Pokyny pro použití v režimu FIPS 140-2vyhovující SQL Server 2008

ÚVOD

Tento článek popisuje zpracování Standard FIPS (Federal Information) 140-2 pokyny a jak používat v režimu FIPS 140-2 kompatibilní Microsoft SQL Server 2008.

Poznámka: "FIPS 140-2 kompatibilní s" podmínkami "Dodržování FIPS 140-2" a "FIPS 140-2 kompatibilní režim" Zde jsou definovány pro použití a jasnosti. Tyto podmínky nejsou rozpoznány nebo termíny, které vláda. Vlády USA a Kanada rozpoznat ověření kryptografických modulů proti standardy jako FIPS 140-2 a netýkají se jejich používání je v zadané nebo způsobem splňovala podmínky shody. V tomto článku doporučujeme definovat "FIPS 140-2vyhovující," "Dodržování FIPS 140-2" a "FIPS 140-2 kompatibilní režim" rozumí pouze FIPS 140-2ověřeno instance algoritmy používá SQL Server 2008 a funkce všechny instance v které zašifrované nebo hodnotu hash dat hash je importovány nebo exportovat do serveru SQL Server 2008. Navíc tyto termíny znamenají, že SQL Server 2008 bude spravovat klíče bezpečným způsobem požadované FIPS 140-2ověřeno kryptografické moduly. Proces správy klíčů také na generování klíče a funkce úložiště klíčů.

Další informace

Co je FIPS?

Znamená to federální informace o zpracování norem FIPS. FIPS jsou standardy, které jsou vyvinutý společností dvě vládní instituce. Jedním je Národní institut pro standardy a technologie v USA. Druhá je vytvoření zabezpečení komunikace v Kanadě. FIPS jsou standardy, které jsou doporučené nebo zmocněny k použití systémů IT vládou ovládaných federální (USA a Kanada).

Co je FIPS 140-2?

FIPS 140-2 je prohlášení "Požadavky na zabezpečení pro kryptografické moduly." Určuje, které algoritmy šifrování a které algoritmy hash lze použít a jak šifrovací klíče jsou generovány a spravovány. FIPS 140-2 ověřena laboratoře schválené ověření protokolu tak, že mohou být některé hardwaru, softwaru a procesy. Některé z nich lze také popsat jako FIPS 140-2vyhovující definovaný termín v tomto článku.

Jaký je rozdíl mezi aplikace, která je "FIPS 140-2 vyhovující" a aplikace, která je "FIPS 140-2ověřeno"?

Můžete nakonfigurovat SQL Server 2008 ke spuštění jako FIPS 140-2 kompatibilní aplikace. Chcete-li to provést, je třeba spustit v operačním systému, který používá FIPS 140-2ověřeno kryptografický poskytovatel služeb nebo který poskytuje kryptografický modul, který byl ověřen SQL Server 2008. Rozdíl mezi shody a ověřování není decentní. Algoritmy mohou být ověřeny. Je třeba si uvědomíte, že je nedostatečné k použití algoritmu ze seznamu schválených v FIPS 140-2. Je nutné použít instance algoritmy, které byly FIPS 140-2 ověřena. Ověření vyžaduje testování a ověření podle laboratoře schválen vládní vyhodnocení. Windows Server 2008, Windows Server 2003 a Windows XP obsahují schválené kryptografické moduly a moduly, včetně specifické instance algoritmy, byla laboratoř testován a ověřen vládní.

Jaké aplikace může být FIPS 140-2 kompatibilní?

Všechny aplikace, které provádějí šifrování nebo zatřiďování a které běží na ověřené verzi systému Microsoft Windows zprostředkovatele kryptografických služeb služby může být vyhovující, pokud budou používat pouze ověřená instance schválené algoritmy. Tyto aplikace musí také splňovat požadavky správy klíčů a generování klíče pomocí funkce systému Windows klíče nebo splňují požadavky správy klíčů v aplikaci a generování klíče. Navíc v některých případech nekompatibilní algoritmy nebo procesy jsou povoleny v aplikaci FIPS 140-2 kompatibilní. Například mohou být data šifrována pomocí algoritmu nesplňující požadavky, pokud v této šifrované podobě data zůstanou uložena v aplikaci, není exportována data v tomto formuláři nebo jsou data zašifrována dále (zabalené) pomocí kompatibilní se standardem FIPS algoritmu.

