إرشادات لاستخدام SQL Server 2008 في حالة FIPS 140-2-متوافقة

مقدمة

تتناول هذه المقالة المعلومات معالجة مقياس الفيدرالي (FIPS) إرشادات 140-2 وكيفية استخدام Microsoft SQL Server 2008 في حالة FIPS 140-2-متوافقة.

ملاحظة: "140-2 – المتوافقة مع FIPS،" الشروط "التوافق مع FIPS 140-2" و "حالة FIPS 140-2-متوافقة مع" يتم تعريفها هنا للاستخدام والوضوح. لم يتم التعرف على هذه الشروط أو تحديد شروط الحكومة. تعترف حكومات الولايات المتحدة وكندا صحة وحدات التشفير النمطية استناداً إلى معايير مثل FIPS 140-2 ولا استخدام فيها محدد أو طريقة التوافق. في هذه المقالة، نقوم بتعريف "140-2-المتوافقة مع FIPS،" "التوافق مع FIPS 140-2"، و "حالة FIPS 140-2-متوافقة مع" على أنها تعني أن يستخدم SQL Server 2008 FIPS 140-2-التحقق من صحة مثيلات فقط خوارزميات وتجزئة المهام في كافة الحالات التي المشفرة أو البيانات المجزأة يتم استيرادها أو تصديرها إلى SQL Server 2008. بالإضافة إلى ذلك، تعني هذه المصطلحات SQL Server 2008 سوف إدارة المفاتيح بطريقة مأمونة كما هو مطلوب من FIPS 140-2-التحقق من صحة وحدات التشفير النمطية. تتضمن عملية إدارة المفتاح أيضا إنشاء المفتاح وتخزين مفاتيح الوظائف.

مزيد من المعلومات

ما هو FIPS؟

يعني FIPS "معايير معالجة المعلومات الفيدرالية". FIPS هي المعايير التي تم تطويرها من قبل اثنين من الهيئات الحكومية. واحد هو المعهد الوطني للمعايير والتكنولوجيا في الولايات المتحدة. والآخر هو "الجهاز الأمني الاتصالات" في كندا. FIPS هي المعايير التي أوصت أو المأذون بها لاستخدامها في أنظمة تكنولوجيا المعلومات تعمل الحكومة الاتحادية (الولايات المتحدة الأمريكية أو كندا).

ما هو FIPS 140-2؟

FIPS 140-2 عبارة "الاحتياجات الأمنية لوحدات التشفير النمطية." وهي تحدد خوارزميات التشفير التي ويمكن استخدام أي خوارزميات التجزئة وكيف يتم مفاتيح التشفير التي تم إنشاؤها وإدارتها. يمكن أن تكون بعض الأجهزة والبرامج والعمليات FIPS 140-2 التحقق من صحة التي تمت الموافقة عليها التحقق من صحة. بعض منها يمكن أيضا أن توصف FIPS 140-2-متوافقة مع ما تم تعريف المصطلح في هذه المقالة.

ما هو الفرق بين تطبيق غير "FIPS 140-2-متوافقة مع" وتطبيق "FIPS 140-2-التحقق من صحة"؟

يمكنك تكوين SQL Server 2008 تشغيله كتطبيق 140 2-متوافقة مع FIPS. للقيام بذلك، يجب تشغيل SQL Server 2008 على نظام التشغيل الذي يستخدم FIPS 140-2-التحقق من صحة "موفر خدمة التشفير" أو توفر وحدة تشفير التي تم التحقق من صحتها. الفرق بين الامتثال والتحقق من الصحة غير دقيق. يمكنك التحقق من صحة خوارزميات. تدرك أنها غير كافية لاستخدام الخوارزميات من القوائم المعتمدة في FIPS 140-2. يجب عليك استخدام مثيلات الخوارزميات التي تم FIPS 140-2 التحقق من صحتها. يتطلب التحقق من صحة الاختبار والتحقق من معمل تقييم توافق عليها الحكومة. Windows Server 2008 أو Windows Server 2003 أو نظام التشغيل Windows XP يحتوي على وحدات التشفير المعتمدة، والوحدات النمطية، بما في ذلك حالات محددة الخوارزميات، معمل اختبار والتحقق من الحكومة.

