Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Einführung

In diesem Artikel werden die FIPS 140-2-Anweisungen und die Verwendung von Microsoft SQL Server 2012 im FIPS 140-2-kompatiblen Modus erläutert.Hinweise

  • Die Begriffe "FIPS 140-2-kompatibel", "FIPS 140-2-Konformität" und "FIPS 140-2-kompatibler Modus" werden hier zur Verwendung und Übersichtlichkeit definiert. Diese Klauseln werden nicht anerkannt oder festgelegte Regierungsbestimmungen. Die Vereinigten Staaten und die kanadische Regierung erkennen die Validierung von kryptografischen Modulen gegen Standards wie FIPS 140-2 und nicht die Verwendung von kryptografischen Modulen in einer bestimmten oder konformen Weise. In diesem Artikel verwenden wir "FIPS 140-2-kompatibel", "FIPS 140-2-Compliance" und "FIPS 140-2-kompatibler Modus" in dem Sinne, dass SQL Server 2012 nur FIPS 140-2-validierte Instanzen von Algorithmen und Hash Funktionen in allen Fällen verwendet, in denen verschlüsselte oder gehashte Daten in SQL Server 2012 importiert oder exportiert werden. Darüber hinaus bedeutet dies, dass SQL Server 2012 Schlüssel auf sichere Weise verwaltet, wie es bei FIPS 140-2-validierten kryptografischen Modulen erforderlich ist. Der Schlüssel Verwaltungsprozess umfasst auch die Schlüsselgenerierung und den Schlüsselspeicher.

  • Wir verwenden hier "Certified", um zu bedeuten, dass die Instanz des Algorithmus FIPS 140-2 validiert ist oder dass das Betriebssystem FIPS 140-2-validierte Instanzen von Algorithmen enthält.

Weitere Informationen

Was ist FIPS?

FIPS (Federal Information Processing Standard) ist ein Standard, der von den beiden folgenden Regierungsgremien entwickelt wurde:

  • Das National Institute of Standards and Technology (NIST) in den Vereinigten Staaten

  • Communications Security Establishment (CSE) in Kanada

FIPS-Standards werden entweder empfohlen oder sind für die Verwendung in staatlich betriebenen IT-Systemen in den USA und Kanada vorgesehen.

Was ist FIPS 140-2?

FIPS 140-2 ist eine Aussage mit dem Titel "Sicherheitsanforderungen für kryptografische Module". Sie gibt an, welche Verschlüsselungsalgorithmen und welche Hashalgorithmen verwendet werden können und wie Verschlüsselungsschlüssel generiert und verwaltet werden sollen. Einige Hardware, Software und Prozesse können FIPS 140-2 Certified sein, und einige Hardware, Software und Prozesse können FIPS 140-2-kompatibel sein.

Was ist der Unterschied zwischen der FIPS 140-2-Kompatibilität und der FIPS 140-2-Zertifizierung?

SQL Server 2012 kann auf eine Weise konfiguriert und ausgeführt werden, die mit FIPS 140-2 kompatibel ist. Damit SQL Server 2012 auf diese Weise konfiguriert werden kann, muss SQL Server 2012 unter einem Betriebssystem ausgeführt werden, das FIPS 140-2-zertifiziert ist, oder auf einem Betriebssystem, das ein zertifiziertes kryptografisches Modul bereitstellt. Der Unterschied zwischen Compliance und Zertifizierung ist nicht subtil. Algorithmen können zertifiziert werden. Es ist nicht ausreichend, einen Algorithmus aus den genehmigten Listen in FIPS 140-2 zu verwenden. Stattdessen müssen Sie eine Instanz eines solchen Algorithmus verwenden, der zertifiziert ist. Die Zertifizierung erfordert eine Prüfung und Verifizierung durch ein staatlich anerkanntes Evaluierungslabor. Windows Server 2003, Windows XP und Windows Server 2008 enthalten die zulässigen Algorithmen, und eine Instanz jedes dieser Betriebssysteme ist Evaluation Lab getestet und staatlich zertifiziert.

Welche Anwendungsprodukte können FIPS 140-2-kompatibel sein?

Alle Anwendungen, die Verschlüsselung oder Hashing ausführen und die unter einer zertifizierten Version von Windows ausgeführt werden, können nur mit den zertifizierten Instanzen der genehmigten Algorithmen kompatibel sein und die Anforderungen an die Schlüsselgenerierung und die Schlüsselverwaltung erfüllen, indem Sie die Windows-Funktion für die Schlüsselgenerierung und Schlüsselverwaltung verwenden oder die Anforderungen der Schlüsselgenerierung und Schlüsselverwaltung innerhalb der Anwendung erfüllen. Beachten Sie, dass Bereiche in einer FIPS-kompatiblen Anwendung vorhanden sein können, in denen nicht konforme Algorithmen oder Prozesse aktiviert sind. Einige interne Prozesse, die im System verbleiben, und einige externe Daten, die zusätzlich durch eine Certified Algorithm-Instanz verschlüsselt werden sollen, sind beispielsweise zulässig.

Ist SQL Server 2012 immer FIPS 140-2-kompatibel?

Nein. SQL Server 2012 kann FIPS 140-2-kompatibel sein, da es so konfiguriert und ausgeführt werden kann, dass nur die FIPS 140-2-zertifizierten Algorithm-Instanzen verwendet werden, die mit CryptoAPI für die Verschlüsselung oder durch Hashing in jeder Instanz aufgerufen werden, wobei die FIPS 140-2-Kompatibilität erforderlich ist.

Wie kann SQL Server 2012 so konfiguriert werden, dass es FIPS 140-2-kompatibel ist?

