Οδηγίες για τη χρήση του SQL Server 2008 σε FIPS 140-2-συμβατή κατάσταση λειτουργίας

ΕΙΣΑΓΩΓΗ

Αυτό το άρθρο ασχολείται με Ομοσπονδιακή πληροφορίες επεξεργασίας Standard (FIPS) 140-2 οδηγίες και τον τρόπο χρήσης του Microsoft SQL Server 2008 σε FIPS 140-2-συμβατή κατάσταση λειτουργίας.

Σημείωση Οι όροι "FIPS 140-2 συμβατή," "Συμμόρφωση FIPS 140-2" και "FIPS 140-2-συμβατή κατάσταση λειτουργίας" ορίζονται εδώ για χρήση και σαφήνειας. Οι όροι αυτοί δεν αναγνωρίζονται ή οριστεί όροι κυβέρνηση. Οι κυβερνήσεις των Ηνωμένων Πολιτειών και Καναδά αναγνωρίζει η επικύρωση κρυπτογραφικών λειτουργικών μονάδων έναντι πρότυπα όπως FIPS 140-2 και όχι τη χρήση τους σε μια καθορισμένη ή τρόπο είναι συμβατή. Σε αυτό το άρθρο, ορίζουμε "FIPS 140-2-συμβατό," "Συμμόρφωση FIPS 140-2," και "FIPS 140-2-συμβατή κατάσταση λειτουργίας" νοείται ότι SQL Server 2008 χρησιμοποιεί μόνο το FIPS 140-2-επικυρωθεί εμφανίσεις του αλγόριθμοι και κατακερματισμού λειτουργίες σε όλες τις περιπτώσεις στις οποίες κρυπτογραφημένα ή κατακερματισμένων δεδομένων είναι εισάγονται ή εξάγονται στον SQL Server 2008. Επιπλέον, οι όροι αυτοί σημαίνει ότι SQL Server 2008 θα διαχείριση κλειδιών με ασφαλή τρόπο όπως απαιτείται FIPS 140-2-επικύρωση κρυπτογραφικών λειτουργικών μονάδων. Η διαδικασία διαχείρισης κλειδιών περιλαμβάνει επίσης τη δημιουργία κλειδιών και το λειτουργίες αποθήκευσης κλειδιών.

Περισσότερες πληροφορίες

Τι είναι το FIPS;

FIPS σημαίνει Ομοσπονδιακή πρότυπα επεξεργασίας πληροφοριών. FIPS είναι πρότυπα που έχουν δημιουργηθεί από δύο όργανα διοίκησης. Ένα είναι το εθνικό ινστιτούτο προτύπων και τεχνολογίας στις Ηνωμένες Πολιτείες. Η άλλη είναι η καθιέρωση ασφαλείας επικοινωνιών στον Καναδά. FIPS είναι πρότυπα που είτε συνιστάται ή εντεταλμένοι για χρήση σε συστήματα ΠΛΗΡΟΦΟΡΙΚΉΣ λειτουργούν κυβέρνηση Ομοσπονδιακή (Ηνωμένων Πολιτειών ή Καναδά).

Τι είναι το FIPS 140-2;

Το πρότυπο FIPS 140-2 είναι μια δήλωση των "Απαιτήσεων ασφαλείας για λειτουργικές μονάδες κρυπτογράφησης." Καθορίζει τους αλγόριθμους κρυπτογράφησης και ποια αλγόριθμοι κατακερματισμού που μπορεί να χρησιμοποιηθεί και πώς κλειδιά κρυπτογράφησης πρέπει να δημιουργηθεί και να διαχειρίζεται. Ορισμένες υλικού, λογισμικού και των διεργασιών μπορεί να FIPS 140-2 επικυρώνονται από ένα εργαστήριο εγκεκριμένο επικύρωσης. Ορισμένες από αυτές μπορούν επίσης να περιγραφούν ως FIPS 140-2-συμβατό όπως ο όρος ορίζεται σε αυτό το άρθρο.