يمكن أن تكون التطبيقات FIPS 140-2-متوافقة؟

كافة التطبيقات التي تقوم بتنفيذ التشفير أو تجزئة والتي تعمل على إصدار مصادق عليه من "موفر خدمة Microsoft Windows التشفير" يمكن أن تكون متوافقة مع استخدامهم المثيلات تم التحقق من صحتها فقط خوارزميات تمت الموافقة عليها. يجب أن تلتزم هذه التطبيقات بإنشاء المفتاح ومتطلبات إدارة المفاتيح باستخدام دالة مفتاح Windows أو بلقاء إنشاء المفتاح ومتطلبات إدارة المفتاح في التطبيق. بالإضافة إلى ذلك، في بعض الحالات، خوارزميات غير المتوافقة أو العمليات مسموح بها في تطبيق 140 2-متوافقة مع FIPS. على سبيل المثال، يمكن تشفير البيانات باستخدام خوارزمية غير متوافقة إذا في نموذج مشفر هذا تبقى البيانات في التطبيق، فلا يتم تصدير البيانات في هذا النموذج أو أكثر يتم تشفير البيانات (ملتفة) استخدام خوارزمية متوافقة مع FIPS.

وهذا يعني أن SQL Server 2008 هو دائماً FIPS 140-2-متوافقة؟

لا. وهذا يعني أنه يمكن تكوين SQL Server 2008 لتشغيل في حالة FIPS 140-2-متوافقة.

كيف يتم تكوين SQL Server 2008 لاستخدام FIPS 140-2-التحقق من تشفير وحدة؟

متطلبات نظام التشغيل

يجب تثبيت SQL Server 2008 على جهاز كمبيوتر يستند إلى Windows Server 2008 أو جهاز كمبيوتر يستند إلى نظام التشغيل Windows Vista، جهاز كمبيوتر يستند إلى Windows Server 2003 أو جهاز كمبيوتر يستند إلى نظام التشغيل Windows XP.

متطلبات إدارة نظام Windows

يجب تمكين وضع FIPS قبل بدء تشغيل SQL Server 2008. وهذا لأن SQL Server 2008 يقرأ الإعداد FIPS عند بدء التشغيل. لتمكين FIPS، اتبع الخطوات التالية.

لنظام التشغيل Windows Server 2008 و Windows Vista
  1. استخدام بيانات اعتماد إدارية لتسجيل الدخول إلى الكمبيوتر.
  2. إذا كنت تستخدم Windows Server 2008، انقر فوق ابدأثم انقر فوق تشغيل، واكتب gpedit.mscواضغط على ENTER. فتح محرر نهج المجموعة المحلي. إذا كنت تستخدم جهاز كمبيوتر يستند إلى نظام التشغيل Windows Vista، انقر فوق ابدأواكتب gpedit.msc في المربع بدء البحث واضغط على ENTER.
  3. في محرر نهج المجموعة المحلي، انقر نقراً مزدوجاً فوق إعدادات Windows تحت عقده تكوين الكمبيوتر ومن ثم انقر نقراً مزدوجاً فوق إعدادات الأمان.
  4. ضمن عقده إعدادات الأمان ، انقر نقراً مزدوجاً فوق النهج المحلية، ومن ثم انقر فوق خيارات الأمان.
  5. في جزء التفاصيل، انقر نقراً مزدوجاً فوق تشفير النظام: الخوارزميات المتوافقة مع استخدام FIPS للتشفير، والتجزئة وتوقيع.

