Informationen zur Verwendung von SQL Server 2008 in FIPS 140-2-kompatiblen Modus


Einführung


Dieser Artikel beschreibt Federal Information Processing Standard (FIPS) 140-2-Anweisungen und FIPS 140-2-kompatiblen Modus Microsoft SQL Server 2008 verwenden.

Hinweis Die Begriffe "FIPS 140-2-kompatibel" sind "FIPS 140-2 Kompatibilität" und "FIPS 140-2-kompatiblen Modus" und Klarheit hier definiert. Diese Begriffe werden nicht erkannt oder Regierung Begriffe. Der Vereinigten Staaten und kanadischen Regierung erkennen Kryptografiemodule Standards wie FIPS 140-2-Validierung und nicht für die Verwendung in einem angegebenen oder konformen Weise. In diesem Artikel definieren wir "FIPS 140-2-kompatibel" "FIPS 140-2-Kompatibilität" und "FIPS 140-2 kompatibel" bedeutet, dass SQL Server 2008 nur FIPS 140-2 überprüft Instanzen von Algorithmen und Hashfunktionen in alle Instanzen in der verschlüsselt oder gehasht verwendet Daten importiert oder exportiert, SQL Server 2008. Darüber hinaus bedeuten diese Begriffe SQL Server 2008 Schlüssel auf sichere Weise entsprechend FIPS 140-2 überprüft kryptografische Module verwalten. Schlüssel-Management-Prozess auch die Generierung und Speicherung Funktionen.

Weitere Informationen


Neuigkeiten-FIPS

FIPS bedeutet Federal Information Processing Standards. FIPS sind Standards, die von zwei Behörden entwickelt. Das National Institute of Standards und Technologie in den Vereinigten Staaten gehört. Andererseits ist die Kommunikation Sicherheit in Kanada. FIPS sind Standards, die empfohlen oder zur Verwendung gemäß Federal (USA oder Kanada) Regierung betrieben IT-Systeme.

Neuigkeiten-FIPS 140-2

FIPS 140-2 ist eine Anweisung an die"Sicherheit für kryptografische Module." Es gibt an, welche Verschlüsselungsalgorithmen und welches Hashalgorithmen verwendet werden können und wie Verschlüsselungsschlüssel erstellt und verwaltet. Einige Hardware, Software und Prozesse können FIPS 140-2 von einem zugelassenen Prüflabor überprüft werden. Davon können auch beschrieben werden als FIPS 140-2-kompatible der Begriff in diesem Artikel.

Was ist der Unterschied zwischen einer Anwendung "FIPS 140-2 kompatibel" und eine Anwendung "FIPS 140-2 überprüft"?

SQL Server 2008 als FIPS 140-2-kompatible Anwendung ausführen können. Hierzu führen Sie SQL Server 2008 auf einem Betriebssystem, ein FIPS 140-2 überprüft Kryptografiedienstanbieter verwendet oder bietet eine kryptografische Modul überprüft wurde. Der Unterschied zwischen Compliance und Validierung ist nicht subtile. Algorithmen können überprüft werden. Erkennen Sie, dass es nicht genügend Algorithmen aus zugelassenen Listen FIPS 140-2 verwenden. Sie verwenden Instanzen von Algorithmen, die FIPS 140-2 überprüft wurden. Validierung erfordert Regierung genehmigte Bewertung Lab getestet und überprüft. Windows Server 2008, Windows Server 2003 und Windows XP enthalten genehmigten kryptografische Module, und Module, einschließlich die spezifischen Instanzen der Algorithmen wurden Lab getestet und validiert, Regierung.

Welche Programme FIPS 140-2 kompatibel ist?

Alle Programme, die Verschlüsselung oder hashing ausführen und die auf eine validierte Version von Microsoft Windows Cryptographic Service Provider ausgeführt, werden kompatible verwenden nur die validierten Instanzen genehmigten Algorithmen. Diese Programme auch müssen Schlüsselerzeugung und Key Management mithilfe einer Windows-Funktion oder die Schlüsselerzeugung und Schlüsselmanagement Anforderungen in der Anwendung. Darüber hinaus sind in einigen Fällen nicht konforme Algorithmen oder Prozesse in einer FIPS 140-2-kompatible Anwendung zulässig. Beispielsweise können Daten mithilfe eines nicht konformen Algorithmus, wenn diese verschlüsselt die Daten bleiben in der Anwendung, d. h. die Daten in diesem Formular nicht exportiert werden oder weitere Daten verschlüsselt (eingeschlossen) mit FIPS-konformen Algorithmus verschlüsselt werden.

Bedeutet, dass SQL Server 2008 immer FIPS 140-2 kompatibel?

Nein Dies bedeutet, dass SQL Server 2008 FIPS 140-2-kompatiblen Modus konfiguriert werden können.

Werden SQL Server 2008 können wie mit einer FIPS 140-2 überprüft kryptografische Modul konfiguriert?

Betriebssystem

Sie müssen SQL Server 2008 auf Windows Server 2008-basierten Computer, ein Windows Vista-Computer, einem Windows Server 2003-Computer oder einem Windows XP-Computer installieren.

Windows System Verwaltungsaufwand

FIPS-Modus müssen zunächst SQL Server 2008 verwenden. Ist SQL Server 2008 FIPS-Einstellung beim Start liest. Gehen Sie folgendermaßen vor, um FIPS aktivieren.

Für WindowsServer 2008 und Windows Vista
  1. Einem Konto mit Administratorrechten am Computer anmelden.
  2. Wenn Sie Windows Server 2008 verwenden, klicken Sie auf Startklicken Sie auf Ausführen, geben Sie gpedit.msc einund drücken Sie. Der Editor für lokale Gruppenrichtlinien wird geöffnet. Wenn Sie einen Windows Vista-Computer verwenden, klicken Sie auf Start, geben Sie gpedit.msc in das Feld Suche starten und drücken.
  3. Doppelklicken Sie in den Editor für lokale Gruppenrichtlinien Windows-Einstellungen unter Computerkonfiguration und dann auf Sicherheit.
  4. Doppelklicken Sie unter dem Knoten Einstellungen auf Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
  5. Doppelklicken Sie im Detailfenster auf Systemkryptografie: mit FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur.

  6. In der Systemkryptografie: mit FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur klicken Sie auf aktiviert, und klicken Sie dann auf OK , um das Dialogfeld zu schließen.
  7. Schließen Sie den Editor für lokale Gruppenrichtlinien.
Für WindowsServer 2003 und Windows XP
  1. Einem Konto mit Administratorrechten am Computer anmelden.
  2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie gpedit.msc einund drücken Sie die EINGABETASTE.
  3. Doppelklicken Sie im Fenster Gruppenrichtlinie auf Windows-Einstellung unter Computerkonfiguration und doppelklicken Sie dann auf Sicherheit.
  4. Doppelklicken Sie unter dem Knoten Einstellungen auf Lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.
  5. Doppelklicken Sie im Detailfenster auf Systemkryptografie: mit FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur.

  6. In der Systemkryptografie: mit FIPS-konformen Algorithmus für Verschlüsselung, hashing und Signatur klicken Sie auf aktiviert, und klicken Sie dann auf OK , um das Dialogfeld zu schließen.
  7. Schließen Sie das Fenster Gruppenrichtlinie.

SQL Server 2008 Administrator Notizen

  • SQL Server 2008-Dienst erkennt, dass FIPS-Modus beim Start aktiviert wird, protokolliert SQL Server 2008 die folgende Meldung im Fehlerprotokoll von SQL Server:
    Service Broker-Transport wird im FIPS-Compliance-Modus ausgeführt.
    Außerdem kann die folgende Meldung im Anwendungsprotokoll protokolliert:
    Datenbank Spiegelung Transport wird im FIPS-Compliance-Modus ausgeführt.
    Um sicherzustellen, dass der Server in FIPS-Modus ausgeführt wird, suchen Sie diese Nachrichten.
  • Zu Dialogfeld Sicherheit zwischen verwendet der Verschlüsselungsvorgang FIPS-zertifizierte Instanz des den Advanced Encryption Standard (AES) Wenn FIPS-Modus aktiviert ist. Wenn der FIPS-Modus deaktiviert ist, verwendet die Verschlüsselung RC4.
  • Wenn Sie einen Service Broker-Endpunkt im FIPS-Modus konfigurieren, müssen Sie für Service Broker "AES" angeben. Wenn der Endpunkt RC4 konfiguriert ist, erzeugt SQL Server einen Fehler. Daher wird die Transportebene nicht gestartet.

Wie funktioniert die SQL Server 2008 in FIPS 140-2-kompatiblen Modus?