Ποια είναι η διαφορά μεταξύ μιας εφαρμογής που είναι "FIPS 140-2-συμβατό" και μια εφαρμογή που είναι "FIPS 140-2-επικύρωση";

Μπορείτε να ρυθμίσετε τις παραμέτρους του SQL Server 2008 να εκτελείται ως εφαρμογή FIPS 140-2-συμβατό. Για να γίνει αυτό, πρέπει να εκτελέσετε το SQL Server 2008 σε ένα λειτουργικό σύστημα που χρησιμοποιεί ένα πρότυπο FIPS 140-2-επικυρωθεί υπηρεσία παροχής κρυπτογράφησης ή που παρέχει μια λειτουργική μονάδα κρυπτογράφησης που έχει επικυρωθεί. Η διαφορά μεταξύ της συμμόρφωσης και επικύρωσης δεν είναι δυσδιάκριτα. Αλγόριθμοι μπορεί να επικυρωθεί. Γνωρίζετε ότι είναι ανεπαρκής για να χρησιμοποιήσετε αλγορίθμους από τις λίστες εγκεκριμένων FIPS 140-2. Πρέπει να χρησιμοποιήσετε παρουσίες αλγόριθμους που έχουν FIPS 140-2 επικυρωθεί. Επικύρωση απαιτεί δοκιμών και επαλήθευσης από ένα εργαστήριο εγκεκριμένο κυβέρνηση αξιολόγησης. Τα Windows Server 2008, Windows Server 2003 και Windows XP περιέχουν τις εγκεκριμένες λειτουργικές μονάδες κρυπτογράφησης και λειτουργικές μονάδες, καθώς και τις συγκεκριμένες εμφανίσεις των αλγορίθμων, έχουν lab που έχουν δοκιμαστεί και κυβέρνηση επικύρωση.

Ποιες εφαρμογές μπορούν να FIPS 140-2-συμβατό;

Όλες οι εφαρμογές που εκτελούν κρυπτογράφησης ή κατακερματισμού και που εκτελείται σε επικυρωμένο έκδοση των Microsoft Windows κρυπτογράφησης παροχής υπηρεσιών μπορεί να είναι συμβατός με αν χρησιμοποιούν μόνο το επικυρωμένο παρουσίες τους εγκεκριμένους αλγορίθμους. Οι εφαρμογές αυτές πρέπει επίσης να συμμορφώνεστε με δημιουργίας κλειδιών και απαιτήσεις διαχείρισης κλειδιών χρησιμοποιώντας μια λειτουργία κλειδιών των Windows ή με βάση τη δημιουργία κλειδιών και απαιτήσεις διαχείρισης κλειδιών στην εφαρμογή. Επιπλέον, σε ορισμένες περιπτώσεις, μη σύμμορφο αλγόριθμοι ή διαδικασίες επιτρέπονται σε εφαρμογή FIPS 140-2-συμβατό. Για παράδειγμα, τα δεδομένα μπορούν να κρυπτογραφηθούν χρησιμοποιώντας έναν αλγόριθμο μη σύμμορφοι εάν σε αυτό κρυπτογραφημένη μορφή, τα δεδομένα παραμένουν εντός της εφαρμογής, αυτό σημαίνει ότι τα δεδομένα δεν εξάγονται σε αυτήν τη φόρμα ή εάν τα δεδομένα είναι κρυπτογραφημένα (αναδίπλωση) χρησιμοποιώντας ένα συμβατό με το FIPS αλγόριθμο περαιτέρω.

Αυτό σημαίνει ότι το SQL Server 2008 είναι πάντα FIPS 140-2-συμβατό;

Αρ. Αυτό σημαίνει ότι SQL Server 2008 μπορεί να ρυθμιστεί ώστε να εκτελείται σε FIPS 140-2-συμβατή κατάσταση λειτουργίας.

Πώς να SQL Server 2008 να ρυθμιστεί στη χρήση FIPS 140-2-επικυρωθεί κρυπτογράφησης λειτουργική μονάδα;

Απαιτήσεις λειτουργικού συστήματος

Πρέπει να εγκαταστήσετε στον SQL Server 2008 σε έναν υπολογιστή που βασίζεται σε Windows Server 2008, έναν υπολογιστή που βασίζεται στα Windows Vista, ενός υπολογιστή που βασίζεται σε Windows Server 2003 ή έναν υπολογιστή που βασίζεται στα Windows XP.

Απαιτήσεις διαχείρισης συστήματος των Windows

Πριν από την εκκίνηση του SQL Server 2008, πρέπει να ενεργοποιήσετε τη λειτουργία FIPS. Αυτό συμβαίνει επειδή ο SQL Server 2008 διαβάζει τη ρύθμιση FIPS κατά την εκκίνηση. Για να ενεργοποιήσετε το FIPS, ακολουθήστε τα εξής βήματα.