  6. في تشفير النظام: الخوارزميات المتوافقة مع استخدام FIPS للتشفير، والتجزئة والتوقيع مربع الحوار، انقر فوق ممكنومن ثم انقر فوق موافق لإغلاق مربع الحوار.
  7. إغلاق محرر نهج المجموعة المحلي.
لنظام التشغيل Windows Server 2003 ونظام التشغيل Windows XP
  1. استخدام بيانات اعتماد إدارية لتسجيل الدخول إلى الكمبيوتر.
  2. انقر فوق ابدأثم انقر فوق تشغيل، واكتب gpedit.mscواضغط على ENTER.
  3. في إطار "نهج المجموعة"، انقر نقراً مزدوجاً فوق إعدادات Windows تحت عقده تكوين الكمبيوتر ، ومن ثم انقر نقراً مزدوجاً فوق إعدادات الأمان.
  4. ضمن عقده إعدادات الأمان ، انقر نقراً مزدوجاً فوق النهج المحلية، ومن ثم انقر فوق خيارات الأمان.
  5. في جزء التفاصيل، انقر نقراً مزدوجاً فوق تشفير النظام: الخوارزميات المتوافقة مع استخدام FIPS للتشفير، والتجزئة وتوقيع.

  6. في تشفير النظام: الخوارزميات المتوافقة مع استخدام FIPS للتشفير، والتجزئة والتوقيع مربع الحوار، انقر فوق ممكنومن ثم انقر فوق موافق لإغلاق مربع الحوار.
  7. إغلاق إطار "نهج المجموعة".

ملاحظات مسؤول SQL Server 2008

  • عند اكتشاف خدمة SQL Server 2008 تمكين وضع FIPS عند بدء التشغيل، سجلات SQL Server 2008 الرسالة التالية في سجل أخطاء SQL Server:
    تشغيل في وضع التوافق مع FIPS Service Broker النقل
    بالإضافة إلى ذلك، قد يتم تسجيل الرسالة التالية في سجل التطبيق:
    تشغيل في وضع التوافق مع FIPS النقل انعكاس قاعدة البيانات
    للتحقق من أن الملقم قيد التشغيل في وضع FIPS، حدد موقع هذه الرسائل.
  • للحصول على الأمان الحوار بين الخدمات، استخدم عملية التشفير مثيل FIPS المصدقة من مقاييس التشفير المتقدمة (AES) إذا تم تمكين وضع FIPS. إذا تم تعطيل وضع FIPS، تستخدم عملية تشفير RC4.
  • عند تكوين نقطة نهائية Service Broker في حالة FIPS، يجب تحديد "الخدمات المعمارية والهندسية" "وسيط الخدمة". إذا تم تكوين نقطة النهاية إلى RC4، يقوم SQL Server بإنشاء خطأ. لذلك، لا يبدأ طبقة النقل.

كيف تعمل SQL Server 2008 في حالة FIPS 140-2-متوافقة؟

  • إذا تم تشغيل وضع FIPS في Windows وإذا كان لدى المستخدم أي خيار حول ما إذا كان سيتم تشفير أو تجزئة البيانات وكيف يمكن ذلك، تعمل SQL Server 2008 في حالة FIPS 140-2-متوافقة. سيستخدم CryptoAPI SQL Server 2008 وسيتم استخدام مثيلات تم التحقق من صحتها فقط خوارزميات.
  • إذا تم تشغيل وضع FIPS وحالة المستخدم باختيار ما إذا كنت تريد استخدام التشفير، سيقوم SQL Server 2008 أما السماح بتشفير 140 2-المتوافقة مع FIPS فقط أو أنها لن تسمح لأي تشفير.
  • معلومات هامة للمطورين

    إذا قمت بكتابة التعليمات البرمجية الخاصة بك للتشفير أو التجزئة، يجب استخدام CryptoAPI فقط. يجب تحديد الخوارزميات التي يسمح بها FIPS 140-2. وبوجه خاص، تستخدم فقط "مقياس تشفير البيانات الثلاثي" (3DES) أو AES لتشفير وإلا يطلق للتجزئة. يمكنك استخدام الكلمات الأساسية التالية في SQL Server 2008 خوارزميات FIPS 140-2-التحقق من صحة كل منها:

