Въведение
Тази статия описва инструкции за FIPS 140-2 и как да използвате Microsoft SQL Server 2012 в режима на FIPS 140-2.Забележки
-
Изразите "FIPS 140-2 съвместим" "" FIPS 140-2 съответствие "и" FIPS 140-2-съвместим режим "са дефинирани тук за използване и яснота. Тези условия не са разпознати или определени държавни условия. Правителствата на САЩ и Канада признават валидирането на криптографски модули спрямо стандарти като FIPS 140-2, а не използването на криптографски модули по зададен или съобразен начин. В тази статия се използва "FIPS 140-2-съвместим", "FIPS 140-2 съответствие" и "FIPS 140-2-съвместим режим", в смисъл, че SQL Server 2012 използва само FIPS 140-2-валидирани екземпляри на алгоритми и функции за хеширане във всички случаи, в които шифровани или хеширани данни се импортират или експортират от SQL Server 2012. Освен това, това означава, че SQL Server 2012 ще управлява ключове по защитен начин, както е необходимо за FIPS 140-2-утвърдени криптографски модули. Процесът на управление на ключовите неща включва едновременно генериране на ключ и ключово място за съхранение.
-
Ние използваме "сертифициран" тук, за да означава, че екземплярът на алгоритъма е потвърден FIPS 140-2 или че операционната система съдържа FIPS 140-2-утвърдени копия на алгоритми.
Повече информация
Какво представлява FIPS?
Федералният стандарт за обработка на информация (FIPS) е стандарт, разработен от следните два държавни органа:
-
Националният институт за стандарти и технологии (NIST) в Съединените щати
-
Учреждение за защита на комуникациите в Канада
Стандартите на FIPS се препоръчват или имат мандат за използване във федералните системи за управление на ИТ в Съединените щати и Канада.
Какво представлява FIPS 140-2?
FIPS 140-2 е инструкция, озаглавена "изисквания за защита за криптографски модули." Той указва кои алгоритми за криптиране и кои алгоритми могат да бъдат използвани за криптиране и как да се генерират и управляват ключовете за шифроване. Някои хардуерни, софтуерни и производствени процеси могат да бъдат сертифицирани FIPS 140-2, а някои хардуер, софтуер и процеси могат да бъдат съвместими FIPS 140-2.
Каква е разликата между това, че FIPS 140-2 е съвместим и че FIPS 140-2 е сертифициран?
SQL Server 2012 може да бъде конфигуриран и изпълнен по начин, който е съвместим с FIPS 140-2. За да конфигурирате SQL Server 2012 по този начин, SQL Server 2012 трябва да се изпълнява на операционна система, която е сертифицирана за FIPS 140-2 или на операционна система, която предоставя криптографски модул, който е сертифициран. Разликата между съответствие и сертификация не е неуловима. Алгоритмите могат да бъдат сертифицирани. Не е достатъчно да се използва алгоритъм от одобрените списъци в FIPS 140-2. Вместо това трябва да използвате екземпляр на такъв алгоритъм, който е сертифициран. Сертификацията изисква тестване и проверка от одобрена от правителството лаборатория по оценка. Windows Server 2003, Windows XP и Windows Server 2008 съдържат разрешените алгоритми и екземплярът на всяка от тези операционни системи е Изпробван и правителствен сертификат.
Кои продукти за приложения могат да бъдат съвместими с FIPS 140-2?
Всички приложения, които извършват шифроване или хеширане и които се изпълняват на сертифицирана версия на Windows, могат да бъдат съвместими с помощта само на сертифицираните екземпляри на одобрените алгоритми и чрез спазване на изискванията за генериране на ключ и управление на ключове чрез използване на функцията Windows за ключови поколения и управление на ключовите устройства или чрез спазване на изискванията за управление на ключовите и ключовите функции в приложението. Имайте предвид, че може да има области в съвместимо с FIPS приложение, където са разрешени несъвместими алгоритми или процеси. Например някои вътрешни процеси, които остават в системата и някои външни данни, които трябва да бъдат допълнително шифровани чрез сертифициран екземпляр на алгоритъм, са разрешени.
SQL Server 2012 винаги ли е съвместим с FIPS 140-2?
Не. SQL Server 2012 може да бъде FIPS 140-2 съвместим, тъй като може да бъде конфигуриран и изпълнен по такъв начин, че да използва само копия на алгоритъма за FIPS 140-2, които се извикват с помощта на CryptoAPI за шифроване или чрез хеширане във всеки случай, където се изисква съответствие на FIPS 140-2.
Как може SQL Server 2012 да е конфигуриран за FIPS 140-2 съвместим?
