Tutvustus

Selles artiklis käsitletakse FIPS 140-2 juhiseid ja Microsoft SQL Server 2012 kasutamist FIPS 140-2-ga ühilduvas režiimis.Märkused.

  • Terminid "FIPS 140-2 ühilduvad", "" FIPS 140-2 nõuetele vastavus "ja" FIPS 140-2-ühilduv režiim "on siin määratletud kasutamiseks ja selguseks. Neid tingimusi ei tunta ära või määratletakse valitsemissektori tingimused. Ameerika Ühendriigid ja Kanada valitsused tunnustavad krüptograafilisete moodulite valideerimist standardite (nt FIPS 140-2) suhtes ja ei kasuta krüptograafiliseid mooduleid määratud või vastaval viisil. Selles artiklis kasutame funktsiooni "FIPS 140-2-ühilduv", "" FIPS 140-2 nõuetele vastavuse "ja" FIPS 140-2 nõuetele vastav režiim "selles tähenduses, et SQL Server 2012 kasutab ainult FIPS 140-2-valideeritud eksemplari algoritmide ja hashing funktsioone kõigis eksemplarides, kus krüptitud või HASHED andmed imporditakse või eksporditakse SQL Server 2012. Lisaks tähendab see seda, et SQL Server 2012 saab hallata võtmeid turvalisel viisil, nagu on nõutud FIPS 140-2 valideeritud krüptograafilised moodulid. Võtme-halduse protsess hõlmab ka nii võtme-kui ka võtmete talletamist.

  • Me kasutame "sertifitseeritud" siin, et algoritmi eksemplar on FIPS 140-2 kinnitatud või et opsüsteem sisaldab FIPS 140-2-i valideeritud algoritme.

Lisateave

Mis on FIPS?

Föderaalse teabe töötlemise Standard (FIPS) on standard, mille on välja töötanud kaks järgmist valitsusasutust:

  • Riiklik standardite ja tehnoloogia Instituut (NIST) Ameerika Ühendriikides

  • Kommunikatsiooni turbe ettevõte (CSE VALEMITEKS) Kanadas

FIPS-standardid on kas soovitatud või volitatud kasutamiseks Ameerika Ühendriikides ja Kanadas asuvates föderaalsete IT-süsteemides.

Mis on FIPS 140-2?

FIPS 140-2 on avaldus, mille pealkirjaks on "krüptograafilised moodulid" turvanõuete nõuded. Selles määratakse kindlaks, milliseid krüptimise algoritme saab kasutada ja kuidas saab krüptimise võtmeid luua ja hallata. Teatud riistvara, tarkvara ja protsessid võivad olla FIPS 140-2 sertifitseeritud ning mõned riistvara, tarkvara ja protsessid võivad olla FIPS 140-2 ühilduvad.

Mille poolest erinevad FIPS 140-2 ühilduvad ja mis on FIPS 140-2 sertifitseeritud?

SQL Server 2012 saab konfigureerida ja käivitada viisil, mis vastab FIPS 140-2. SQL Server 2012 sel viisil konfigureerimiseks peab SQL Server 2012 töötama opsüsteemis, mis on FIPS 140-2 sertifitseeritud või opsüsteemis, mis pakub serditud krüptograafiliset moodulit. Vastavuse ja sertifitseerimise vaheline erinevus pole peen. Algoritme saab kinnitada. FIPS 140-2 kinnitatud loenditest ei piisa algoritmi kasutamiseks. Selle asemel peate kasutama serditud algoritmi eksemplari. Sertifitseerimine nõuab valitsuse kinnitatud hindamise labori katsetamist ja kontrollimist. Windows Server 2003, Windows XP ja Windows Server 2008 sisaldavad lubatud algoritme ja iga operatsioonisüsteemi eksemplar on hindamine lab testitud ja valitsus sertifitseeritud.

Millised rakenduste tooted võivad olla FIPS 140-2 ühilduvad?

Kõik rakendused, mis teostavad krüptimist või räsimist ja mis töötavad Windowsi serditud versioonis, võivad olla ühilduvad, kasutades selleks ainult kinnitatud algoritmide kinnitatud eksemplare ning täites võtme-ja põhijuhtimise nõudeid, kasutades selleks Windowsi funktsiooni võtme loomise ja võtmete juhtimiseks või täites rakenduse võtme-ja põhijuhtimise nõudeid. Pange tähele, et FIPS-iga ühilduva rakenduse alad võivad olla olemas, kui ühilduvad algoritmid või protsessid on lubatud. Näiteks on lubatud mõned sisemised protsessid, mis süsteemis jäävad ja mõned välisandmed, mis on serditud algoritmi eksemplarile täiendavalt krüptitud.

Kas SQL Server 2012 on alati FIPS 140-2 ühilduv?

Ei. SQL Server 2012 saab FIPS 140-2 nõuetele vastavaks, sest seda saab konfigureerida ja käitada nii, et see kasutab ainult FIPS 140-2 sertifitseeritud algoritmi, mida kutsutakse CryptoAPI krüptimiseks või hashing igas eksemplaris, kus on nõutav FIPS 140-2 nõuetele vastavus.

Kuidas saab SQL Server 2012 konfigureerida FIPS 140-2 nõuetele vastavaks?

  • Operatsioonisüsteemi nõue: Peate installima SQL Server 2012 serveris, mis põhineb ühega järgmistest operatsioonisüsteemidest.

