Instrucciones para usar SQL Server 2008 en FIPS 140-2-modo compatible con

INTRODUCCIÓN

Este artículo analiza Federal Information Processing Standard (FIPS) 140-2 instrucciones y cómo utilizar Microsoft SQL Server 2008 en el modo FIPS 140-2 compatibles.

Nota: Los términos "FIPS 140-2 compatibles con" "Cumplimiento de normas FIPS 140-2" y "FIPS 140-2-modo compatible con" se definen aquí para uso y claridad. Estas condiciones no son reconocidas o gobierno términos definidos. Los Gobiernos de los Estados Unidos y Canadá reconocen la validación de los módulos criptográficos de estándares como FIPS 140-2 y no el uso de ellas de un objeto o forma conforme. En este artículo, definimos "FIPS 140-2-compatible," "Cumplimiento de FIPS 140-2" y "FIPS 140-2-modo compatible con" significa que SQL Server 2008 usa sólo FIPS 140-2 validado las instancias de algoritmos y las funciones en todos los casos en que cifrado o hash de datos resumen se importan o exportan a SQL Server 2008. Además, estos términos significan que SQL Server 2008 administrará las claves de forma segura según sea necesario de módulos criptográficos de FIPS 140-2 validado. El proceso de administración de claves también incluye la generación de claves y la funcionalidad de almacenamiento de claves.

Más información

¿Qué es FIPS?

FIPS significa estándares federales de procesamiento de información. FIPS son estándares desarrollados por dos órganos de gobierno. Uno es el Instituto nacional de estándares y tecnología en los Estados Unidos. El otro es el establecimiento de la seguridad de las comunicaciones en Canadá. FIPS son estándares que se recomienda o impuestos para su uso en sistemas de TI operado por el gobierno federal (Estados Unidos o Canadá).

¿Qué es FIPS 140-2?

FIPS 140-2 es una declaración de los "requisitos de seguridad para módulos criptográficos". Especifica qué algoritmos de cifrado y qué algoritmos de hash se pueden utilizar y cómo son las claves de cifrado generadas y administradas. Algunos hardware, software y procesos pueden ser FIPS 140-2 validado por un laboratorio autorizado de validación. Algunos de ellos pueden describirse también como FIPS 140-2 compatible como el término está definido en el presente artículo.

¿Cuál es la diferencia entre una aplicación que es "FIPS 140-2 compatible" y una aplicación que es "FIPS 140-2 validado"?

Puede configurar SQL Server 2008 para ejecutarse como aplicación de FIPS 140-2 compatibles. Para ello, debe ejecutar SQL Server 2008 en un sistema operativo que utiliza un FIPS 140-2 validado proveedor de servicios criptográficos o que proporciona un módulo criptográfico que se ha validado. La diferencia entre la validación y cumplimiento de normas no es sutil. Los algoritmos se pueden validar. Darse cuenta de que es suficiente para utilizar los algoritmos de las listas aprobados en FIPS 140-2. Debe utilizar instancias de algoritmos que se han FIPS 140-2 validado. Validación requiere pruebas y comprobación por un laboratorio de evaluación aprobados por el gobierno. Windows Server 2008, Windows Server 2003 y Windows XP contienen los módulos criptográficos aprobados, y los módulos, incluidas las instancias específicas de los algoritmos, han sido probadas en el laboratorio y gobierno validado.

¿Qué aplicaciones pueden ser FIPS 140-2 compatibles?

Todas las aplicaciones que realice el cifrado o hash y que se ejecutan en una versión validada de un proveedor de servicios criptográficos de Microsoft Windows puede ser compatible si se utilizan sólo las validado instancias de los algoritmos aprobados. Estas aplicaciones también deben cumplir con requisitos de administración de claves y generación de claves mediante una función clave de Windows o al cumplir con la generación de claves y requisitos de administración de claves en la aplicación. Además, en algunos casos, se permiten procesos o algoritmos no conformes en una FIPS 140-2-aplicación compatible con. Por ejemplo, los datos pueden cifrarse mediante un algoritmo no conforme si, en este formato cifrado, los datos permanecen dentro de la aplicación, es decir, no se exportan los datos de este formulario, o si los datos están cifrados más (ajustado) utiliza un algoritmo compatible con FIPS.

