Instructions sur l'utilisation SQL Server 2008 en mode 140-2-compatible FIPS

Traductions disponibles Traductions disponibles
Numéro d'article: 955720 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article explique Information Processing norme FIPS (Federal) standard instructions 140-2 et comment utiliser Microsoft SQL Server 2008 en mode 140-2-compatible FIPS.

note Les termes « FIPS 140-2?compliant, » « conformité FIPS 140-2 » et « mode FIPS 140-2-conforme » sont définies ici pour utilisation et la clarté. Ces conditions ne sont pas reconnues ou définie conditions gouvernement. Les gouvernements États-Unis et Canada reconnaissent la validation des modules de chiffrement contre les normes comme FIPS 140-2 et pas l'utilisation de dans une ou de manière conformes. Dans cet article, nous définissons ? FIPS 140-2-compatible avec, « ? conformité FIPS 140-2, « et ? FIPS 140-2-compatible mode ? pour signifier que SQL Server 2008 utilise uniquement instances de 140-2-validées FIPS d'algorithmes et le hachage de fonctions dans toutes les instances dans lequel chiffré ou hachés est importé ou exporté vers SQL Server 2008. En outre, ces termes signifient que SQL Server 2008 gérera clés de manière sécurisée selon les besoins de modules FIPS 140-2-validé chiffrement. Le processus de gestion clé inclut également à la fois la génération de clés et des fonctionnalités de stockage de clé.

Plus d'informations

Qu'est-ce que FIPS ?

FIPS signifie Federal Information Processing Standards. FIPS sont des normes qui sont développées par des organismes du gouvernement deux. Un est le National Institute of Standards et la technologie aux États-Unis. L'autre est l'établissement de sécurité communications au Canada. FIPS sont des normes qui sont recommandés ou imposés à utiliser dans les systèmes INFORMATIQUES de gouvernement-géré locale (des États-Unis ou Canada).

Quelle est FIPS 140-2 ?

FIPS 140-2 est une instruction de la « sécurité configuration pour chiffrement modules. » Il spécifie les algorithmes de chiffrement peuvent d'utiliser les algorithmes de hachage et comment clés de chiffrement doivent être généré et gérés. Certains matériels, logiciels et processus peuvent être FIPS 140-2 de validation par un laboratoire de validation approuvé. Certains d'entre eux peuvent également être décrit comme FIPS 140-2-compatibles lorsque la condition est définie dans cet article.

Quelle est la différence entre une application qui est « FIPS 140-2-conforme » et une application qui est « FIPS 140-2-validé » ?

Vous pouvez configurer SQL Server 2008 pour s'exécuter comme une application de 140-2-compatible FIPS. Pour ce faire, vous devez exécuter SQL Server 2008 sur un système d'exploitation qui utilise un fournisseur de services chiffrement FIPS 140-2-validé ou qui fournit un module de chiffrement qui a été validé. La différence entre validation et la conformité n'est pas subtile. Algorithmes peuvent être validées. Réalisez qu'il est insuffisante pour utiliser des algorithmes dans les listes approuvées dans FIPS 140-2. Vous devez utiliser instances d'algorithmes qui ont été FIPS 140-2 validées. Validation nécessite test et la vérification par un laboratoire d'évaluation gouvernement-approuvé. Windows Server 2008, Windows Server 2003 et Windows XP contiennent les modules cryptographiques approuvés et les modules, y compris les instances spécifiques des algorithmes, ont été testés en laboratoires et gouvernement validées.

Les applications peuvent être FIPS 140-2-compatible ?

Toutes les applications qui effectuer le chiffrement ou le hachage et qui exécuter sur une version validée d'un fournisseur de services Microsoft Windows Services de chiffrement peuvent être conformes si elles utilisent uniquement les instances validées des algorithmes approuvés. Ces applications doivent également conformer à la génération de clés et exigences de gestion des clés soit en utilisant une fonction clée Windows ou de réunion la génération de clés et les exigences de gestion des clés de l'application. En outre, dans certains cas, algorithmes non conformes ou des processus sont autorisés dans une application de 140-2-compatible FIPS. Par exemple, les données peuvent être chiffrées en utilisant un algorithme non conforme si, dans ce formulaire chiffré, le conserve des données de l'application, c'est-à-dire, les données ne sont pas exportées dans cet écran ou si les données sont chiffrées davantage (raccourcies) avec un algorithme compatible FIPS.

Cela signifie que SQL Server 2008 est toujours FIPS 140-2-compatible ?