    • DESX (مفتاح ثلاثة الثلاثي DES)
    • ثلاثي DES(Two-key triple DES)
    • TRIPLE_DES_3KEY (ثلاثة مفتاح DES الثلاثي)
    • TRIPLE_DES_2KEY (DES الثلاثي ثنائية المفاتيح)
    ملاحظة: تحديد DESX لا يوفر خوارزمية DESX في SQL Server 2005 أو في SQL Server 2008. وفي كلتا الحالتين، يوفر تحديد DESX مثيل تم التحقق من صحته من ثلاثة مفتاح DES الثلاثي.
  • معلومات هامة للمطورين

    يدعم SQL Server 2008 ميزة إدارة (اكم) "مؤسسة مفتاح" يتيح إدارة مفاتيح التشفير على وحدة تخزين منفصلة أجهزة خارجية (HSM). للعمل في حالة FIPS 140-2-متوافقة مع واستخدام اكم، يجب أن يتحقق أحد الشرطين التاليين:
    • يجب أن تكون وحدة التشفير النمطية الخارجية FIPS 140-2 التحقق من صحتها.
    • يجب أن تكون بعض الخوارزميات المستخدمة من قبل وحدة التشفير النمطية FIPS 140-2 التحقق من صحتها. استخدام المثيلات خوارزميات تم التحقق من صحتها فقط عندما يكون مطلوباً FIPS 140-2-تعتمد على التشفير أو فك التشفير لاستيراد البيانات أو تصديرها إلى أو من SQL Server.
    بالإضافة إلى ذلك، يجب تمرير البيانات التي سيتم تشفيرها أو فك تشفيرها بواسطة وحدة التشفير النمطية الخارجية في نموذج مشفر باستخدام مثيل FIPS 140-2-التحقق من صحة.

ما هو تأثير تشغيل SQL Server 2008 في حالة FIPS 140-2-متوافقة؟

  • قد يكون استخدام تشفير أقوى من تأثير صغير على أداء هذه العمليات المسموح أقل التشفير القوى عندما لا يعمل ك FIPS 140-2-متوافقة مع العملية.
  • تحديد التشفير لمباحث أمن الدولة (أوسينكريبشن = True) سيقوم بإنشاء رسالة خطأ أنه غير متوافق مع التوافق مع FIPS التشفير المتوفرة وغير مسموح به. بمعنى آخر، يتم تنفيذ لا تشفير الرسالة عملية.
  • استخدام التشفير مع خدمات تحويل البيانات القديمة (DTS) غير 140-2-المتوافقة مع FIPS. ل DTS، لم يتم فحص وضع FIPS في Windows. لما زالت تتقيد، يجب أن تحدد التشفير.
  • تشفير SQL Server 2008 معظم وتجزئة عمليات مسبقاً استخدام FIPS 140-2-التحقق من تشفير وحدة. ولذلك، إذا قمت بتشغيل أحد تطبيقات في وضع FIPS 140-2-متوافقة مع عند تشغيل وضع FIPS في Windows، هناك أو لا تأثير على استخدام أو أداء التطبيق.

أين يمكنني معرفة المزيد عن FIPS 140-2؟

لمزيد من المعلومات حول كيفية تحميل البرنامج والقياسي FIPS، قم بزيارة موقع الويب NIST التالية:توفر Microsoft معلومات الاتصال خارجية لمساعدتك في الحصول على الدعم التقني. قد تتغير معلومات جهة الاتصال هذه دون إشعار. لا تضمن Microsoft دقة معلومات جهة الاتصال لهذه الجهات الأخرى.
لمزيد من المعلومات حول كيفية استخدام SQL Server 2005 في حالة FIPS 140 2-المتوافقة، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

920995 التعليمات الخاصة باستخدام SQL Server 2005 Service Pack 1 أو إصدار لاحق من SQL Server في FIPS 140-2 وضع متوافق

خصائص

رقم الموضوع: 955720 - آخر مراجعة: 09‏/01‏/2017 - المراجعة: 1

تعليقات