Znamená to, že SQL Server 2008 je vždy FIPS 140-2 kompatibilní?

Ne. To znamená, že SQL Server 2008 lze nakonfigurovat pro spuštění v režimu FIPS 140-2 kompatibilní.

Jak SQL Server 2008 lze použít FIPS 140-2ověřeno kryptografický modul?

Požadavky na operační systém

V počítači se systémem Windows Server 2008, počítač se systémem Windows Vista, počítači se systémem Windows Server 2003 nebo počítače se systémem Windows XP musí nainstalovat SQL Server 2008.

Požadavky na správu systému Windows

Před spuštěním serveru SQL Server 2008, je nutné povolit režim FIPS. Toto je, protože SQL Server 2008 přečte FIPS nastavení při spuštění. Chcete-li povolit FIPS, postupujte takto.

Pro systém Windows Server 2008 a Windows Vista
  1. Přihlaste se k počítači pomocí pověření pro správu.
  2. Pokud používáte systém Windows Server 2008, klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz gpedit.msca stiskněte klávesu ENTER. Otevře Editor místní Zásady skupiny. Pokud používáte počítač se systémem Windows Vista, klepněte na tlačítko Start, do pole Zahájit hledání zadejte gpedit.msc a stiskněte klávesu ENTER.
  3. V okně místní Zásady skupiny Editor, poklepejte na položku Nastavení systému Windows v uzlu Konfigurace počítače a potom poklepejte na Nastavení zabezpečení.
  4. V uzlu Nastavení zabezpečení poklepejte na položku Místní zásadya potom klepněte na tlačítko Možnosti zabezpečení.
  5. V podokně podrobností poklepejte na položku Kryptografie systému: algoritmy používat kompatibilní se standardem FIPS k šifrování, výpočtu hodnoty hash a k podepisování.

  6. V Kryptografie systému: algoritmy používat kompatibilní se standardem FIPS k šifrování, výpočtu hodnoty hash a k podepisování dialogové okno, klepněte na přepínač povolenoa potom klepněte na tlačítko OK zavřete dialogové okno.
  7. Zavřete Editor místních Zásady skupiny.
Pro systém Windows Server 2003 a Windows XP
  1. Přihlaste se k počítači pomocí pověření pro správu.
  2. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz gpedit.msca stiskněte klávesu ENTER.
  3. V okně Zásady skupiny poklepejte na položku Nastavení systému Windows v uzlu Konfigurace počítače a potom poklepejte na Nastavení zabezpečení.
  4. V uzlu Nastavení zabezpečení poklepejte na položku Místní zásadya potom klepněte na tlačítko Možnosti zabezpečení.
  5. V podokně podrobností poklepejte na položku Kryptografie systému: algoritmy používat kompatibilní se standardem FIPS k šifrování, výpočtu hodnoty hash a k podepisování.

  6. V Kryptografie systému: algoritmy používat kompatibilní se standardem FIPS k šifrování, výpočtu hodnoty hash a k podepisování dialogové okno, klepněte na přepínač povolenoa potom klepněte na tlačítko OK zavřete dialogové okno.
  7. Zavřete okno Zásady skupiny.

Poznámky správce serveru SQL Server 2008

  • Při služby SQL Server 2008 rozpozná, že při spuštění je povolen režim FIPS, protokoly serveru SQL Server 2008 následující zpráva v protokolu chyb serveru SQL Server:
    Service Broker dopravy je spuštěn v režimu kompatibility FIPS
    Navíc může být zaznamenána následující zpráva v protokolu aplikace:
    Dopravní zrcadlení databáze je spuštěna v režimu kompatibility FIPS
    Chcete-li ověřit, zda je server spuštěn v režimu FIPS, vyhledejte tyto zprávy.
  • Získat dialogové okno zabezpečení mezi službami, proces šifrování použije instance certifikován FIPS z standard AES (Advanced Encryption Standard) (AES), pokud je povolen režim FIPS. Pokud je zakázána režimu FIPS, používá proces šifrování RC4.
  • Při konfiguraci koncového bodu Service Broker v režimu FIPS, je nutné zadat "AES" pro Service Broker. Pokud koncový bod je nakonfigurována na RC4, SQL Server generuje chybu. Transportní vrstva se proto nespustí.

Jak SQL Server 2008 pracovat v režimu FIPS 140-2 kompatibilní?