-
Изисквания към операционната система: Трябва да инсталирате SQL Server 2012 на сървър, базиран на една от следните операционни системи:
-
Windows Server 2003
-
Windows XP
-
Windows Server 2008
-
-
Изисквания към системния администратор на Windows: Режимът на FIPS трябва да бъде зададен, преди да се стартира SQL Server 2012. SQL Server прочита настройката при стартиране. За да настроите режима FIPS, изпълнете следните стъпки:
-
Влезте в Windows като системен администратор на Windows.
-
Щракнете върху Старт.
-
Щракнете върху Контролен панел.
-
Щракнете върху административни инструменти.
-
Щракнете върху Локални правила за защита. Появява се прозорецът Локални настройки за защита .
-
В навигационния екран щракнете върху Локални правилаи след това върху Опции за защита.
-
В десния прозорец щракнете двукратно върху System криптография: използвайте съвместими с FIPS алгоритми за шифроване, хеширане и подписване.
-
В диалоговия прозорец, който се появява, щракнете върху Разрешии след това щракнете върху Приложи.
-
Щракнете върху ОК.
-
Затворете прозореца Настройки на локална защита .
-
-
Изисквания към администратора на SQL Server
-
Когато услугата SQL Server открие, че режимът на FIPS е разрешен при стартиране, SQL Server регистрира следното съобщение в регистъра за грешки на SQL Server:
Транспортен брокер на услуги се изпълнява в режим на съответствие на FIPS.Освен това можете да намерите следното съобщение, записано в регистъра на събитията на Windows:
Можете да проверите дали сървърът се изпълнява в режим на FIPS, като потърсите тези съобщения.
-
За диалоговия прозорец "защита" (между услугите) шифроването използва екземпляр на AES, сертифициран по FIPS, ако режимът FIPS е разрешен. Ако режимът FIPS е забранен, шифроването използва RC4.
-
Когато конфигурирате крайна точка за брокер на услуги в режима FIPS, администраторът трябва да посочи "AES" за брокера на услуги. Ако крайна точка е конфигурирана за RC4, SQL Server ще генерира грешка. Следователно транспортният слой няма да се стартира.
-
Как се управлява SQL Server 2012 в FIPS 140-2-съвместим режим?
-
Когато режимът FIPS в Windows е включен, във всички области, в които потребителят няма избор дали да шифрова/хеширане и как ще бъде извършено, SQL Server 2012 ще се изпълнява в съответствие с FIPS 140-2. (SQL Server 2012 ще използва CryptoAPI в Windows и ще използва само сертифицираните екземпляри на алгоритмите.)
-
Със режима на FIPS в Windows е включен, във всички области, в които потребителят има избор дали да използва шифроване, SQL Server 2012 или ще разреши само FIPS 140-2 съвместимо шифроване или няма да разреши никакво шифроване.
-
Важна информация за разработчиците на софтуерВъв всички области, в които предприемачът или потребителят е написал собствения си код за криптиране или хеширане, той трябва да бъде инструктиран да използва само CryptoAPI (и следователно само сертифицираните екземпляри) и да указва само алгоритмите, разрешени от FIPS 140-2. По-конкретно те трябва да указват само тройни DES (3DES) или AES за криптиране и само SHA-1 за хеширане.
Какъв е ефектът от използването на SQL Server 2012 в FIPS 140-2-съвместим режим?
-
Употребата на по-силно шифроване може да има малък ефект върху производителността за тези процеси, при които е разрешен по-малко силно шифроване, когато процесът не работи като съвместим с FIPS 140-2.
-
Изборът на шифроване за SSIS (UseEncryption = TRUE) ще генерира съобщение за грешка, което гласи, че наличното шифроване е несъвместимо с съвместимостта на FIPS и не е разрешено. С други думи, не се извършва шифроване на процеса на съобщения.
-
Използването на шифроване заедно със Legacy DTS не е съвместимо с FIPS 140-2. Имайте предвид, че за DTS не е отметнат режимът FIPS в Windows. Следователно потребителят е длъжен да не избира шифроване, за да остане съвместим.
-
Тъй като повечето процеси на шифроване и хеширане на SQL Server 2012 вече са съвместими с FIPS 140-2, изпълнението при пълно спазване (т. е. с режима FIPS в Windows е включено) ще има малък или никакъв ефект върху употребата или производителността на продукта.
Откъде мога да науча повече за FIPS 140-2?
За повече информация за стандарта FIPS 140-2 и как да го изтеглите, отидете на следния уеб сайт на NIST:
http://csrc.nist.gov/cryptval/140-2.htmMicrosoft предоставя информация за контакт с други разработчици, за да ви помогне да намерите техническа поддръжка. Тази информация за контакт може да се промени без предупреждение. Microsoft не гарантира точността на тази информация за контакт с други разработчици.