Pokyny pro použití SQL Server 2005 SP1 nebo novější verzi serveru SQL v FIPS 140-2 kompatibilní režim

ÚVOD

Tento článek popisuje FIPS 140-2 pokyny a jak používat Microsoft SQL Server 2005 Service Pack 1 (SP1) nebo novější verzi serveru SQL v FIPS 140-2 kompatibilní režim.

Další informace

Co je FIPS?

Je zkratka pro Federal Information Processing Standard FIPS. FIPS je standard vyvinutý společností dvě vládní instituce. Jedním je NIST, Národního institutu standardů a technologie v USA. Druhá je CSE zařízení zabezpečení komunikace v Kanadě. FIPS jsou standardy, které jsou doporučené nebo zmocněny k použití systémů IT vládou ovládaných federální (USA a Kanada).

Co je FIPS 140-2?

FIPS 140-2 je prohlášení "Požadavky na zabezpečení pro kryptografické moduly." Určuje, které algoritmy šifrování a které algoritmy hash lze použít a jak šifrovací klíče jsou generovány a spravovány. Je možné pro některé hardwaru, softwaru a procesy být FIPS 140-2 certifikován. Je také možné pro některé být kompatibilní se standardem FIPS 140-2.

Jaký je rozdíl mezi právě versus právě FIPS 140-2 certifikován vyhovující standardu FIPS 140-2?

SQL Server 2005 SP1 nebo novější verzi serveru SQL Server můžete nakonfigurovat a spustit způsobem, který je kompatibilní se standardem FIPS 140-2. K tomuto účelu je třeba spustit SQL Server 2005 SP1 nebo novější verzi serveru SQL Server v operačním systému, který je certifikován FIPS 140-2 a poskytuje kryptografický modul, který byl certifikován. Rozdíl mezi shody a certifikace není decentní. Algoritmy mohou být ověřeny. Všimněte si, že není dostačující použít algoritmus ze seznamu schválených v FIPS 140-2. Je nutné použít instanci takový algoritmus, který byl certifikován. Certifikační vyžaduje testování a ověření podle laboratoře schválen vládní vyhodnocení. Microsoft Windows Server 2003 a Microsoft Windows XP obsahují povolené algoritmy a instanci každého z nich byl zkušební laboratoře testován a certifikován státní.


Jaké produkty aplikace může být FIPS 140-2 kompatibilní?

Všechny aplikace, které provádějí šifrování nebo zatřiďování a spustit certifikované verze systému Windows mají možnost být kompatibilní s pomocí pouze certifikované instance schválené algoritmy a v souladu s požadavky správy klíčů a generování klíče pomocí funkce Windows pro tyto nebo vyhovující generování klíče a požadavky na řízení v rámci aplikace. Je třeba poznamenat, že v rámci aplikace míst mohou existovat kde jsou povoleny-kompatibilní s algoritmy nebo procesy v rámci aplikace kompatibilní se standardem FIPS. Například jsou povoleny některé interní procesy, které zůstávají v rámci systému nebo některá externí data, která je dále instancí certifikované algoritmus šifrování.

Znamená to, že SQL Server 2005 SP1 nebo novější verzi serveru SQL Server je vždy FIPS 140-2 kompatibilní?

Ne. To znamená, že SQL Server 2005 SP1 nebo novější verzi serveru SQL Server může být FIPS 140-2 kompatibilní, protože může být nakonfigurována a spustit tak, že používá pouze FIPS 140-2 certifikované algoritmus instance volat pomocí rozhraní CryptoAPI systému Windows pro šifrování nebo hash v každé instanci, pokud je požadováno dodržování FIPS 140-2.

Jak lze SQL Server 2005 SP1 nebo novější verzi serveru SQL Server nakonfigurovat jako FIPS 140-2 kompatibilní?