  • Wenn FIPS-Modus in Windows aktiviert ist und der Benutzer hat keine Wahl, ob verschlüsselt oder Hashdaten und wie dies geschieht, wird SQL Server 2008 im FIPS 140-2-kompatiblen Modus. SQL Server 2008 verwendet CryptoAPI und die validierten Instanzen der Algorithmen verwenden.
  • Wenn FIPS-Modus eingeschaltet ist und der Benutzer auswählen, ob Verschlüsselung hat SQL Server 2008 entweder nur FIPS 140-2 kompatible Verschlüsselung ermöglicht oder können nicht für Verschlüsselung.
  • Wichtige Informationen für Entwickler

    Schreiben von Code für die Verschlüsselung oder hashing verwenden Sie die CryptoAPI. Sie müssen die Algorithmen angeben, die FIPS 140-2 zulässig sind. Verwenden Sie nur den Triple Data Encryption Standard (3DES) für die Verschlüsselung AES und SHA-1 Hashing. Die folgenden Schlüsselwörter können in SQL Server 2008 für die jeweiligen FIPS 140-2 überprüft Algorithmen:

    • DESX (3-Key Triple DES)
    • Triple-DES(Two-key triple DES)
    • TRIPLE_DES_3KEY (3-Key triple DES)
    • TRIPLE_DES_2KEY (triple DES-Tasten)
    Hinweis Auswählen von DESX bietet DESX-Algorithmus in SQL Server 2005 oder SQL Server 2008. In beiden Fällen stellt DESX auswählen eine validierte 3-Key triple DES-Instanz.
  • Wichtige Informationen für Entwickler

    SQL Server 2008 unterstützt eine Enterprise Key Management (EKM), die die Verwaltung der kryptografischen Schlüssel auf einem separaten Drittanbieterhardware Speichermodul (HSM) ermöglicht. Im FIPS 140-2-kompatible Modus und EKM muss eine der folgenden beiden Situationen zutreffen:
    • Externe kryptografische Modul muss FIPS 140-2 überprüft.
    • Einige Algorithmen des kryptografischen Moduls müssen FIPS 140-2 überprüft werden. Verwenden Sie nur für die Instanzen der überprüften Algorithmen, wenn FIPS 140-2-basierte Verschlüsselung oder Entschlüsselung importieren oder Exportieren von Daten zu oder von SQL Server erforderlich ist.
    Darüber hinaus müssen Daten, die verschlüsselt oder entschlüsselt das externe kryptografische Modul eine FIPS 140-2 überprüft Instanz verschlüsselt übergeben werden.

Welche Auswirkung hat die SQL Server 2008 FIPS 140-2-kompatiblen Modus ausführen?

  • Stärkere Verschlüsselung kann eine kleine Auswirkung auf die Leistung für diese Prozesse nutzen, weniger starke Verschlüsselung zugelassen wird, wenn der Prozess nicht als FIPS 140-2-kompatible arbeitet.
  • Auswahl der Verschlüsselung für SSIS (UseEncryption = True) wird eine Fehlermeldung, die verfügbare Verschlüsselung ist nicht kompatibel mit FIPS-Konformität nicht zulässig. In anderen Worten, erfolgt keine Verschlüsselung des Prozesses angezeigt.
  • Verschlüsselung mit legacy Data Transformation Services (DTS) ist nicht FIPS 140-2 kompatibel. DTS ist FIPS-Modus in Windows nicht geprüft. Kompatibel zu bleiben, müssen Sie keine Verschlüsselung auswählen.
  • Die meisten SQL Server 2008-Verschlüsselung und hashing Prozesse bereits verwenden ein FIPS 140-2 überprüft kryptografische Modul. Wenn Sie eine Anwendung im FIPS 140-2-kompatiblen Modus ausführen, der FIPS-Modus in Windows aktiviert ist, besteht daher wenig oder keinen Effekt auf die Verwendung der Anwendung.

Wo erfahre ich mehr über die FIPS 140-2?

Weitere Informationen über die FIPS-Standard und zum download der folgenden NIST-Website:Microsoft stellt Kontaktinformationen von Drittanbietern zur Verfügung, damit Sie technischen Support erhalten können. Diese Kontaktinformationen können sich ohne vorherige Ankündigung ändern. Microsoft garantiert nicht die Richtigkeit dieser Kontaktinformationen von Drittanbietern.
Weitere Informationen zur Verwendung von SQL Server 2005 im FIPS 140-2-kompatiblen Modus klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

920995 mit SQL Server 2005 Service Pack 1 oder eine höhere Version von SQL Server in den FIPS 140-2-kompatiblen Modus Hinweise