Non. Cela signifie que SQL Server 2008 peut être configuré pour s'exécuter en mode 140-2-compatible FIPS.

Comment SQL Server 2008 peut être configuré pour utiliser un module de chiffrement FIPS 140-2-validé ?

Configuration requise du système d'exploitation

Vous devez installer SQL Server 2008 sur un ordinateur Windows Server 2008, un ordinateur Windows Vista, un ordinateur Windows Server 2003 ou un ordinateur Windows XP.

Administration requise de Windows

Vous devez activer le mode FIPS avant de démarrer SQL Server 2008. Cela est dû au fait que SQL Server 2008 lit le paramètre FIPS au démarrage. Pour activer FIPS, procédez comme suit.

pour Windows Server 2008 et Windows Vista
  1. Utilisez les informations d'identification d'administration pour vous connecter à l'ordinateur.
  2. Si vous utilisez Windows Server 2008, cliquez sur Démarrer , cliquez sur Exécuter , tapez gpedit.msc et puis appuyez sur ENTRÉE. L'éditeur de stratégie de groupe locale s'ouvre. Si vous utilisez un ordinateur Windows Vista, cliquez sur Démarrer , tapez gpedit.msc dans la zone Rechercher et appuyez sur ENTRÉE.
  3. Dans l'Éditeur de stratégie de groupe local, sur Paramètres Windows sous le noeud Configuration ordinateur et double-cliquez sur Paramètres de sécurité .
  4. Sous le n?ud paramètres de sécurité , sur Stratégies locales , puis cliquez sur Options de sécurité .
  5. Dans le volet de détails, double-cliquez sur Cryptographie système : algorithmes FIPS d'utiliser-compatible pour le cryptage, le hachage et la signature .
  6. Dans la Cryptographie système : algorithmes FIPS d'utiliser-compatible pour le cryptage, le hachage et la signature boîte de dialogue, cliquez sur Activer , puis cliquez sur OK pour fermer la boîte de dialogue.
  7. Fermez l'Éditeur de stratégie de groupe local.
pour Windows Server 2003 et Windows XP
  1. Utilisez les informations d'identification d'administration pour vous connecter à l'ordinateur.
  2. Cliquez sur Démarrer , cliquez sur Exécuter , tapez gpedit.msc et appuyez sur ENTRÉE.
  3. Dans la fenêtre Stratégie de groupe, sur Paramètres Windows sous le noeud Configuration ordinateur et double-cliquez sur Paramètres de sécurité .
  4. Sous le n?ud paramètres de sécurité , sur Stratégies locales , puis cliquez sur Options de sécurité .
  5. Dans le volet de détails, double-cliquez sur Cryptographie système : algorithmes FIPS d'utiliser-compatible pour le cryptage, le hachage et la signature .
  6. Dans la Cryptographie système : algorithmes FIPS d'utiliser-compatible pour le cryptage, le hachage et la signature boîte de dialogue, cliquez sur Activer , puis cliquez sur OK pour fermer la boîte de dialogue.
  7. Fermez la fenêtre Stratégie de groupe.

Commentaires administrateur SQL Server 2008

  • Lorsque le service SQL Server 2008 détecte que le mode FIPS est activé lors du démarrage, SQL Server 2008 enregistre le message suivant dans le journal des erreurs SQL Server :
    Transport Service Broker est exécuté en mode conformité FIPS
    En outre, le message suivant peut être enregistré dans le journal d'application :
    Transport de mise en miroir de base de données s'exécute en mode conformité FIPS
    Pour vérifier que le serveur s'exécute en mode FIPS, recherchez ces messages.
  • Pour obtenir la boîte de dialogue sécurité entre services, le processus de chiffrement utilise l'instance certifiée FIPS de la standard AES (Advanced Encryption) si le mode FIPS est activé. Si le mode FIPS est désactivé, le processus de chiffrement utilise RC4.
  • Lorsque vous configurez un point de terminaison Service Broker en mode FIPS, vous devez spécifier « AES » pour le Service Broker. Si le point de terminaison est configuré pour RC4, SQL Server génère une erreur. Par conséquent, la couche de transport ne démarre pas.

Comment SQL Server 2008 fonctionne-t-il FIPS 140-2-compatible mode ?

