KB2733626-instructions d’utilisation de SQL Server 2012 dans le mode compatible FIPS 140-2

Qu’est-ce que le FIPS ?

La norme FIPS (Federal Information Processing Standard) est une norme développée par les deux organismes gouvernementaux suivants :

• Institut de normalisation et de technologie nationale (NIST) aux États-Unis

• L’établissement de sécurité des communications (CSE) au Canada ;

Les normes FIPS sont recommandées ou mandatées dans les systèmes informatiques de l’administration fédérale des États-Unis et du Canada.

Qu’est-ce que le FIPS 140-2 ?

La norme FIPS 140-2 est une affirmation « exigences de sécurité pour les modules cryptographiques ». Il spécifie les algorithmes de chiffrement et les algorithmes de hachage qui peuvent être utilisés et la façon de générer et de gérer les clés de chiffrement. Certains matériels, logiciels et processus peuvent être certifiés FIPS 140-2, et certains matériels, logiciels et processus peuvent être compatibles avec la norme FIPS 140-2.

Quelle est la différence entre la compatibilité FIPS 140-2 et la certification FIPS 140-2 ?

SQL Server 2012 peut être configuré et exécuté de manière compatible avec la norme FIPS 140-2. Pour configurer SQL Server 2012 de cette manière, SQL Server 2012 doit être exécuté sur un système d’exploitation ayant une certification FIPS 140-2 ou sur un système d’exploitation qui fournit un module de chiffrement certifié. La différence entre la conformité et la certification n’est pas subtile. Les algorithmes peuvent être certifiés. Il est insuffisant d’utiliser un algorithme des listes approuvées dans FIPS 140-2. Au lieu de cela, vous devez utiliser une instance d’un tel algorithme certifié. La certification nécessite un test et une vérification par un laboratoire d’évaluation approuvé par le gouvernement. Windows Server 2003, Windows XP et Windows Server 2008 contiennent les algorithmes autorisés, et une instance de chacun de ces systèmes d’exploitation est testée par labo test et certification gouvernementale.

Quels produits d’application peuvent être compatibles FIPS 140-2 ?

Toutes les applications qui effectuent le chiffrement ou le hachage et qui s’exécutent sur une version certifiée de Windows peuvent être conformes en utilisant uniquement les instances certifiées des algorithmes approuvés et en respectant les exigences de génération de clés et de gestion des clés dans l’application, à l’aide de la fonction Windows Gardez à l’esprit que les zones d’une application compatible FIPS peuvent exister à l’endroit où les algorithmes ou les processus non conformes sont activés. Par exemple, certains processus internes qui restent dans le système et certaines données externes en plus d’un algorithme certifié sont autorisés.

Est-ce que SQL Server 2012 est compatible avec la norme FIPS 140-2 ?

Non. SQL Server 2012 peut être conforme à la norme FIPS 140-2, car il peut être configuré et exécuté de telle sorte qu’il utilise uniquement les instances d’algorithmes certifiées FIPS 140-2 qui sont appelées à l’aide de CryptoAPI pour le chiffrement ou en cas de hachage dans toutes les instances où la conformité FIPS 140-2 est requise.

Comment puis-je configurer SQL Server 2012 pour qu’il soit compatible avec la norme FIPS 140-2 ?

• Configuration requise du système d’exploitation : Vous devez installer SQL Server 2012 sur un serveur qui est basé sur l’un des systèmes d’exploitation suivants :

  • Windows Server 2003

  • Windows XP

  • Windows Server 2008

• Configuration requise pour l’administration du système Windows : Le mode FIPS doit être défini avant le démarrage de SQL Server 2012. SQL Server lit le paramètre au démarrage. Pour définir le mode FIPS, procédez comme suit :

  1. Ouvrez une session Windows en tant qu’administrateur système Windows.

  2. Cliquez sur Démarrer.

  3. Cliquez sur panneau de configuration.

  4. Cliquez sur Outils d’administration.

  5. Cliquez sur stratégie de sécurité locale. La fenêtre paramètres de sécurité locale s’affiche.

  6. Dans le volet de navigation, cliquez sur stratégies locales, puis sur options de sécurité.

  7. Dans le volet droit, double-cliquez sur cryptographie système : utilisez les algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature.