Για Windows Server 2008 και Windows Vista
  1. Χρησιμοποιήστε τις πιστοποιήσεις διαχειριστή για να συνδεθείτε με τον υπολογιστή.
  2. Εάν χρησιμοποιείτε Windows Server 2008, κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε gpedit.mscκαι, στη συνέχεια, πιέστε το πλήκτρο ENTER. Ανοίγει το πρόγραμμα επεξεργασίας τοπικής πολιτικής ομάδας. Εάν χρησιμοποιείτε έναν υπολογιστή που βασίζεται στα Windows Vista, κάντε κλικ στο κουμπί Έναρξη, πληκτρολογήστε gpedit.msc στο πλαίσιο Έναρξη αναζήτησης και, στη συνέχεια, πιέστε το πλήκτρο ENTER.
  3. Στο το επεξεργασίας τοπικής πολιτικής ομάδας, κάντε διπλό κλικ στο " Ρυθμίσεις των Windows ", κάτω από τον κόμβο Ρυθμίσεις υπολογιστή και, στη συνέχεια, κάντε διπλό κλικ στο Ρυθμίσεις ασφαλείας.
  4. Κάτω από τον κόμβο " Ρυθμίσεις ασφαλείας ", κάντε διπλό κλικ σε Τοπικές πολιτικέςκαι, στη συνέχεια, κάντε κλικ στο κουμπί Επιλογές ασφαλείας.
  5. Στο παράθυρο λεπτομερειών, κάντε διπλό κλικ στο Κρυπτογραφία συστήματος: χρήση FIPS συμβατό με αλγόριθμους για κρυπτογράφηση, κατακερματισμό και υπογραφή.

  6. Με το Κρυπτογραφία συστήματος: χρήση FIPS συμβατό με αλγόριθμους για κρυπτογράφηση, κατακερματισμό και υπογραφή διαλόγου, κάντε κλικ στο κουμπί Ενεργοποίησηκαι, στη συνέχεια, κάντε κλικ στο κουμπί OK για να κλείσετε το παράθυρο διαλόγου.
  7. Κλείστε το πρόγραμμα επεξεργασίας τοπικής πολιτικής ομάδας.
Για Windows Server 2003 και Windows XP
  1. Χρησιμοποιήστε τις πιστοποιήσεις διαχειριστή για να συνδεθείτε με τον υπολογιστή.
  2. Κάντε κλικ στο κουμπί Έναρξη, επιλέξτε Εκτέλεση, πληκτρολογήστε gpedit.mscκαι, στη συνέχεια, πιέστε το πλήκτρο ENTER.
  3. Στο παράθυρο "Πολιτική ομάδας", κάντε διπλό κλικ στο " Ρυθμίσεις των Windows ", κάτω από τον κόμβο Ρυθμίσεις υπολογιστή και, στη συνέχεια, κάντε διπλό κλικ στο Ρυθμίσεις ασφαλείας.
  4. Κάτω από τον κόμβο " Ρυθμίσεις ασφαλείας ", κάντε διπλό κλικ σε Τοπικές πολιτικέςκαι, στη συνέχεια, κάντε κλικ στο κουμπί Επιλογές ασφαλείας.
  5. Στο παράθυρο λεπτομερειών, κάντε διπλό κλικ στο Κρυπτογραφία συστήματος: χρήση FIPS συμβατό με αλγόριθμους για κρυπτογράφηση, κατακερματισμό και υπογραφή.

  6. Με το Κρυπτογραφία συστήματος: χρήση FIPS συμβατό με αλγόριθμους για κρυπτογράφηση, κατακερματισμό και υπογραφή διαλόγου, κάντε κλικ στο κουμπί Ενεργοποίησηκαι, στη συνέχεια, κάντε κλικ στο κουμπί OK για να κλείσετε το παράθυρο διαλόγου.
  7. Κλείστε το παράθυρο "Πολιτική ομάδας".