  • Si le mode FIPS dans Windows est activé et si l'utilisateur dispose d'aucun choix sur s'il faut chiffrer ou données de hachage et manière dont elle est effectuée, SQL Server 2008 fonctionne en FIPS 140-2-compatible mode. SQL Server 2008 utilise l'interface CryptoAPI et utilisent uniquement les instances validées des algorithmes.
  • Si mode FIPS est activé et si l'utilisateur a une possibilité de d'utiliser le chiffrement, SQL Server 2008 est soit permettent uniquement FIPS 140-2-compatible avec cryptage ou n'autorise pas pour le cryptage des.
  • informations importantes pour les développeurs

    Si vous écrivez votre propre code de chiffrement ou le hachage, vous devez utiliser uniquement l'interface CryptoAPI. Vous devez spécifier seulement les algorithmes qui sont autorisés par FIPS 140-2. Plus précisément, utiliser uniquement le Triple Data Encryption Standard (3DES) ou AES pour le chiffrement et uniquement SHA-1 pour le hachage. Vous pouvez utiliser les mots clés suivants dans SQL Server 2008 pour les algorithmes validées 140-2 FIPS respectifs :
    • DESX (trois clé triple DES)
    • Triple-DES (deux clé triple DES)
    • TRIPLE_DES_3KEY (trois clé triple DES)
    • TRIPLE_DES_2KEY (deux clé triple DES)
    note En sélectionnant DESX ne fournit pas un algorithme DESX dans SQL Server 2005 ou SQL Server 2008. Dans les deux cas, en sélectionnant DESX fournit une instance validée de trois clé triple DES.
  • informations importantes pour les développeurs

    SQL Server 2008 prend en charge une fonctionnalité de gestion (EKM) clé Enterprise qui permet la gestion des clés de chiffrement dans un module de stockage matériel tiers distinct (HSM). Pour fonctionner en mode 140-2-compatible FIPS et utiliser EKM, une des deux conditions suivantes doit être vraie :
    • Le module cryptographique externe doit être FIPS 140-2 validées.
    • Certaines des algorithmes qui sont utilisés par le module cryptographique doivent être FIPS 140-2 validées. Utilisez uniquement aux instances d'algorithmes validées lorsque FIPS 140-2 chiffrement ou le déchiffrement est requis pour l'importation ou exportation de données vers ou à partir de SQL Server.
    En outre, les données sont chiffrées ou déchiffrées que par le module cryptographique externe doivent être transmises sous forme cryptée via une instance de 140-2-validées FIPS.

Ce qui est l'effet d'exécuter SQL Server 2008 en mode 140-2-compatible FIPS ?

  • Utilisation du cryptage plus puissant peut avoir un effet petit sur les performances de ces processus où moins cryptage renforcé est autorisé lorsque le processus fonctionne pas comme FIPS 140-2-compatible.
  • Sélection de chiffrement de SSIS (UseEncryption = True) génère une message d'erreur que le chiffrement disponible est incompatible avec NÉCESSITE la compatibilité FIPS et n'est pas autorisé. En d'autres termes, sans cryptage du processus de message est effectuée.
  • Utilisation de chiffrement avec DTS (hérité Data Transformation Services) n'est pas FIPS 140-2-compatible. Pour DTS, le mode FIPS dans Windows n'est pas activée. Pour rester compatible avec, vous ne devez pas sélectionner de chiffrement.
  • La plupart des chiffrement SQL Server 2008 et le hachage de processus déjà utilisent un module de chiffrement FIPS 140-2-validé. Par conséquent, si vous exécutez une application en mode 140-2-compatible FIPS lorsque le mode FIPS est activé dans Windows, il y a peu ou pas effet sur l'utilisation ou le performances de l'application.

Où je plus d'informations sur FIPS 140-2 ?

Pour plus d'informations sur la norme FIPS et comment le télécharger, reportez-vous au site Web NIST suivant :
http://csrc.nist.gov/cryptval/140-2.htm
Microsoft fournit des coordonnées de sociétés tiers afin de rechercher le support technique. Ces informations peuvent modifiées sans préavis. Microsoft ne garantit pas l'exactitude des informations tiers contact concernant.

Références

Pour plus d'informations sur l'utilisation de SQL Server 2005 FIPS 140-2-compatible mode, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
920995 Instructions d'utilisation SQL Server 2005 Service Pack 1 ou une version ultérieure de SQL Server dans le FIPS 140-2 en mode compatible qui s'affichent

Propriétés

Numéro d'article: 955720 - Dernière mise à jour: jeudi 19 mars 2009 - Version: 3.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft SQL Server 2008 Developer
  • Microsoft SQL Server 2008 Enterprise
  • Microsoft SQL Server 2008 Standard
Mots-clés : 
kbmt sql2008relnoteconfiguration sql2008relnote kbhowto kbexpertiseadvanced kbinfo KB955720 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 955720
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com