  8. Dans la boîte de dialogue qui s’affiche, cliquez sur activé, puis cliquez sur appliquer.

  9. Cliquez sur OK.

  10. Fermez la fenêtre paramètres de sécurité locaux .

• Configuration requise pour l’administrateur SQL Server

  • Lorsque le service SQL Server détecte que le mode FIPS est activé au démarrage, SQL Server enregistre le message suivant dans le journal des erreurs SQL Server :

    Le transport du Service Broker s’exécute en mode de conformité FIPS.Le message suivant pourra également s’afficher dans le journal des événements Windows :

    Vous pouvez vérifier que le serveur fonctionne en mode FIPS en recherchant ces messages.

  • Pour la sécurité de la boîte de dialogue (entre les services), le chiffrement utilise l’instance certifiée FIPS d’AES si le mode FIPS est activé. Si le mode FIPS est désactivé, le chiffrement utilise RC4.

  • Lorsque vous configurez un point de terminaison de service Broker en mode FIPS, l’administrateur doit spécifier « AES » pour le Service Broker. Si le point de terminaison est configuré sur RC4, SQL Server génère une erreur. Par conséquent, la couche de transport ne démarre pas.

Comment SQL Server 2012 fonctionne-t-il en mode compatible FIPS 140-2 ?

• Lorsque le mode FIPS de Windows est activé, dans tous les domaines pour lesquels l’utilisateur n’a pas le choix de chiffrer/hacher et la manière dont il sera exécuté, SQL Server 2012 s’exécute conformément à la norme FIPS 140-2. (SQL Server 2012 utilisera CryptoAPI dans Windows et utilisera uniquement les instances certifiées des algorithmes.)

• Lorsque le mode FIPS de Windows est activé, dans tous les cas où l’utilisateur a la possibilité d’utiliser le chiffrement, SQL Server 2012 active uniquement le chiffrement compatible FIPS 140-2 ou n’autorise aucun chiffrement.

• Informations importantes pour les développeurs de logicielsDans toutes les situations où le développeur ou l’utilisateur écrit son propre code pour le chiffrement ou le hachage, il doit être invité à utiliser uniquement CryptoAPI (et donc uniquement les instances certifiées) et à spécifier uniquement les algorithmes autorisés par FIPS 140-2. Plus précisément, elles doivent spécifier uniquement triple DES (3DES) ou AES pour le chiffrement et uniquement SHA-1 pour le hachage.

Quel effet d’exécution de SQL Server 2012 en mode compatible FIPS 140-2 ?

• L’utilisation du chiffrement renforcé peut avoir un impact faible sur les performances de ces processus pour lesquels un chiffrement faible est autorisé lorsque le processus ne fonctionne pas comme compatible FIPS 140-2.

• La sélection du chiffrement pour SSIS (UseEncryption = true) génère un message d’erreur indiquant que le chiffrement disponible est incompatible avec la compatibilité FIPS et n’est pas autorisé. En d’autres termes, il n’y a pas de chiffrement du processus du message.

• L’utilisation du chiffrement conjointement avec les DTS héritées n’est pas conforme à la norme FIPS 140-2. Sachez que pour les services DTS, le mode FIPS dans Windows n’est pas activé. Par conséquent, il incombe à l’utilisateur de sélectionner un chiffrement pour rester conforme.

• Étant donné que la plupart des processus de chiffrement et de hachage SQL Server 2012 sont déjà compatibles FIPS 140-2, l’exécution en mode de conformité complet (c’est-à-dire, avec le mode FIPS dans Windows activé) n’aura aucun effet sur l’utilisation ou les performances du produit.

Où puis-je en savoir plus sur le FIPS 140-2 ?

Pour plus d’informations sur la norme FIPS 140-2 et la façon de la télécharger, rendez-vous sur le site Web de NIST suivant :

http://csrc.nist.gov/cryptval/140-2.htmMicrosoft fournit des informations de contact de sociétés tierces afin de vous aider à obtenir un support technique. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l'exactitude des informations concernant les sociétés tierces.