¿Esto significa que SQL Server 2008 siempre es FIPS 140-2 compatibles?

No Significa que SQL Server 2008 puede configurarse para que se ejecute en el modo FIPS 140-2 compatibles.

¿Cómo SQL Server 2008 se puede configurar para utilizar un módulo FIPS 140-2-validar criptográfico?

Requisitos del sistema operativo

Debe instalar SQL Server 2008 en un equipo basado en Windows Server 2008, un equipo basado en Windows Vista, un equipo basado en Windows Server 2003 o un equipo basado en Windows XP.

Requisitos de administración del sistema de Windows

Debe habilitar el modo FIPS antes de iniciar SQL Server 2008. Esto es debido a que SQL Server 2008 lee la configuración de FIPS al inicio. Para habilitar FIPS, siga estos pasos.

Para Windows Server 2008 y Windows Vista
  1. Utilizar credenciales administrativas para iniciar sesión en el equipo.
  2. Si está utilizando Windows Server 2008, haga clic en Inicio, haga clic en Ejecutar, escriba gpedit.mscy, a continuación, presione ENTRAR. Se abrirá el Editor de directivas de grupo Local. Si está utilizando un equipo basado en Windows Vista, haga clic en Inicio, escriba gpedit.msc en el cuadro Iniciar búsqueda y, a continuación, presione ENTRAR.
  3. En el Editor de directivas de grupo Local, haga doble clic en Configuración de Windows bajo el nodo Configuración del equipo y, a continuación, haga doble clic en Configuración de seguridad.
  4. Bajo el nodo Configuración de seguridad , haga doble clic en Directivas localesy, a continuación, haga clic en Opciones de seguridad.
  5. En el panel de detalles, haga doble clic en criptografía de sistema: algoritmos usar compatibles con FIPS para cifrado, firma y operaciones hash.

  6. En el criptografía de sistema: algoritmos usar compatibles con FIPS para cifrado, firma y operaciones hash cuadro de diálogo, haga clic en habilitaday, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo.
  7. Cierre el Editor de directivas de grupo Local.
Para Windows Server 2003 y Windows XP
  1. Utilizar credenciales administrativas para iniciar sesión en el equipo.
  2. Haga clic en Inicio, haga clic en Ejecutar, escriba gpedit.mscy, a continuación, presione ENTRAR.
  3. En la ventana Directiva de grupo, haga doble clic en Configuración de Windows bajo el nodo Configuración del equipo y, a continuación, haga doble clic en Configuración de seguridad.
  4. Bajo el nodo Configuración de seguridad , haga doble clic en Directivas localesy, a continuación, haga clic en Opciones de seguridad.
  5. En el panel de detalles, haga doble clic en criptografía de sistema: algoritmos usar compatibles con FIPS para cifrado, firma y operaciones hash.

  6. En el criptografía de sistema: algoritmos usar compatibles con FIPS para cifrado, firma y operaciones hash cuadro de diálogo, haga clic en habilitaday, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo.
  7. Cierre la ventana Directiva de grupo.

Notas de administrador de SQL Server 2008

  • Cuando el servicio de SQL Server 2008 detecta que está habilitado el modo FIPS en el inicio, SQL Server 2008 registra el mensaje siguiente en el registro de errores de SQL Server:
    Transporte de Service Broker se está ejecutando en el modo de cumplimiento de normas FIPS
    Además, puede anotarse el mensaje siguiente en el registro de aplicación:
    Transporte de reflejo de base de datos se ejecuta en el modo de cumplimiento de normas FIPS
    Para comprobar que el servidor se está ejecutando en modo FIPS, busque estos mensajes.
  • Para obtener seguridad de diálogo entre los servicios, el proceso de cifrado utilizará la instancia certificada por FIPS de la Advanced Encryption Standard (AES) si está habilitado el modo FIPS. Si el modo FIPS está deshabilitado, el proceso de cifrado utiliza RC4.
  • Cuando configure un extremo de Service Broker en modo FIPS, debe especificar "AES" para Service Broker. Si el extremo está configurado para RC4, SQL Server genera un error. Por lo tanto, la capa de transporte no se inicia.

¿Cómo funciona en el modo FIPS 140-2-compatible con SQL Server 2008?