Σημειώσεις διαχειριστή του SQL Server 2008

  • Όταν η υπηρεσία SQL Server 2008 εντοπίζει ότι είναι ενεργοποιημένη η λειτουργία FIPS κατά την εκκίνηση, το SQL Server 2008 καταγράφει το ακόλουθο μήνυμα στο αρχείο καταγραφής σφαλμάτων του SQL Server:
    Μεταφορά Service Broker εκτελείται σε λειτουργία συμμόρφωση FIPS
    Επιπλέον, ενδέχεται να καταγραφεί το ακόλουθο μήνυμα στο αρχείο καταγραφής εφαρμογής:
    Μεταφορά Mirroring βάση δεδομένων εκτελείται σε λειτουργία συμμόρφωση FIPS
    Για να βεβαιωθείτε ότι ο διακομιστής εκτελείται σε λειτουργία FIPS, να εντοπίσετε αυτά τα μηνύματα.
  • Για να αποκτήσετε το παράθυρο διαλόγου ασφαλείας μεταξύ των υπηρεσιών, η διαδικασία κρυπτογράφησης θα χρησιμοποιήσει παρουσία FIPS πιστοποιημένων από το Προηγμένο πρότυπο κρυπτογράφησης (AES), εάν είναι ενεργοποιημένη η λειτουργία FIPS. Εάν είναι απενεργοποιημένη η λειτουργία FIPS, η διαδικασία κρυπτογράφησης χρησιμοποιεί RC4.
  • Όταν ρυθμίζετε μια απόληξη Service Broker σε λειτουργία FIPS, πρέπει να καθορίσετε "AES" για το Service Broker. Εάν το τελικό σημείο έχει ρυθμιστεί να RC4, SQL Server, παράγει σφάλμα. Επομένως, το επίπεδο μεταφοράς δεν ξεκινά.

Πώς λειτουργούν στον SQL Server 2008 σε FIPS 140-2-συμβατή κατάσταση λειτουργίας;

  • Εάν είναι ενεργοποιημένη η λειτουργία FIPS στα Windows και ο χρήστης έχει καμία επιλογή σχετικά με το αν θα κρυπτογραφηθεί ή κατακερματισμού δεδομένα και πώς θα γίνουν, SQL Server 2008 λειτουργεί με FIPS 140-2-συμβατή κατάσταση λειτουργίας. Στον SQL Server 2008 θα χρησιμοποιήσει το CryptoAPI και θα χρησιμοποιήσει μόνο το επικυρωμένο παρουσίες τους αλγορίθμους.
  • Εάν είναι ενεργοποιημένη η λειτουργία FIPS και εάν ο χρήστης έχει τη δυνατότητα αν θέλετε να χρησιμοποιήσετε κρυπτογράφηση, SQL Server 2008 είτε θα επιτρέψει μόνο FIPS 140-2-συμβατό κρυπτογράφησης ή δεν θα επιτρέψει για οποιαδήποτε κρυπτογράφηση.
  • Σημαντικές πληροφορίες για προγραμματιστές

    Εάν μπορείτε να γράψετε το δικό σας κώδικα για την κρυπτογράφηση ή κατακερματισμού, πρέπει να χρησιμοποιήσετε μόνο το CryptoAPI. Πρέπει να καθορίσετε μόνο τους αλγορίθμους που επιτρέπονται από το FIPS 140-2. Συγκεκριμένα, χρησιμοποιήστε μόνο το Triple Data Encryption Standard (3DES) ή AES για κρυπτογράφηση και μόνο SHA-1 για κατακερματισμό. Μπορείτε να χρησιμοποιήσετε τις ακόλουθες λέξεις-κλειδιά στον SQL Server 2008 για τους αντίστοιχες FIPS 140-2-επικυρωθεί αλγορίθμους:

    • DESX (τριών πλήκτρων τριπλό DES)
    • Τριπλό DES(Two-key triple DES)
    • TRIPLE_DES_3KEY (τριών κλειδί Τriple DES)
    • TRIPLE_DES_2KEY (τριπλό DES δύο-πλήκτρων)
    Σημείωση Επιλέγοντας DESX παρέχει έναν αλγόριθμο DESX στον SQL Server 2005 ή στον SQL Server 2008. Και στις δύο περιπτώσεις, η επιλογή DESX παρέχει μια επικυρωμένη παρουσία τριών κλειδί Τriple DES.
  • Σημαντικές πληροφορίες για προγραμματιστές

