběrem šifrování pro SSIS (UseEncryption = pravda) se zobrazí chybová zpráva s informacemi o tom, že dostupné šifrování není kompatibilní se dodržováním standardu FIPS a není povolené. Jinak řečeno se neprovede žádné šifrování procesu zprávy.

  • Používání šifrování ve starší verzi DTS není kompatibilní se standardem FIPS 140-2. Uvědomte si, že pro DTS není zapnut režim FIPS ve Windows. Proto je odpovědností uživatele zvolit, že nevyhovuje žádné šifrování.

  • Vzhledem k tomu, že většina procesů systému SQL Server 2012 pro šifrování a zpracování algoritmů hash je již kompatibilní se standardem FIPS 140-2, znamená to, že při plném výkonu (v režimu FIPS ve Windows) se neprojeví používání nebo výkon produktu.

Kde se dají najít další informace o FIPS 140-2?

Další informace o standardu FIPS 140-2 a o tom, jak si ho stáhnout, najdete na následujícím webu NIST:

http://csrc.nist.gov/cryptval/140-2.htm Společnost Microsoft se vám snaží usnadnit získání technické podpory poskytnutím informací o kontaktech na jiné výrobce. Tyto informace se mohou změnit bez předchozího upozornění. Společnost Microsoft neručí za správnost informací o kontaktech na jiné výrobce.

Facebook LinkedIn E-mail
PŘIHLÁSIT SE K ODBĚRU INFORMAČNÍCH KANÁLŮ RSS

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×