FIPS 140-2 uyumlu modda SQL Server 2008 kullanma yönergeleri

  • Makale

Bu makalede FIPS 140-2 ve FIPS 140-2 uyumlu modda SQL Server 2008'in nasıl kullanılacağı açıklanır.

Özgün ürün sürümü: SQL Server
Özgün KB numarası: 955720

Giriş

Bu makalede Federal Bilgi İşleme Standardı (FIPS) 140-2 yönergeleri ve Microsoft SQL Server 2008'in FIPS 140-2 uyumlu modda nasıl kullanılacağı açıklanır.

Not

Kullanım ve netlik için "FIPS 140-2 uyumlu", "FIPS 140-2 uyumluluğu" ve "FIPS 140-2 uyumlu mod" terimleri burada tanımlanmıştır. Bu koşullar tanınmaz veya tanımlanmamış kamu koşullarıdır. Birleşik Devletler ve Kanada hükümetleri şifreleme modüllerinin FIPS 140-2 gibi standartlara karşı doğrulanması ve bunların belirtilen veya uyumlu bir şekilde kullanılmadığını kabul eder. Bu makalede, "FIPS 140-2 uyumlu", "FIPS 140-2 uyumluluğu" ve "FIPS 140-2 uyumlu mod" tanımlayarak, SQL Server 2008'in şifrelenmiş veya karma verilerin içeri aktarıldığı veya SQL Server 2008'e aktarıldığı tüm örneklerde algoritmaların ve karma işlevlerinin yalnızca FIPS 140-2 onaylı örneklerini kullandığı anlamına gelir. Ayrıca bu terimler, SQL Server 2008'in anahtarları FIPS 140-2 onaylı şifreleme modüllerinin gerektirdiği şekilde güvenli bir şekilde yöneteceği anlamına gelir. Anahtar yönetimi işlemi hem anahtar oluşturma hem de anahtar depolama işlevlerini de içerir.

FIPS nedir?

FIPS, Federal Bilgi İşleme Standartları anlamına gelir. FIPS, iki kamu kuruluşu tarafından geliştirilen standartlardır. Bunlardan biri Birleşik Devletler Ulusal Standartlar ve Teknoloji Enstitüsüdür. Diğeri de Kanada'daki İletişim Güvenliği Kuruluşu. FIPS, federal (Birleşik Devletler veya Kanada) devlet tarafından çalıştırılan BT sistemlerinde kullanılması önerilen veya zorunlu kılınan standartlardır.

FIPS 140-2 nedir?

FIPS 140-2, "Şifreleme Modülleri için Güvenlik Gereksinimleri" deyimidir. Hangi şifreleme algoritmalarının ve hangi karma algoritmalarının kullanılabileceğini ve şifreleme anahtarlarının nasıl oluşturulup yönetilebileceğini belirtir. Bazı donanım, yazılım ve işlemler, onaylı bir doğrulama laboratuvarı tarafından doğrulanan FIPS 140-2 olabilir. Bunlardan bazıları, terim bu makalede tanımlandığından FIPS 140-2 uyumlu olarak da tanımlanabilir.

"FIPS 140-2 uyumlu" bir uygulama ile "FIPS 140-2-doğrulanmış" olan bir uygulama arasındaki fark nedir?

SQL Server 2008'i FIPS 140-2 uyumlu bir uygulama olarak çalışacak şekilde yapılandırabilirsiniz. Bunu yapmak için SQL SERVER 2008'i FIPS 140-2 ile doğrulanmış Şifreleme Hizmeti Sağlayıcısı kullanan veya doğrulanmış bir şifreleme modülü sağlayan bir işletim sisteminde çalıştırmanız gerekir. Uyumluluk ve doğrulama arasındaki fark ince değildir. Algoritmalar doğrulanabilir. FIPS 140-2'de onaylanan listelerdeki algoritmaları kullanmanın yetersiz olduğunu fark edin. FIPS 140-2 doğrulanmış algoritma örneklerini kullanmanız gerekir. Doğrulama, kamu onaylı bir değerlendirme laboratuvarı tarafından test ve doğrulama gerektirir. Windows Server 2008, Windows Server 2003 ve Windows XP onaylı şifreleme modüllerini içerir ve algoritmaların belirli örnekleri de dahil olmak üzere modüller laboratuvar testi yapılmış ve kamu tarafından doğrulanmıştır.

Hangi uygulamalar FIPS 140-2 uyumlu olabilir?

Şifreleme veya karma işlemi gerçekleştiren ve Windows Şifreleme Hizmeti Sağlayıcısı'nın doğrulanmış bir sürümünde çalışan tüm uygulamalar, yalnızca onaylanan algoritmaların doğrulanmış örneklerini kullanıyorsa uyumlu olabilir. Bu uygulamaların, bir Windows anahtar işlevi kullanarak veya uygulamadaki anahtar oluşturma ve anahtar yönetimi gereksinimlerini karşılayarak anahtar oluşturma ve anahtar yönetimi gereksinimlerine de uyması gerekir. Ayrıca, bazı durumlarda FIPS 140-2 uyumlu bir uygulamada uyumsuz algoritmalara veya işlemlere izin verilir. Örneğin, veriler bu şifrelenmiş biçimde uygulamanın içinde kalırsa, yani veriler bu biçimde dışarı aktarılmazsa veya veriler FIPS uyumlu bir algoritma kullanılarak daha fazla şifrelenirse (sarmalanır) ise, uyumsuz bir algoritma kullanılarak şifrelenebilir.

