Instructions pour l’utilisation de SQL Server 2008 dans FIPS 140-2-mode compatible

INTRODUCTION

Cet article décrit le traitement Standard FIPS (Federal Information) 140-2 instructions et comment utiliser Microsoft SQL Server 2008 dans le mode FIPS 140-2 conforme.

Remarque Les termes « FIPS 140-2 compatibles » « Conformité FIPS 140-2 » et « FIPS 140 2-mode compatible » sont définis ici pour l’utilisation et la clarté. Ces conditions ne sont pas reconnues ou gouvernement termes définis. Les gouvernements des États-Unis et du Canada reconnaissent pas l’utilisation de dans un texte spécifié ou le mode de conformité et de la validation des modules cryptographiques par rapport aux standards comme FIPS 140-2. Dans cet article, nous définissons « FIPS 140-2 conforme, » « Conformité FIPS 140-2, » et « FIPS 140-2 conforme mode » pour signifier que SQL Server 2008 utilise uniquement instances FIPS 140-2-validation des algorithmes et des fonctions dans toutes les instances qui chiffré ou hachées données de hachage sont importées ou exportées vers SQL Server 2008. En outre, ces termes signifient que SQL Server 2008 gère les clés de manière sécurisée des modules cryptographiques de FIPS 140-2-validé selon les besoins. Le processus de gestion des clés inclut également la génération de clés et les fonctionnalités de stockage de clé.

Plus d'informations

Nouveautés FIPS

FIPS signifie que des normes de traitement des informations fédérale. FIPS sont des normes développées par deux organismes du gouvernement. Un est le National Institute of Standards et la technologie aux États-Unis. L’autre est l’établissement de Communications de sécurité au Canada. FIPS sont des normes qui sont soit recommandés ou obligatoire pour une utilisation dans des systèmes INFORMATIQUES fonctionnant sur le gouvernement fédéral (États-Unis ou Canada).

Nouveautés FIPS 140-2

FIPS 140-2 est une instruction de la « sécurité requise pour les Modules cryptographiques. » Il spécifie les algorithmes de chiffrement et les algorithmes de hachage peuvent être utilisés et comment les clés de chiffrement sont générés et la gestion. Certains matériels, les logiciels et les processus peuvent être FIPS 140-2 est validée par un laboratoire agréé de validation. Certains d'entre eux peuvent également être décrit comme FIPS 140-2 conforme comme le terme est défini dans cet article.

Quelle est la différence entre une application qui est « FIPS 140-2 conforme » et une application qui est « FIPS 140-2-validé » ?

Vous pouvez configurer 2008 de SQL Server pour s’exécuter comme une application de 140-2-compatible FIPS. Pour ce faire, vous devez exécuter SQL Server 2008 sur un système d’exploitation qui utilise un FIPS 140-2-validation fournisseur de services cryptographiques ou qui fournit un module cryptographique qui a été validé. La différence entre la validation et de la conformité n’est pas subtile. Les algorithmes peuvent être validées. Sachez qu’il ne suffit pas à utiliser des algorithmes dans les listes approuvées dans FIPS 140-2. Vous devez utiliser des instances d’algorithmes ont été FIPS 140-2 est validé. Validation nécessite le test et la vérification par un laboratoire d’évaluation d’approuvé par le gouvernement. Windows Server 2008, Windows Server 2003 et Windows XP contiennent les modules de chiffrement approuvés, et les modules, y compris les instances spécifiques des algorithmes, ont été testées dans les laboratoires et gouvernement validé.

Les applications peuvent être FIPS 140-2 conforme ?

Toutes les applications qui exécutent le chiffrement ou hachage et qui s’exécutent sur une version validée d’un fournisseur de services cryptographiques Microsoft Windows peuvent être conformes si elles utilisent uniquement les instances validées des algorithmes approuvés. Ces applications doivent également respecter la génération de clés en matière de gestion des clés à l’aide d’une fonction clée de Windows ou en répondant à la génération de clés en matière de gestion des clés dans l’application. En outre, dans certains cas, des algorithmes non conformes ou processus sont autorisés dans une application de 140-2-compatible FIPS. Par exemple, les données peuvent être chiffrées à l’aide d’un algorithme non conforme si, dans cette forme cryptée, les données restent au sein de l’application, c'est-à-dire que les données ne sont pas exportées dans cet écran, ou si les données sont cryptées plus (wrapper) à l’aide d’un algorithme compatible FIPS.

Cela signifie que SQL Server 2008 est toujours FIPS 140-2 conforme ?

Non. Cela signifie que SQL Server 2008 peut être configuré pour s’exécuter dans le mode FIPS 140-2 conforme.

Comment SQL Server 2008 peut être configuré pour utiliser un module cryptographique FIPS 140-2-validé ?

Configuration requise du système d’exploitation

Vous devez installer SQL Server 2008 sur un ordinateur Windows Server 2008, un ordinateur Windows Vista, un ordinateur Windows Server 2003 ou un ordinateur Windows XP.

Exigences d’administration système Windows

Vous devez activer le mode FIPS avant de démarrer SQL Server 2008. C’est parce que SQL Server 2008 lit le paramètre FIPS au démarrage. Pour activer FIPS, procédez comme suit.

