KB2733626-FIPS 140-2 uyumlu modda SQL Server 2012 kullanma yönergeleri

Giriş

Bu makalede, FIPS 140-2 yönergeleri ve FIPS 140-2 uyumlu modunda Microsoft SQL Server 2012 kullanımı açıklanmaktadır.Notlar

"FIPS 140-2 uyumlu," "FIPS 140-2 uyumluluğu," ve "FIPS 140-2 uyumlu modu" terimleri, kullanım ve açıklık için burada tanımlanmıştır. Bu terimler, tanınamaz veya tanımlanmaz. ABD ve Kanada hükümetleri, şifreleme modüllerinin belirli veya uyumlu bir şekilde değil, FIPS 140-2 gibi standartlara göre doğrulanmasını tanır. Bu makalede, "FIPS 140-2 uyumlu," "FIPS 140-2 uyumluluğu," ve "FIPS 140-2 uyumlu mod" ifadesini kullanarak, SQL Server 2012 'in, şifrelenmiş veya karma verilerin alındığı tüm örneklerde yalnızca FIPS 140-2 doğrulanmış algoritmalar ve karma işlevleri kullandığı örnekte, SQL Server 2012 Buna ek olarak bu, SQL Server 2012 ' in, FIPS 140-2 doğrulanmış şifreleme modüllerinden olması gerektiği gibi, anahtarları güvenli bir şekilde yönetecağı anlamına gelir. Anahtar Yönetimi işlemi hem anahtar oluşturma hem de anahtar depolama içerir.
Algoritmanın örneğinin FIPS 140-2 doğrulanmış olduğunu veya işletim sisteminin FIPS 140-2 ile doğrulanmış algoritmalar olduğunu belirten bir anlamı olan "Certified" öğesini kullanırız.

Ek Bilgi

FIPS nedir?

Federal bilgi Işleme standardı (FIPS) aşağıdaki iki kamu gövdelerinin geliştirdiği standarttır:

ABD 'deki ulusal standartlar ve Teknoloji Enstitüsü (NıST)
Kanada 'daki Iletişim güvenliği kurulumu (CSE)

FIPS standartları, Amerika Birleşik Devletleri ve Kanada 'da Federal BT odaklı BT sistemlerinde kullanılmak üzere önerilen veya mandated.

FIPS 140-2 nedir?

FIPS 140-2, "şifreleme modülleri için güvenlik gereksinimleri" başlıklı bir deyimidir. Hangi şifreleme algoritmalarının ve hangi karma algoritmaların kullanılabileceğini ve şifreleme anahtarlarının nasıl oluşturulacağını ve yönetileceğini belirtir. Bazı donanım, yazılım ve işlemler FIPS 140-2 sertifikalı olabilir, bazı donanım, yazılım ve işlemlerle FIPS 140-2 uyumlu olabilir.

FIPS 140-2 uyumlu ve FIPS 140-2 sertifikalı arasındaki fark nedir?

SQL Server 2012, FIPS 140-2 ile uyumlu bir şekilde yapılandırılabilir ve çalıştırılabilir. SQL Server 2012 'i bu şekilde yapılandırmak için, SQL Server 2012, FIPS 140-2 sertifikalı veya Certified bir şifreleme modülü sağlayan bir işletim sistemindeki işletim sisteminde çalışmalıdır. Uyumluluk ile sertifika arasındaki fark hafif değildir. Algoritmalar onaylı olabilir. FIPS 140-2 'daki onaylanan listelerden bir algoritma kullanmak yeterli değildir. Bunun yerine, bu tür bir algoritmanın sertifikalıdır. Sertifika, resmi onaylı değerlendirme laboratuvarı tarafından test ve doğrulama gerektirir. Windows Server 2003, Windows XP ve Windows Server 2008 izin verilen algoritmaları içerir ve bu işletim sistemlerinin her birinin örneği, değerlendirme laboratuarının sınanmış ve kamu onaylı olduğunu kapsar.

Hangi uygulama ürünleri FIPS 140-2 uyumlu olabilir?

Windows 'un Certified bir sürümünde çalışan ve Windows 'un Certified sürümünde çalışan tüm uygulamalar, yalnızca onaylanmış algoritmaların sertifikalı örneklerini kullanarak, anahtar oluşturma ve anahtar yönetimi için Windows işlevini kullanarak ve anahtar oluşturma ve anahtar yönetimi gereksinimleriyle uyumlu olabilir ve uygulama içinde anahtar oluşturma ve anahtar yönetimi gereksinimleriyle uyumlu olabilir. FIPS uyumlu bir uygulamadaki alanların uyumlu olmayan algoritmalara veya süreçlere sahip olabileceğini unutmayın. Örneğin, sistem içinde yer alan bazı iç işlemlere ve sertifikalı algoritma örneği tarafından ek olarak bazı dış verilere izin verilir.

SQL Server 2012 her zaman FIPS 140-2 uyumlu mi?

Hayır. SQL Server 140-2 2012, yalnızca şifreleme için CryptoAPI kullanarak veya FIPS 140-2 uyumluluğu gereken her örnekte karma olarak çağırılan FIPS 140-2-Certified algoritma örneklerini kullanacak şekilde yapılandırılabilir ve çalıştırılabilir.

SQL Server 2012, FIPS 140-2 uyumlu olarak nasıl yapılandırılabilir?