  • Pokud je zapnut režim FIPS v systému Windows a uživatel nemá žádná volba o šifrování nebo hash data a jak bude provedeno, SQL Server 2008 pracovat v režimu FIPS 140-2 kompatibilní. SQL Server 2008 pomocí rozhraní CryptoAPI a budou používat pouze ověřená instance algoritmů.
  • Pokud je zapnut režim FIPS a má-li uživatel zvolit, zda chcete použít šifrování, SQL Server 2008 bude buď povolit pouze FIPS 140-2vyhovující šifrování nebo nesmějí povolit žádné šifrování.
  • Důležité informace pro vývojáře

    Pokud píšete svůj vlastní kód pro šifrování nebo hash, je nutné použít pouze CryptoAPI. Je třeba zadat pouze algoritmy, které jsou povoleny FIPS 140-2. Konkrétně používají pouze Triple Data Encryption Standard (3DES) nebo AES šifrování a pouze SHA-1 hash. Následující klíčová slova lze použít v SQL Server 2008 pro příslušné FIPS 140-2ověřeno algoritmy:

    • Rozšířený standard DESX (tři klíče triple DES)
    • Trojitý DES(Two-key triple DES)
    • TRIPLE_DES_3KEY tři klíče triple DES ()
    • TRIPLE_DES_2KEY (dva klíče triple DES)
    Poznámka: Výběr DESX neposkytuje algoritmus DESX v SQL Server 2005 nebo SQL Server 2008. V obou případech poskytuje výběr DESX ověřený instance tři klíče triple DES.
  • Důležité informace pro vývojáře

    SQL Server 2008 podporuje funkce správy (EKM) klíč Enterprise, která umožňuje správu kryptografických klíčů na samostatný hardware jiných výrobců úložiště modulu (HSM). Pracovat v režimu FIPS 140-2 vyhovující a EKM pomocí jedné z následujících dvou podmínek musí být splněny:
    • Externí kryptografický modul musí být FIPS 140-2 ověřena.
    • Některé algoritmy, které jsou používány kryptografický modul musí být FIPS 140-2 ověřena. Používejte pouze ty instance schválené algoritmy FIPS 140-2-based šifrování nebo dešifrování je vyžadován pro import nebo export dat do nebo ze serveru SQL Server.
    Navíc data, která budou zašifrovány či dešifrovány externí kryptografický modul musí být předán v šifrované podobě pomocí do FIPS 140-2ověřeno instance.

Jaký je vliv spuštění v režimu FIPS 140-2vyhovující SQL Server 2008?

  • Silnější šifrování může mít malý vliv na výkon těchto procesů, kde méně silné šifrování je povolen proces není pracuje jako FIPS 140-2 kompatibilní.
  • Výběr šifrování SSIS (UseEncryption = True) bude generovat chybovou zprávu, že k dispozici šifrování není kompatibilní se standardem FIPS soulad a není povoleno. Jinými slovy je prováděno žádné šifrování zpráv proces.
  • Šifrování a starší Data Transformation Services (DTS) není FIPS 140-2 kompatibilní. Pro DTS není zaškrtnuto políčko režim FIPS v systému Windows. Zůstat kompatibilní, nesmí vybrat šifrování.
  • Většina šifrování SQL Server 2008 a již zatřiďování procesy použít FIPS 140-2ověřeno kryptografický modul. Proto pokud spustit aplikaci v režimu FIPS 140-2vyhovující, pokud je zapnut režim FIPS v systému Windows, je malý nebo žádný vliv na výkon aplikace nebo použití.

Kde lze získat další informace o FIPS 140-2?

Další informace o standardu FIPS a jak jej lze stáhnout navštivte následující web NIST:Společnost Microsoft poskytuje kontaktní informace jiného výrobce, a tím vám usnadňuje získání technické podpory. Tyto kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft nezaručuje přesnost kontaktních informací jiných výrobců.
Další informace o tom, jak používat v režimu FIPS 140-2vyhovující SQL Server 2005 klepněte na následující číslo článku databáze Microsoft Knowledge Base:

920995 pokyny pro použití SQL Server 2005 Service Pack 1 nebo novější verzi serveru SQL v FIPS 140-2 kompatibilní režim

Vlastnosti

ID článku: 955720 - Poslední kontrola: 14. 1. 2017 - Revize: 2

Váš názor