Bu, SQL Server 2008'in her zaman FIPS 140-2 uyumlu olduğu anlamına mı geliyor?

Hayır. Bu, SQL Server 2008'in FIPS 140-2 uyumlu modda çalışacak şekilde yapılandırılabilmesi anlamına gelir.

SQL Server 2008, FIPS 140-2 onaylı şifreleme modülünü kullanacak şekilde nasıl yapılandırılabilir?

  • İşletim sistemi gereksinimleri

    SQL Server 2008'i Windows Server 2008 tabanlı bir bilgisayara, Windows Vista tabanlı bir bilgisayara, Windows Server 2003 tabanlı bir bilgisayara veya Windows XP tabanlı bir bilgisayara yüklemeniz gerekir.

  • Windows sistem yönetimi gereksinimleri

    SQL Server 2008'e başlamadan önce FIPS modunu etkinleştirmeniz gerekir. Bunun nedeni SQL Server 2008'in başlangıçta FIPS ayarını okumasıdır. FIPS'yi etkinleştirmek için aşağıdaki adımları izleyin.

    • Windows Server 2008 ve Windows Vista için

      1. Bilgisayarda oturum açmak için yönetici kimlik bilgilerini kullanın.
      2. Windows Server 2008 kullanıyorsanız Başlat'a tıklayın, Çalıştır'a tıklayın, gpedit.msc yazın ve ENTER tuşuna basın. Yerel grup ilkesi Düzenleyici açılır. Windows Vista tabanlı bir bilgisayar kullanıyorsanız Başlat'a tıklayın, Aramayı Başlat kutusuna gpedit.msc yazın ve ENTER tuşuna basın.
      3. Yerel grup ilkesi Düzenleyici, Bilgisayar Yapılandırması düğümü altında Windows Ayarları'na çift tıklayın ve ardından Güvenlik Ayarları'na çift tıklayın.
      4. Güvenlik Ayarları düğümü altında Yerel İlkeler'e çift tıklayın ve ardından Güvenlik Seçenekleri'ne tıklayın.
      5. Ayrıntılar bölmesinde Sistem şifrelemesi: Şifreleme, karma ve imzalama için FIPS uyumlu algoritmaları kullan'a çift tıklayın.
      6. Sistem şifrelemesi: Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmaları kullanın iletişim kutusunda Etkin'e tıklayın ve ardından tamam'a tıklayarak iletişim kutusunu kapatın.
      7. Yerel grup ilkesi Düzenleyici kapatın.

    • Windows Server 2003 ve Windows XP için

      1. Bilgisayarda oturum açmak için yönetici kimlik bilgilerini kullanın.
      2. Başlat'a tıklayın, Çalıştır'a tıklayın, gpedit.msc yazın ve ENTER tuşuna basın.
      3. grup ilkesi penceresinde, Bilgisayar Yapılandırması düğümü altında Windows Ayarları'na çift tıklayın ve ardından Güvenlik Ayarları'na çift tıklayın.
      4. Güvenlik Ayarları düğümü altında Yerel İlkeler'e çift tıklayın ve ardından Güvenlik Seçenekleri'ne tıklayın.
      5. Ayrıntılar bölmesinde Sistem şifrelemesi: Şifreleme, karma ve imzalama için FIPS uyumlu algoritmaları kullan'a çift tıklayın.
      6. Sistem şifrelemesi: Şifreleme, karma oluşturma ve imzalama için FIPS uyumlu algoritmaları kullanın iletişim kutusunda Etkin'e tıklayın ve ardından tamam'a tıklayarak iletişim kutusunu kapatın.
      7. grup ilkesi penceresini kapatın.

SQL Server 2008 yönetici notları

  • SQL Server 2008 hizmeti başlangıçta FIPS modunun etkinleştirildiğini algıladığında, SQL Server 2008 aşağıdaki iletiyi SQL Server hata günlüğüne kaydeder:

    Hizmet Aracısı aktarımı FIPS uyumluluk modunda çalışıyor

    Ayrıca, Aşağıdaki ileti Uygulama günlüğüne kaydedilebilir:

    Veritabanı Yansıtma aktarımı FIPS uyumluluk modunda çalışıyor

    Sunucunun FIPS modunda çalıştığını doğrulamak için bu iletileri bulun.

  • Hizmetler arasında iletişim kutusu güvenliği elde etmek için şifreleme işlemi, FIPS modu etkinse Gelişmiş Şifreleme Standardı'nın (AES) FIPS sertifikalı örneğini kullanır. FIPS modu devre dışı bırakılırsa şifreleme işlemi RC4 kullanır.