  • Betriebssystemvoraussetzungen: Sie müssen SQL Server 2012 auf einem Server installieren, der auf einem der folgenden Betriebssysteme basiert:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • Windows-System Administratoranforderung: Der FIPS-Modus muss vor dem Starten von SQL Server 2012 eingestellt werden. SQL Server liest die Einstellung beim Start. Führen Sie die folgenden Schritte aus, um den FIPS-Modus einzurichten:

    1. Melden Sie sich bei Windows als Windows-System Administrator an.

    2. Klicken Sie auf Start.

    3. Klicken Sie auf SystemSteuerung.

    4. Klicken Sie auf Verwaltung.

    5. Klicken Sie auf lokale Sicherheitsrichtlinie. Das Fenster Lokale Sicherheitseinstellungen wird angezeigt.

    6. Klicken Sie im Navigationsbereich auf lokale Richtlinien, und klicken Sie dann auf Sicherheitsoptionen.

    7. Doppelklicken Sie im rechten Bereich auf System Kryptografie: Verwenden Sie FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signierung.

    8. Klicken Sie im daraufhin angezeigten Dialogfeld auf aktiviert, und klicken Sie dann auf über nehmen.

    9. Klicken Sie auf OK.

    10. Schließen Sie das Fenster Lokale Sicherheitseinstellungen .

  • SQL Server-Administratoranforderung

    • Wenn der SQL Server-Dienst erkennt, dass der FIPS-Modus beim Start aktiviert ist, protokolliert SQL Server die folgende Meldung im SQL Server-Fehlerprotokoll:

      Service Broker-Transport wird im FIPS-Kompatibilitätsmodus ausgeführt.Darüber hinaus finden Sie möglicherweise die folgende Meldung im Windows-Ereignisprotokoll:

      Sie können überprüfen, ob der Server im FIPS-Modus ausgeführt wird, indem Sie nach diesen Nachrichten suchen.

    • Für die Dialogsicherheit (zwischen Diensten) verwendet die Verschlüsselung die FIPS-zertifizierte Instanz von AES, wenn der FIPS-Modus aktiviert ist. Wenn der FIPS-Modus deaktiviert ist, verwendet die Verschlüsselung RC4.

    • Wenn Sie einen Service Broker-Endpunkt im FIPS-Modus konfigurieren, muss der Administrator "AES" für den Service Broker angeben. Wenn der Endpunkt für RC4 konfiguriert ist, generiert SQL Server einen Fehler. Daher wird der Transport-Layer nicht gestartet.

Wie funktioniert SQL Server 2012 im FIPS 140-2-kompatiblen Modus?

  • Wenn der FIPS-Modus in Windows aktiviert ist, wird SQL Server 2012 in allen Bereichen, in denen der Benutzer keine Wahl hat, ob er verschlüsseln/Hashen und wie dies erfolgen soll, in Übereinstimmung mit FIPS 140-2 ausgeführt. (In SQL Server 2012 wird CryptoAPI in Windows verwendet, und es werden nur die zertifizierten Instanzen der Algorithmen verwendet.)

  • Wenn der FIPS-Modus in Windows aktiviert ist, aktiviert SQL Server 2012 in allen Bereichen, in denen der Benutzer die Wahl hat, ob die Verschlüsselung verwendet werden soll, entweder nur die FIPS 140-2-kompatible Verschlüsselung, oder es wird keine Verschlüsselung aktiviert.

  • Wichtige Informationen für SoftwareentwicklerIn allen Bereichen, in denen der Entwickler oder Benutzer seinen eigenen Code für die Verschlüsselung oder das Hashing schreibt, müssen Sie angewiesen werden, nur CryptoAPI (und daher nur die zertifizierten Instanzen) zu verwenden und nur die Algorithmen anzugeben, die von FIPS 140-2 zulässig sind. Insbesondere müssen Sie nur Triple des (3DES) oder AES für die Verschlüsselung und nur SHA-1 für Hashing angeben.

Was ist der Effekt der Ausführung von SQL Server 2012 im FIPS 140-2-kompatiblen Modus?

  • Die Verwendung einer stärkeren Verschlüsselung hat möglicherweise eine geringe Auswirkung auf die Leistung für jene Prozesse, bei denen eine weniger starke Verschlüsselung zulässig ist, wenn der Prozess nicht als FIPS 140-2-kompatibel ausgeführt wird.

  • Durch die Auswahl der Verschlüsselung für SSIS (UseEncryption = true) wird eine Fehlermeldung generiert, die besagt, dass die verfügbare Verschlüsselung mit der FIPS-Konformität unvereinbar und nicht zulässig ist. Anders ausgedrückt: Es wird keine Verschlüsselung des Nachrichten Prozesses durchgeführt.

  • Die Verwendung der Verschlüsselung zusammen mit Legacy-DTS ist nicht mit FIPS 140-2 kompatibel. Beachten Sie, dass für DTS der FIPS-Modus in Windows nicht aktiviert ist. Daher liegt es in der Verantwortung des Benutzers, keine Verschlüsselung auszuwählen, damit er kompatibel bleibt.

  • Da die meisten SQL Server 2012-Verschlüsselungs-und-Hash Prozesse bereits FIPS 140-2-kompatibel sind, hat die Ausführung unter vollständiger Kompatibilität (also mit aktiviertem FIPS-Modus in Windows) nur geringe oder keine Auswirkungen auf die Verwendung oder Leistung des Produkts.

Wo finde ich weitere Informationen zu FIPS 140-2?

Weitere Informationen zum FIPS 140-2-Standard und zum Herunterladen finden Sie auf der folgenden NIST-Website:

http://csrc.nist.gov/cryptval/140-2.htmDie Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×