  • Požadavky na operační systém
    Na serveru se systémem Windows Server 2003 nebo na serveru se systémem Windows XP, je nutné nainstalovat SQL Server 2005 SP1 nebo novější verzi serveru SQL Server.
  • Požadavek pro správu systému Windows
    V režimu FIPS musí být nastavena před SQL Server 2005 SP1 nebo novější verzi serveru SQL Server je spuštěna. SQL Server přečte nastavení při spuštění. Chcete-li to provést, postupujte takto:
    1. Přihlásit se k systému Windows jako správce systému systému Windows:
    2. Klepněte na tlačítko Start.
    3. Klepněte na položku Ovládací panely.
    4. Klepněte na položku Nástroje pro správu.
    5. Klepněte na položku místní zásady zabezpečení. Zobrazí se okno Místní nastavení zabezpečení .
    6. V levém podokně klepněte na položku Místní zásadya potom klepněte na tlačítko Možnosti zabezpečení.
    7. V pravém podokně poklepejte na Kryptografie systému: použití vyhovující standardu FIPS k šifrování, výpočtu hodnoty hash a k podepisování.
    8. V dialogovém okně, které se zobrazí klepněte na přepínač povolenoa potom klepněte na tlačítko použít.
    9. Klepněte na tlačítko OK
    10. Zavřete okno Místní nastavení zabezpečení .
  • Požadavek správce serveru SQL Server
    • Pokud služba SQL Server zjistí, že při spuštění je povolen režim FIPS, protokoly serveru SQL Server následující zpráva v protokolu chyb serveru SQL Server:
      Service Broker dopravy je spuštěn v režimu kompatibility FIPS
      Navíc pravděpodobně zjistíte, že je v protokolu událostí systému Windows zaznamenána následující zpráva:
      Dopravní zrcadlení databáze je spuštěna v režimu kompatibility FIPS
      Můžete ověřit, zda je server spuštěn v režimu FIPS podle těchto zpráv.
    • Dialogové okno zabezpečení (mezi službami) bude šifrování pomocí instance certifikován FIPS AES, pokud je povolen režim FIPS. Pokud je zakázána režimu FIPS, použije šifrování RC4.
    • Při konfiguraci koncového bodu Service Broker v režimu FIPS musí správce zadat "AES" pro Service Broker. Pokud koncový bod je nakonfigurována na RC4, SQL Server dojde k chybě. Proto nelze spustit transportní vrstvy.

Jak je SQL Server 2005 SP1 nebo novější verzi serveru SQL Server provozován v režimu vyhovující standardu FIPS 140-2?

  • S FIPS režimu v systému Windows zapnutá, ve všech místech, kde uživatel nemá žádná volba o k zašifrování/hash a jak bude provedeno, SQL Server 2005 SP1 nebo novější verzi serveru SQL Server bude proveden v souladu s FIPS 140-2. (SQL Server 2005 SP1 nebo novější verzi serveru SQL Server bude používat rozhraní CryptoAPI v systému Windows a budou používat pouze ověřená instance algoritmů.)
  • Režim FIPS v systému Windows zapnuta, na všech místech, kde má uživatel možnost volby zda chcete použít šifrování SQL Server 2005 SP1 nebo novější verzi serveru SQL Server bude buď povolit pouze FIPS 140-2 vyhovující šifrování nebo nedovolí žádné šifrování.
  • Důležité informace pro vývojáře aplikací
    Na všech místech, kde vývojář nebo uživatel zapíše svůj vlastní kód pro šifrování nebo hash, jejich musí pokyn k použití pouze rozhraní CryptoAPI systému Windows (a tedy pouze certifikované instance) a určit pouze algoritmy, které jsou povoleny podle FIPS 140-2, konkrétně pouze Triple DES (3DES) nebo AES šifrování a pouze SHA-1 hash.

Jaký je vliv spuštění SQL Server 2005 SP1 nebo novější verzi serveru SQL Server v režimu vyhovující standardu FIPS 140-2?

  • Silnější šifrování může mít malý vliv na výkon těchto procesů, kde méně silné šifrování je povolen proces není pracuje jako FIPS 140-2 kompatibilní.
  • Výběr šifrování SSIS (UseEncryption = True) bude generovat chybovou zprávu, že k dispozici šifrování není kompatibilní se standardem FIPS soulad a není povoleno. Jinými slovy je prováděno žádné šifrování zpráv proces.
  • Použití šifrování s DTS starší není kompatibilní se standardem FIPS 140-2. Všimněte si, že pro DTS, režim FIPS v systému Windows není zaškrtnuto a je zodpovědností uživatele k výběru žádné šifrování zůstat kompatibilní.
  • Vzhledem k tomu, že většina šifrování SQL Server 2005 a zatřiďování procesy byly již FIPS 140-2 kompatibilní, provádí v plné shodě (s režimu FIPS v systému Windows zapnuta) bude mít malý nebo žádný vliv na používání nebo výkon výrobku.

Kde lze získat další informace o FIPS 140-2?

Další informace o standardu a jak jej lze stáhnout navštivte následující web NIST:
Vlastnosti

ID článku: 920995 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor