Introducción

En este artículo se describen las instrucciones de FIPS 140-2 y cómo usar Microsoft SQL Server 2012 en el modo compatible con FIPS 140-2.Notas

  • Los términos "compatible con FIPS 140-2", "cumplimiento de la norma FIPS 140-2" y "modo compatible con FIPS 140-2" se definen aquí para su uso y claridad. Estos términos no son reconocidos ni definidos como condiciones gubernamentales. Los gobiernos de Estados Unidos y Canadá reconocen la validación de los módulos criptográficos contra estándares como FIPS 140-2 y no el uso de módulos criptográficos de una manera especificada o conforme. En este artículo, usamos "FIPS 140-2-compatible", "cumplimiento de FIPS 140-2" y "modo compatible con FIPS 140-2" en el sentido de que SQL Server 2012 solo usa las instancias validadas de FIPS 140-2 de algoritmos y funciones de hash en todas las instancias en las que los datos con hash o cifrados se importan o exportan desde SQL Server 2012. Además, esto significa que SQL Server 2012 administrará las claves de manera segura, como se requiere en los módulos criptográficos de FIPS 140-2-validados. El proceso de administración de claves también incluye la generación de claves y el almacenamiento de claves.

  • Usamos "Certified" aquí para indicar que la instancia del algoritmo es FIPS 140-2 validada o que el sistema operativo contiene instancias de algoritmos validadas por FIPS 140-2.

Más información

¿Qué es FIPS?

El estándar federal de procesamiento de información (FIPS) es un estándar desarrollado por los dos organismos gubernamentales siguientes:

  • El Instituto Nacional de normas y tecnología (NIST) en los Estados Unidos

  • El establecimiento de seguridad de las comunicaciones (CSE) en Canadá

Los estándares de FIPS se recomiendan o se les exige para usarlos en sistemas de ti que operen con gobierno federal en Estados Unidos y Canadá.

¿Qué es FIPS 140-2?

FIPS 140-2 es una declaración que se titula "requisitos de seguridad para los módulos criptográficos". Especifica qué algoritmos de cifrado y qué algoritmos de hash se pueden usar y cómo se generarán y administrarán las claves de cifrado. Es posible que el hardware, el software y los procesos sean certificados por FIPS 140-2, y que el hardware, el software y los procesos sean compatibles con FIPS 140-2.

¿Cuál es la diferencia entre la compatibilidad de FIPS 140-2 y la certificación FIPS 140-2?

SQL Server 2012 puede configurarse y ejecutarse de forma que sea compatible con FIPS 140-2. Para configurar SQL Server 2012 de esta manera, SQL Server 2012 debe ejecutarse en un sistema operativo certificado por FIPS 140-2 o en un sistema operativo que proporcione un módulo criptográfico certificado. La diferencia entre cumplimiento y certificación no es sutil. Los algoritmos se pueden certificar. No es suficiente usar un algoritmo de las listas aprobadas en FIPS 140-2. En su lugar, debe usar una instancia de dicho algoritmo que está certificada. La certificación requiere pruebas y comprobación por parte de un laboratorio de evaluación aprobado por el gobierno. Windows Server 2003, Windows XP y Windows Server 2008 contienen los algoritmos permitidos y una instancia de cada uno de estos sistemas operativos está probada en el laboratorio de evaluación y está certificado por el gobierno.

¿Qué productos de la aplicación pueden ser compatibles con FIPS 140-2?

Todas las aplicaciones que realizan cifrado o hash y que se ejecutan en una versión certificada de Windows pueden ser compatibles utilizando únicamente las instancias certificadas de los algoritmos aprobados y cumpliendo con los requisitos de generación de claves y de administración de claves, ya sea mediante la función de Windows para la generación de claves y la administración de claves, o cumpliendo con los requisitos de generación de claves y Tenga en cuenta que las áreas de una aplicación compatible con FIPS pueden existir cuando se habilitan los algoritmos o procesos no compatibles. Por ejemplo, se permiten algunos procesos internos que permanecen dentro del sistema y algunos datos externos que se van a cifrar adicionalmente mediante una instancia de algoritmo certificado.

¿Es SQL Server 2012 siempre compatible con FIPS 140-2?

No. SQL Server 2012 puede ser compatible con FIPS 140-2 porque puede configurarse y ejecutarse de forma que use solo las instancias de algoritmo certificados por FIPS 140-2 a las que se llama con CryptoAPI para el cifrado o mediante el uso de hash en cada instancia en la que se requiere el cumplimiento de FIPS 140-2.

¿Cómo se puede configurar SQL Server 2012 para que sea compatible con FIPS 140-2?

  • Requisitos del sistema operativo: Debe instalar SQL Server 2012 en un servidor basado en uno de los siguientes sistemas operativos:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • Requisito de administración del sistema de Windows: El modo FIPS debe establecerse antes de que se inicie SQL Server 2012. SQL Server lee la configuración en el inicio. Para establecer el modo FIPS, siga estos pasos:

    1. Inicie sesión en Windows como administrador del sistema de Windows.

    2. Haga clic en Inicio.

    3. Haga clic en el Panel de control.

    4. Haga clic en Herramientas administrativas.

    5. Haga clic en Directiva de seguridad local. Aparece la ventana configuración de seguridad local .

    6. En el panel de navegación, haga clic en Directivas localesy, a continuación, haga clic en Opciones de seguridad.

    7. En el panel de la derecha, haga doble clic en criptografía de sistema: use algoritmos que cumplan la norma FIPS para el cifrado, el hash y la firma.

    8. En el cuadro de diálogo que aparece, haga clic en habilitadoy, a continuación, haga clic en aplicar.

    9. Haga clic en Aceptar.

    10. Cierre la ventana configuración de seguridad local .

  • Requisito de administrador de SQL Server

    • Cuando el servicio SQL Server detecta que el modo FIPS está habilitado en el inicio, SQL Server registra el siguiente mensaje en el registro de errores de SQL Server:

      El transporte de Service Broker se está ejecutando en el modo de cumplimiento de FIPS.Además, es posible que encuentre el siguiente mensaje registrado en el registro de eventos de Windows:

      Para comprobar que el servidor se ejecuta en el modo FIPS, busque estos mensajes.

    • Para la seguridad de diálogo (entre los servicios), el cifrado usa la instancia certificada por FIPS de AES si el modo FIPS está habilitado. Si el modo FIPS está deshabilitado, el cifrado usa RC4.

    • Al configurar un extremo de Service Broker en el modo FIPS, el administrador debe especificar "AES" para Service Broker. Si el punto de conexión está configurado como RC4, SQL Server generará un error. Por lo tanto, la capa de transporte no se iniciará.

¿Cómo funciona SQL Server 2012 en el modo compatible con FIPS 140-2?

  • Con el modo FIPS en Windows activado, SQL Server 2012 se ejecutará de conformidad con FIPS 140-2 en todas las áreas donde el usuario no tiene la opción de cifrar o hash, y de cómo hacerlo. (SQL Server 2012 usará CryptoAPI en Windows y solo usará las instancias certificadas de los algoritmos).

  • Con el modo FIPS en Windows activado, en todas las áreas en las que el usuario tiene la opción de usar el cifrado, SQL Server 2012 habilitará solamente el cifrado compatible con FIPS 140-2 o no habilitará ningún tipo de cifrado.

  • Información importante para los desarrolladores de softwareEn todas las áreas donde el desarrollador o el usuario escribe su propio código para el cifrado o el hash, debe indicarse que use solo CryptoAPI (y, por lo tanto, solo las instancias certificadas) y especificar solo los algoritmos permitidos por FIPS 140-2. En concreto, deben especificar solamente triple DES (3DES) o AES para la codificación y SHA-1 para hash.

¿Cuál es el efecto de ejecutar SQL Server 2012 en modo compatible con FIPS 140-2?

  • El uso de un cifrado más seguro puede tener un pequeño efecto en el rendimiento de los procesos para los que se permite un cifrado menos seguro cuando el proceso no funciona como conforme a FIPS 140-2.

  • La selección de cifrado para SSIS (UseEncryption = true) generará un mensaje de error que indica que el cifrado disponible es incompatible con FIPS Compliance y no está permitido. En otras palabras, no se realiza ningún cifrado del proceso de mensajes.

  • El uso del cifrado junto con DTS heredado no es compatible con FIPS 140-2. Tenga en cuenta que para DTS, no se comprueba el modo FIPS en Windows. Por lo tanto, es responsabilidad del usuario seleccionar que no se cumpla la norma de cifrado.

  • Debido a que la mayoría de los procesos de cifrado y hash de SQL Server 2012 ya son compatibles con FIPS 140-2, la ejecución con plena conformidad (es decir, con el modo FIPS en Windows activado) tendrá poco o ningún efecto en el uso o el rendimiento del producto.

¿Dónde puedo obtener más información sobre FIPS 140-2?

Para obtener más información sobre el estándar FIPS 140-2 y cómo descargarlo, vaya al siguiente sitio web de NIST:

http://csrc.nist.gov/cryptval/140-2.htmMicrosoft proporciona información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a tu experiencia?

¡Gracias por sus comentarios!

×