İşletim sistemi gereksinimi: Aşağıdaki işletim sistemlerinden birine dayalı bir sunucuya SQL Server 2012 yüklemelisiniz:
- Windows Server 2003
- Windows XP
- Windows Server 2008
Windows sistem yönetimi gereksinimi: SQL Server 2012 başlatılmadan önce FIPS modu ayarlanmalıdır. SQL Server ayarı Başlangıç sırasında okur. FIPS modunu ayarlamak için şu adımları izleyin:
1. Windows Sistem Yöneticisi olarak Windows 'ta oturum açın.
2. Başlat'a tıklayın.
3. Denetim Masası 'nıtıklatın.
4. Yönetimsel Araçlar'a tıklayın.
5. Yerel güvenlik ilkesi'ne tıklayın. Yerel güvenlik ayarları penceresi görüntülenir.
6. Gezinti bölmesinde Yerel ilkeler'e ve ardından güvenlik seçenekleri'ne tıklayın.
7. Sağ taraftaki bölmede, Sistem şifrelemesi 'ni çift tıklatın : şifreleme, karma ve imza IÇIN FIPS uyumlu algoritmalar kullanın.
8. Görüntülenen iletişim kutusunda etkin'e ve ardından Uygula'ya tıklayın.
9. Tamam'a tıklayın.
10. Yerel güvenlik ayarları penceresini kapatın.
SQL Server Yöneticisi gereksinimi
- SQL Server hizmeti başlangıçta FIPS modunun etkinleştirildiğini algıladığında, SQL Server, SQL Server hata günlüğünde aşağıdaki iletiyi günlüğe kaydeder:
  
  Hizmet Aracısı aktarımı FIPS uyumluluk modunda çalışıyor.Ayrıca, Windows olay günlüğünde günlüğe aşağıdaki iletiyi yazabilirsiniz:
  
  Bu iletileri arayarak sunucunun FIPS modunda çalıştığını doğrulayabilirsiniz.
- İletişim kutusunda, FIPS modu etkinleştirilmişse, şifreleme, AES 'in FIPS sertifikalı örneğini kullanır. FIPS modu devre dışı bırakılmışsa, şifreleme RC4 kullanır.
- FIPS modunda bir hizmet Aracısı uç noktasını yapılandırdığınızda, yöneticinin hizmet Aracısı için "AES" belirtmesi gerekir. Uç nokta RC4 olarak yapılandırılırsa SQL Server bir hata oluşturur. Bu nedenle, taşıma katmanı başlatılmaz.

SQL Server 2012, FIPS 140-2 uyumlu modda nasıl işlesin?

Windows 'daki FIPS modu açık durumdayken, kullanıcının şifrelemesine/karma ve nasıl yapılacağını öğrenmek hakkında hiçbir seçim olmadığı tüm alanlarda, SQL Server 2012, FIPS 140-2 ile uyumluluk için yürütülür. (SQL Server 2012, Windows 'da CryptoAPI kullanacak ve yalnızca algoritmaların Certified örneklerini kullanacaktır.)
Windows 'daki FIPS modu açık durumdayken, kullanıcının şifrelemeyi kullanma seçeneği olduğu tüm alanlarda, SQL Server 2012 yalnızca FIPS 140-2 uyumlu şifrelemeyi etkinleştirir veya hiçbir şifrelemeyi etkinleştirmez.
Yazılım geliştiricileri için önemli bilgilerGeliştiricinin veya kullanıcının şifreleme veya karma için kendi kodlarını yazdığı tüm alanlarda, yalnızca CryptoAPI 'yi (ve dolayısıyla yalnızca Certified örnekleri) kullanmaları ve yalnızca FIPS 140-2 tarafından izin verilen algoritmaları belirtmesi gerekir. Özellikle, yalnızca üç DES (3DES) veya yalnızca karma için AES-1 belirtmelidir.

SQL Server 2012 'i FIPS 140-2 uyumlu modda çalıştırmaya ne olur?

Daha güçlü şifrelemenin kullanılması, işlem FIPS 140-2 uyumlu olarak çalışırken daha az güçlü şifreleme için izin verilen işlemler için küçük bir etkiye sahip olabilir.
SIS (UseEncryption = true) şifrelemesi seçimi, kullanılabilir şifrelemenin FIPS uyumluluğu uyumlu olmadığını belirten bir hata iletisi oluşturur ve buna izin verilmez. Diğer bir deyişle, ileti işleminin şifrelemesi yapılmaz.
Eski DTS ile birlikte şifreleme kullanımı FIPS 140-2 ile uyumlu değildir. DTS için Windows 'daki FIPS modu 'nun işaretlenmemiş olduğunu unutmayın. Bu nedenle, kullanıcının sorumluluğu, uyumlu kalması için şifreleme yok 'u seçiyorum.
Çoğu SQL Server 2012 şifrelemesi ve karma işlemleri zaten FIPS 140-2 uyumlu olduğundan tam uyumluluk (yani Windows 'un FIPS modu açık olarak), ürünün kullanımı veya performansına çok az veya hiç etkisi olmayacaktır.

FIPS 140-2 hakkında nereden daha fazla bilgi edinebilirim?

FIPS 140-2 standardı ve nasıl indirileceği hakkında daha fazla bilgi için, aşağıdaki NıST Web sitesine gidin:

http://csrc.nist.gov/cryptval/140-2.htmMicrosoft, teknik destek bulmanıza yardımcı olmak üzere üçüncü taraf iletişim bilgilerini sağlamaktadır. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Microsoft bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmez.