Преминаване към основното съдържание
Поддръжка
Влизане
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

Въведение

Тази статия описва инструкции за FIPS 140-2 и как да използвате Microsoft SQL Server 2012 в режима на FIPS 140-2.Забележки

  • Изразите "FIPS 140-2 съвместим" "" FIPS 140-2 съответствие "и" FIPS 140-2-съвместим режим "са дефинирани тук за използване и яснота. Тези условия не са разпознати или определени държавни условия. Правителствата на САЩ и Канада признават валидирането на криптографски модули спрямо стандарти като FIPS 140-2, а не използването на криптографски модули по зададен или съобразен начин. В тази статия се използва "FIPS 140-2-съвместим", "FIPS 140-2 съответствие" и "FIPS 140-2-съвместим режим", в смисъл, че SQL Server 2012 използва само FIPS 140-2-валидирани екземпляри на алгоритми и функции за хеширане във всички случаи, в които шифровани или хеширани данни се импортират или експортират от SQL Server 2012. Освен това, това означава, че SQL Server 2012 ще управлява ключове по защитен начин, както е необходимо за FIPS 140-2-утвърдени криптографски модули. Процесът на управление на ключовите неща включва едновременно генериране на ключ и ключово място за съхранение.

  • Ние използваме "сертифициран" тук, за да означава, че екземплярът на алгоритъма е потвърден FIPS 140-2 или че операционната система съдържа FIPS 140-2-утвърдени копия на алгоритми.

Повече информация

Какво представлява FIPS?

Федералният стандарт за обработка на информация (FIPS) е стандарт, разработен от следните два държавни органа:

  • Националният институт за стандарти и технологии (NIST) в Съединените щати

  • Учреждение за защита на комуникациите в Канада

Стандартите на FIPS се препоръчват или имат мандат за използване във федералните системи за управление на ИТ в Съединените щати и Канада.

Какво представлява FIPS 140-2?

FIPS 140-2 е инструкция, озаглавена "изисквания за защита за криптографски модули." Той указва кои алгоритми за криптиране и кои алгоритми могат да бъдат използвани за криптиране и как да се генерират и управляват ключовете за шифроване. Някои хардуерни, софтуерни и производствени процеси могат да бъдат сертифицирани FIPS 140-2, а някои хардуер, софтуер и процеси могат да бъдат съвместими FIPS 140-2.

Каква е разликата между това, че FIPS 140-2 е съвместим и че FIPS 140-2 е сертифициран?

SQL Server 2012 може да бъде конфигуриран и изпълнен по начин, който е съвместим с FIPS 140-2. За да конфигурирате SQL Server 2012 по този начин, SQL Server 2012 трябва да се изпълнява на операционна система, която е сертифицирана за FIPS 140-2 или на операционна система, която предоставя криптографски модул, който е сертифициран. Разликата между съответствие и сертификация не е неуловима. Алгоритмите могат да бъдат сертифицирани. Не е достатъчно да се използва алгоритъм от одобрените списъци в FIPS 140-2. Вместо това трябва да използвате екземпляр на такъв алгоритъм, който е сертифициран. Сертификацията изисква тестване и проверка от одобрена от правителството лаборатория по оценка. Windows Server 2003, Windows XP и Windows Server 2008 съдържат разрешените алгоритми и екземплярът на всяка от тези операционни системи е Изпробван и правителствен сертификат.

Кои продукти за приложения могат да бъдат съвместими с FIPS 140-2?

Всички приложения, които извършват шифроване или хеширане и които се изпълняват на сертифицирана версия на Windows, могат да бъдат съвместими с помощта само на сертифицираните екземпляри на одобрените алгоритми и чрез спазване на изискванията за генериране на ключ и управление на ключове чрез използване на функцията Windows за ключови поколения и управление на ключовите устройства или чрез спазване на изискванията за управление на ключовите и ключовите функции в приложението. Имайте предвид, че може да има области в съвместимо с FIPS приложение, където са разрешени несъвместими алгоритми или процеси. Например някои вътрешни процеси, които остават в системата и някои външни данни, които трябва да бъдат допълнително шифровани чрез сертифициран екземпляр на алгоритъм, са разрешени.

SQL Server 2012 винаги ли е съвместим с FIPS 140-2?

Не. SQL Server 2012 може да бъде FIPS 140-2 съвместим, тъй като може да бъде конфигуриран и изпълнен по такъв начин, че да използва само копия на алгоритъма за FIPS 140-2, които се извикват с помощта на CryptoAPI за шифроване или чрез хеширане във всеки случай, където се изисква съответствие на FIPS 140-2.

Как може SQL Server 2012 да е конфигуриран за FIPS 140-2 съвместим?

  • Изисквания към операционната система: Трябва да инсталирате SQL Server 2012 на сървър, базиран на една от следните операционни системи:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • Изисквания към системния администратор на Windows: Режимът на FIPS трябва да бъде зададен, преди да се стартира SQL Server 2012. SQL Server прочита настройката при стартиране. За да настроите режима FIPS, изпълнете следните стъпки:

    1. Влезте в Windows като системен администратор на Windows.

    2. Щракнете върху Старт.

    3. Щракнете върху Контролен панел.

    4. Щракнете върху административни инструменти.

    5. Щракнете върху Локални правила за защита. Появява се прозорецът Локални настройки за защита .

    6. В навигационния екран щракнете върху Локални правилаи след това върху Опции за защита.

    7. В десния прозорец щракнете двукратно върху System криптография: използвайте съвместими с FIPS алгоритми за шифроване, хеширане и подписване.

    8. В диалоговия прозорец, който се появява, щракнете върху Разрешии след това щракнете върху Приложи.

    9. Щракнете върху ОК.

    10. Затворете прозореца Настройки на локална защита .

  • Изисквания към администратора на SQL Server

    • Когато услугата SQL Server открие, че режимът на FIPS е разрешен при стартиране, SQL Server регистрира следното съобщение в регистъра за грешки на SQL Server:

      Транспортен брокер на услуги се изпълнява в режим на съответствие на FIPS.Освен това можете да намерите следното съобщение, записано в регистъра на събитията на Windows:

      Можете да проверите дали сървърът се изпълнява в режим на FIPS, като потърсите тези съобщения.

    • За диалоговия прозорец "защита" (между услугите) шифроването използва екземпляр на AES, сертифициран по FIPS, ако режимът FIPS е разрешен. Ако режимът FIPS е забранен, шифроването използва RC4.

    • Когато конфигурирате крайна точка за брокер на услуги в режима FIPS, администраторът трябва да посочи "AES" за брокера на услуги. Ако крайна точка е конфигурирана за RC4, SQL Server ще генерира грешка. Следователно транспортният слой няма да се стартира.

Как се управлява SQL Server 2012 в FIPS 140-2-съвместим режим?

  • Когато режимът FIPS в Windows е включен, във всички области, в които потребителят няма избор дали да шифрова/хеширане и как ще бъде извършено, SQL Server 2012 ще се изпълнява в съответствие с FIPS 140-2. (SQL Server 2012 ще използва CryptoAPI в Windows и ще използва само сертифицираните екземпляри на алгоритмите.)

  • Със режима на FIPS в Windows е включен, във всички области, в които потребителят има избор дали да използва шифроване, SQL Server 2012 или ще разреши само FIPS 140-2 съвместимо шифроване или няма да разреши никакво шифроване.

  • Важна информация за разработчиците на софтуерВъв всички области, в които предприемачът или потребителят е написал собствения си код за криптиране или хеширане, той трябва да бъде инструктиран да използва само CryptoAPI (и следователно само сертифицираните екземпляри) и да указва само алгоритмите, разрешени от FIPS 140-2. По-конкретно те трябва да указват само тройни DES (3DES) или AES за криптиране и само SHA-1 за хеширане.

Какъв е ефектът от използването на SQL Server 2012 в FIPS 140-2-съвместим режим?

  • Употребата на по-силно шифроване може да има малък ефект върху производителността за тези процеси, при които е разрешен по-малко силно шифроване, когато процесът не работи като съвместим с FIPS 140-2.

  • Изборът на шифроване за SSIS (UseEncryption = TRUE) ще генерира съобщение за грешка, което гласи, че наличното шифроване е несъвместимо с съвместимостта на FIPS и не е разрешено. С други думи, не се извършва шифроване на процеса на съобщения.

  • Използването на шифроване заедно със Legacy DTS не е съвместимо с FIPS 140-2. Имайте предвид, че за DTS не е отметнат режимът FIPS в Windows. Следователно потребителят е длъжен да не избира шифроване, за да остане съвместим.

  • Тъй като повечето процеси на шифроване и хеширане на SQL Server 2012 вече са съвместими с FIPS 140-2, изпълнението при пълно спазване (т. е. с режима FIPS в Windows е включено) ще има малък или никакъв ефект върху употребата или производителността на продукта.

Откъде мога да науча повече за FIPS 140-2?

За повече информация за стандарта FIPS 140-2 и как да го изтеглите, отидете на следния уеб сайт на NIST:

http://csrc.nist.gov/cryptval/140-2.htmMicrosoft предоставя информация за контакт с други разработчици, за да ви помогне да намерите техническа поддръжка. Тази информация за контакт може да се промени без предупреждение. Microsoft не гарантира точността на тази информация за контакт с други разработчици.

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×