  • Si está activado el modo FIPS en Windows y el usuario no tendrá elección acerca de si se va a cifrar o hash de los datos y cómo se llevará a cabo, SQL Server 2008 funciona en el modo FIPS 140-2 compatibles. SQL Server 2008 utilizará la CryptoAPI y utilizará sólo las validado instancias de los algoritmos.
  • Si el modo FIPS está activado y el usuario puede elegir si se va a utilizar el cifrado, SQL Server 2008 o bien permitir sólo FIPS 140-2-cifrado compatible con o no permitirá ningún tipo de encriptación.
  • Información importante para los desarrolladores

    Si escribe su propio código para cifrado o hash, debe utilizar sólo la CryptoAPI. Debe especificar sólo los algoritmos permitidos por FIPS 140-2. En concreto, utilice sólo el Triple Data Encryption Standard (3DES) o AES para el cifrado y sólo SHA-1 para hash. Puede utilizar las siguientes palabras clave de SQL Server 2008 para los algoritmos respectivos de FIPS 140-2 validado:

    • DESX (triple DES de tres teclas)
    • Triple-DES(Two-key triple DES)
    • TRIPLE_DES_3KEY (tres claves triple DES)
    • TRIPLE_DES_2KEY (dos claves triple DES)
    Nota: Seleccionar DESX no proporciona un algoritmo DESX en SQL Server 2005 o en SQL Server 2008. En ambos casos, la selección de DESX proporciona una instancia validada de tres claves triple DES.
  • Información importante para los desarrolladores

    SQL Server 2008 es compatible con una característica de administración (EKM) empresariales clave que permite la administración de claves de cifrado en un módulo de almacenamiento de información de hardware de terceros independiente (HSM). Para que funcione en el modo FIPS 140-2 compatible y utilizar EKM, debe cumplirse una de las dos condiciones siguientes:
    • El módulo criptográfico externo debe ser FIPS 140-2 validado.
    • Algunos de los algoritmos utilizados por el módulo criptográfico deben ser FIPS 140-2 validado. Utilice sólo las instancias de algoritmos validados cuando es necesario para importar o exportar datos desde SQL Server o FIPS 140-2-cifrado o descifrado.
    Además, los datos que se cifra o descifra el módulo criptográfico externo deben pasarse en forma cifrada mediante una instancia FIPS 140-2 validado.

¿Cuál es el efecto de ejecutar SQL Server 2008 en el modo FIPS 140-2 compatibles?

  • Uso de un cifrado más seguro puede tener un pequeño efecto en el rendimiento para esos procesos donde está permitido menos cifrado seguro cuando el proceso no funciona como FIPS 140-2 compatibles.
  • Selección de cifrado para SSIS (UseEncryption = True) generará un mensaje de error que el cifrado disponible es incompatible con el cumplimiento de normas FIPS y no está permitido. En otras palabras, no se realiza ningún cifrado de proceso de mensajes.
  • Uso del cifrado junto con antiguos Data Transformation Services (DTS) no es FIPS 140-2 compatibles. Para DTS, no se comprueba el modo FIPS en Windows. Para seguir siendo compatible, debe seleccionar no cifrado.
  • La mayoría de SQL Server 2008 de cifrado y hash procesos ya utilizan un módulo FIPS 140-2-validar criptográfico. Por lo tanto, si ejecuta una aplicación en el modo FIPS 140-2 compatible cuando está activado el modo FIPS en Windows, hay muy poco o ningún efecto sobre el uso o el rendimiento de la aplicación.

¿Dónde puedo aprender más acerca de FIPS 140-2?

Para obtener más información acerca del estándar FIPS y cómo descargarlo, visite el siguiente sitio Web de NIST:Microsoft proporciona información de contacto de terceros para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la exactitud de esta información de contacto de terceros.
Para obtener más información sobre cómo utilizar SQL Server 2005 en el modo FIPS 140-2 compatibles, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

920995 instrucciones para usar SQL Server 2005 Service Pack 1 o una versión posterior de SQL Server en el FIPS 140-2 modo compatible con

Propiedades

Id. de artículo: 955720 - Última revisión: 9 ene. 2017 - Revisión: 1

Comentarios