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • Windowsi süsteemi administreerimise nõue. FIPS-i režiim tuleb määrata enne SQL Server 2012 käivitamist. SQL Server loeb käivitamisel säte. FIPS-Re žiimi määramiseks tehke järgmist.

    1. Logige Windowsi Windowsi süsteemiadministraatorina sisse.

    2. Klõpsake nuppu Start.

    3. Klõpsake nuppu Juhtpaneel.

    4. Klõpsake nuppu Haldusriistad.

    5. Klõpsake nuppu Kohalik turvapoliitika. Kuvatakse aken kohalikud turvasätted .

    6. Klõpsake navigeerimispaanil nuppu Kohalikud poliitikadja seejärel nuppu turbesätted.

    7. Topeltklõpsake parempoolsel paanil valikut süsteemi krüptimine: FIPS-i nõuetele vastavate algoritmide kasutamine krüptimiseks, räsimiseks ja allkirjastamiseks.

    8. Klõpsake kuvatavas dialoogiboksis nuppu lubatudja seejärel nuppu Rakenda.

    9. Klõpsake nuppu OK.

    10. Sulgege aken kohalik turvasätted .

  • SQL serveri administraatori nõue

    • Kui SQL serveri teenus tuvastab, et FIPS-i režiim on käivitumisel lubatud, logib SQL serveri tõrkelogi sisse järgmine teade:

      Teenus maakler transport töötab FIPS-i nõuetele vastavuse režiimis.Lisaks võite leida Windowsi sündmuselogisse logitud järgmine teade:

      Saate kontrollida, kas server töötab FIPS-Re žiimis, otsides neid sõnumeid.

    • Dialoogiboksi turbe (teenuste) korral kasutab krüptimine FIPS-sertifitseeritud eksemplari AES-i, kui FIPS-i režiim on lubatud. Kui FIPS-i režiim on keelatud, kasutab krüptimine RC4.

    • Kui konfigureerite teenuse maakleri lõpp-punkti FIPS-Re žiimis, peab administraator määrama teenuse maakleri jaoks "AES". Kui lõpp-punkt on konfigureeritud RC4-i, loob SQL Server tõrketeate. Seetõttu transpordikihi ei käivitu.

Kuidas SQL Server 2012 töötab FIPS 140-2-ga ühilduvas režiimis?

  • Kui Windowsi FIPS-i režiim on sisse lülitatud, siis kõigis valdkondades, kus kasutajal ei ole valikut selle kohta, kas krüptida/hash ja kuidas seda tehakse, täidab SQL Server 2012 kooskõlas FIPS 140-2. (SQL Server 2012 kasutab Windowsi CryptoAPI ja kasutab ainult algoritmide kinnitatud eksemplare.)

  • Kui Windowsi FIPS-i režiim on sisse lülitatud, siis kõigis valdkondades, kus kasutajal on valida, kas kasutada krüptimist, saab SQL Server 2012 kasutada ainult FIPS 140-2 nõuetele vastavat krüpteeringut või see ei luba krüptimist.

  • Oluline teave tarkvaraarendajateleKõigis valdkondades, kus arendaja või kasutaja kirjutab oma koodi krüptimiseks või hasheks, tuleb neile anda juhiseid, et kasutada ainult CryptoAPI (ja seega ainult serditud eksemplare) ning määrata ainult need algoritmid, mis on lubatud FIPS 140-2. Täpsemalt peavad nad määrama ainult Triple DES (3DES) või krüptimiseks ja ainult SHA-1 for Hash.

Milline on SQL Serveri 2012 FIPS 140-2-ga ühilduvas režiimis käitamise mõju?

  • Suurema krüptimise kasutamisel võib olla väike mõju nende protsesside jõudlusele, mille korral on vähem tugev krüptimine lubatud, kui protsess ei toimi FIPS 140-2 nõuetele vastavana.

  • SSIS (UseEncryption = TRUE) krüptimise valik genereerib tõrketeate, mis teatab, et saadaolev krüptimine ei ühildu FIPS-i nõuetele vastavusega ja pole lubatud. Teisisõnu ei sooritata sõnumi protsessi krüptimist.

  • Krüptimise kasutamine koos Legacy DTS-iga ei vasta FIPS 140-2-ile. Pange tähele, et DTS-i puhul ei kontrollita Windowsi FIPS-i režiimi. Seetõttu vastutab kasutaja selle eest, et te ei saaks nõuetele vastamiseks krüptimist valida.

  • Kuna enamik SQL Server 2012 krüptimine ja hashing protsessid on juba FIPS 140-2 ühilduvad, täites täieliku vastavuse (st FIPS mode Windowsi sisse lülitatud) on vähe või üldse mitte mingit mõju toote kasutamisele või jõudlusele.

Kust saab lisateavet FIPS 140-2 kohta?

Lisateavet FIPS 140-2 standardi ja selle allalaadimise kohta leiate järgmisest NIST veebisaidilt.

http://csrc.nist.gov/cryptval/140-2.htmMicrosoft pakub tehnilise toe saamiseks teiste tootjate kontaktteavet. Seda kontaktteavet võidakse ette teatamata muuta. Microsoft ei garanteeri teiste tootjate kontaktteabe täpsust.

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te tõlkekvaliteediga olete?
Mis mõjutas teie kasutuskogemust?

Täname tagasiside eest!

×