    Στον SQL Server 2008 υποστηρίζει τη δυνατότητα διαχείρισης (EKM) μιας εταιρείας κλειδί που επιτρέπει τη διαχείριση των κλειδιών κρυπτογράφησης σε μια ξεχωριστό υλικό άλλου κατασκευαστή λειτουργική μονάδα αποθήκευσης (HSM). Για να λειτουργήσουν με FIPS 140-2-συμβατή κατάσταση λειτουργίας και να χρησιμοποιήσετε EKM, πρέπει να ισχύει μία από τις ακόλουθες δύο συνθήκες:
    • Το εξωτερικό λειτουργική μονάδα κρυπτογράφησης πρέπει να FIPS 140-2 επικυρωθεί.
    • Ορισμένες των αλγορίθμων που χρησιμοποιούνται από τη λειτουργική μονάδα κρυπτογράφησης πρέπει να FIPS 140-2 επικυρωθεί. Χρησιμοποιήστε μόνο για τις παρουσίες των αλγορίθμων επικυρωμένη όταν FIPS 140-2-κρυπτογράφησης ή αποκρυπτογράφησης απαιτείται για την εισαγωγή ή την εξαγωγή δεδομένων σε ή από τον SQL Server.
    Επιπλέον, τα δεδομένα που θα κρυπτογραφούνται ή αποκρυπτογραφούνται από τη λειτουργική μονάδα κρυπτογράφησης εξωτερικό πρέπει να διαβιβαστούν σε κρυπτογραφημένη μορφή, από χρησιμοποιώντας παρουσία FIPS 140-2-επικυρωθεί.

Τι είναι το αποτέλεσμα της εκτέλεσης του SQL Server 2008 σε FIPS 140-2-συμβατή κατάσταση λειτουργίας;

  • Χρησιμοποίηση ισχυρότερη κρυπτογράφηση μπορεί να έχει μια μικρή επίδραση στις επιδόσεις για αυτές τις διαδικασίες όπου επιτρέπεται λιγότερο ισχυρή κρυπτογράφηση κατά τη διαδικασία δεν λειτουργεί ως FIPS 140-2-συμβατό.
  • Επιλογή κρυπτογράφησης για SSIS (UseEncryption = True) θα δημιουργήσει ένα μήνυμα λάθους ότι το διαθέσιμο κρυπτογράφησης δεν είναι συμβατή με FIPS συμμόρφωσης και δεν επιτρέπεται. Με άλλα λόγια, πραγματοποιείται χωρίς κρυπτογράφηση της διαδικασίας μήνυμα.
  • Χρήση της κρυπτογράφησης καθώς και παλαιού τύπου υπηρεσιών μετασχηματισμού δεδομένων (DTS) δεν είναι FIPS 140-2-συμβατό. Για DTS, η λειτουργία FIPS στα Windows δεν είναι επιλεγμένο. Για να διατηρήσετε τη συμβατότητα, δεν πρέπει να επιλέξετε κρυπτογράφηση.
  • Οι περισσότερες SQL Server 2008 κρυπτογράφησης και κλειδώματος ήδη διεργασίες χρησιμοποιούν FIPS 140-2-επικυρωθεί κρυπτογράφησης λειτουργική μονάδα. Επομένως, εάν εκτελείτε μια εφαρμογή σε FIPS 140-2-συμβατή κατάσταση λειτουργίας, όταν είναι ενεργοποιημένη η λειτουργία FIPS στα Windows, υπάρχει ελάχιστες ή μηδενικές επιπτώσεις από τη χρήση ή την απόδοση της εφαρμογής.

Πού μπορώ να μάθω περισσότερα σχετικά με το FIPS 140-2;

Για περισσότερες πληροφορίες σχετικά με το πρότυπο FIPS και τον τρόπο λήψης του, επισκεφθείτε την ακόλουθη τοποθεσία Web του NIST:Η Microsoft παρέχει στοιχεία επικοινωνίας με τρίτους για να σας βοηθήσει να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας ενδέχεται να αλλάξουν χωρίς ειδοποίηση. Η Microsoft δεν εγγυάται την ακρίβεια των στοιχείων επικοινωνίας τρίτων.
Για περισσότερες πληροφορίες σχετικά με τον τρόπο χρήσης του SQL Server 2005 σε FIPS 140-2-συμβατή κατάσταση λειτουργίας, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

920995 οδηγίες για τη χρήση SQL Server 2005 Service Pack 1 ή νεότερη έκδοση του SQL Server με το FIPS 140-2 συμβατός με λειτουργία

Ιδιότητες

Αναγνωριστικό άρθρου: 955720 - Τελευταία αναθεώρηση: 14 Ιαν 2017 - Αναθεώρηση: 2

Σχόλια