  • FIPS modunda bir Hizmet Aracısı uç noktası yapılandırırken, Hizmet Aracısı için AES belirtmeniz gerekir. Uç nokta RC4 olarak yapılandırılmışsa SQL Server bir hata oluşturur. Bu nedenle, aktarım katmanı başlatılmaz.

SQL Server 2008 FIPS 140-2 uyumlu modda nasıl çalışır?

  • Windows'ta FIPS modu açıksa ve kullanıcının verilerin şifrelenip şifrelenmesi veya karmalanması ve bunun nasıl yapılması konusunda bir seçeneği yoksa, SQL Server 2008 FIPS 140-2 uyumlu modda çalışır. SQL Server 2008 CryptoAPI kullanır ve algoritmaların yalnızca doğrulanmış örneklerini kullanır.

  • FIPS modu açıksa ve kullanıcının şifreleme kullanıp kullanmama seçeneği varsa, SQL Server 2008 yalnızca FIPS 140-2 uyumlu şifrelemeye izin verir veya herhangi bir şifrelemeye izin vermez.

  • Geliştiriciler için önemli bilgiler

    Şifreleme veya karma için kendi kodunuzu yazarsanız yalnızca CryptoAPI'yi kullanmanız gerekir. Yalnızca FIPS 140-2 tarafından izin verilen algoritmaları belirtmeniz gerekir. Özellikle, şifreleme için yalnızca Üçlü Veri Şifreleme Standardı (3DES) veya AES ve karma için yalnızca SHA-1 kullanın. İlgili FIPS 140-2 onaylı algoritmalar için SQL Server 2008'de aşağıdaki anahtar sözcükleri kullanabilirsiniz:

    • DESX(Üç tuşlu üçlü DES)
    • Üçlü DES(İki tuşlu üçlü DES)
    • TRIPLE_DES_3KEY(Üç tuşlu üçlü DES)
    • TRIPLE_DES_2KEY(İki tuşlu üçlü DES)

    Not

    DESX seçildiğinde, SQL Server 2005 veya SQL Server 2008'de bir DESX algoritması sağlanmaz. Her iki durumda da DESX seçildiğinde Üç anahtarlı üçlü DES'in doğrulanmış bir örneği sağlanır.

  • Geliştiriciler için önemli bilgiler

    SQL Server 2008, ayrı bir üçüncü taraf donanım depolama modülünde (HSM) şifreleme anahtarlarının yönetilmesini sağlayan kurumsal anahtar yönetimi (EKM) özelliğini destekler. FIPS 140-2 uyumlu modda çalışmak ve EKM'yi kullanmak için aşağıdaki iki koşuldan biri doğru olmalıdır:

    • Dış şifreleme modülü FIPS 140-2 doğrulanmış olmalıdır.
    • Şifreleme modülü tarafından kullanılan algoritmalardan bazıları FIPS 140-2 doğrulanmış olmalıdır. SQL Server'a veya SQL Server'a veri aktarmak veya dışarı aktarmak için FIPS 140-2 tabanlı şifreleme veya şifre çözme gerektiğinde yalnızca doğrulanmış algoritma örneklerini kullanın.

    Ayrıca, dış şifreleme modülü tarafından şifrelenecek veya şifresi çözülecek veriler, FIPS 140-2 tarafından doğrulanmış bir örnek kullanılarak şifrelenmiş biçimde geçirilmelidir.

FIPS 140-2 uyumlu modda SQL Server 2008 çalıştırmanın etkisi nedir?

  • Daha güçlü şifreleme kullanımı, işlem FIPS 140-2 uyumlu olarak çalışmadığında daha az güçlü şifrelemeye izin verilen işlemler için performans üzerinde küçük bir etkiye sahip olabilir.

  • SSIS için şifreleme seçimi (UseEncryption=True), kullanılabilir şifrelemenin FIPS uyumluluğuyla uyumsuz olduğunu ve izin verilmediğini belirten bir hata iletisi oluşturur. Başka bir deyişle, ileti işleminin şifrelemesi yapılmaz.

  • Şifrelemenin eski Veri Dönüştürme Hizmetleri (DTS) ile birlikte kullanılması FIPS 140-2 uyumlu değildir. DTS için Windows'ta FIPS modu işaretlenmez. Uyumlu kalmak için şifrelemeyi seçmemelisiniz.

  • Çoğu SQL Server 2008 şifreleme ve karma işlemleri zaten FIPS 140-2 onaylı bir şifreleme modülü kullanır. Bu nedenle, Windows'ta FIPS modu açıkken bir uygulamayı FIPS 140-2 uyumlu modda çalıştırırsanız, uygulamanın kullanımı veya performansı üzerinde çok az etkisi olur veya yoktur.

Üçüncü taraf bildirimi

Üçüncü taraf bilgileri hakkında yasal uyarı

Bu makalede adı geçen üçüncü taraf ürünleri Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği ile ilgili örtük veya başka türlü hiçbir garanti vermez.