Pour Windows Server 2008 et Windows Vista
  1. Utilisez les informations d’identification d’administration pour ouvrir une session sur l’ordinateur.
  2. Si vous utilisez Windows Server 2008, cliquez sur Démarrer, sur exécuter, tapez gpedit.mscet appuyez sur ENTRÉE. L’éditeur de stratégie de groupe s’ouvre. Si vous utilisez un ordinateur fonctionnant sous Windows Vista, cliquez sur Démarrer, tapez gpedit.msc dans la zone Rechercher et appuyez sur ENTRÉE.
  3. Dans l’éditeur de stratégie de groupe Local, double-cliquez sur Paramètres Windows sous le nœud Configuration de l’ordinateur , puis double-cliquez sur Paramètres de sécurité.
  4. Sous le nœud Paramètres de sécurité , double-cliquez sur Stratégies locales, puis cliquez sur Options de sécurité.
  5. Dans le volet détails, double-cliquez sur Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature.

  6. Dans la boîte de dialogue Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature, cliquez sur activé, puis cliquez sur OK pour fermer la boîte de dialogue.
  7. Fermez l’éditeur de stratégie de groupe locale.
Pour Windows Server 2003 et Windows XP
  1. Utilisez les informations d’identification d’administration pour ouvrir une session sur l’ordinateur.
  2. Cliquez sur Démarrer, sur exécuter, tapez gpedit.mscet appuyez sur ENTRÉE.
  3. Dans la fenêtre Stratégie de groupe, double-cliquez sur Paramètres Windows sous le nœud Configuration de l’ordinateur , puis double-cliquez sur Paramètres de sécurité.
  4. Sous le nœud Paramètres de sécurité , double-cliquez sur Stratégies locales, puis cliquez sur Options de sécurité.
  5. Dans le volet détails, double-cliquez sur Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature.

  6. Dans la boîte de dialogue Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature, cliquez sur activé, puis cliquez sur OK pour fermer la boîte de dialogue.
  7. Fermez la fenêtre Stratégie de groupe.

Notes de l’administrateur SQL Server 2008

  • Lorsque le service SQL Server 2008 détecte que le mode FIPS est activé au démarrage, SQL Server 2008 enregistre le message suivant dans le journal des erreurs SQL Server :
    Transport de service Broker s’exécute en mode de conformité FIPS
    En outre, le message suivant peut être enregistré dans le journal d’Application :
    Transport de mise en miroir de base de données est en cours d’exécution en mode de conformité FIPS
    Pour vérifier que le serveur est en cours d’exécution en mode FIPS, recherchez ces messages.
  • Pour obtenir la sécurité du dialogue entre les services, le processus de cryptage utilise l’instance certifié FIPS de la norme AES (Advanced Encryption) si le mode FIPS est activé. Si le mode FIPS est désactivé, le processus de chiffrement utilise le RC4.
  • Lorsque vous configurez un point de terminaison Service Broker en mode FIPS, vous devez spécifier « AES » pour le Service Broker. Si le point de terminaison est configuré pour RC4, SQL Server génère une erreur. Par conséquent, la couche de transport ne démarre pas.

Comment SQL Server 2008 ne fonctionne pas dans le mode FIPS 140-2 conforme ?

  • Si le mode FIPS dans Windows est activé et si l’utilisateur ne dispose pas choisir s’il faut chiffrer ou hacher les données et comment il sera effectuée, SQL Server 2008 fonctionne dans le mode FIPS 140-2 conforme. SQL Server 2008 utilise l’interface CryptoAPI et utilisent uniquement les instances validées des algorithmes.
  • Si le mode FIPS est activé et si l’utilisateur dispose d’un choix de l’utilisation du cryptage, SQL Server 2008 peut permettre uniquement le cryptage 140-2-compatible FIPS ou aucun cryptage n’autorisera pas.
  • Informations importantes pour les développeurs

    Si vous écrivez votre propre code de chiffrement ou de hachage, vous devez utiliser uniquement l’interface CryptoAPI. Vous devez spécifier uniquement les algorithmes qui sont autorisées par FIPS 140-2. En particulier, utilisez uniquement le Triple Data Encryption Standard (3DES) ou AES pour le chiffrement et que SHA-1 pour le hachage. Vous pouvez utiliser les mots clés suivants dans SQL Server 2008 des algorithmes FIPS 140-2-validation respectives :

    • DESX (triple de trois-clé DES)
    • Triple-DES(Two-key triple DES)
    • TRIPLE_DES_3KEY (trois clés triple DES)
    • TRIPLE_DES_2KEY (deux clés triple DES)
    Remarque Sélectionnant DESX ne fournit pas un algorithme DESX dans SQL Server 2005 ou SQL Server 2008. Dans les deux cas, la sélection de DESX fournit une instance validée de trois clés triple DES.
  • Informations importantes pour les développeurs

    SQL Server 2008 prend en charge une fonctionnalité de gestion (EKM) de clé de l’entreprise qui permet la gestion des clés de cryptage sur un module de stockage séparé un matériel tiers (HSM). Pour fonctionner en mode FIPS 140-2 conforme et utiliser EKM, une des deux conditions suivantes doit être remplie :
    • Le module cryptographique externe doit être FIPS 140-2 est validé.
    • Certains des algorithmes qui sont utilisés par le module de cryptage doivent être FIPS 140-2 est validé. Utilisez uniquement ces instances d’algorithmes validées lorsque FIPS 140-2-cryptage ou le décryptage est requis pour l’importation ou l’exportation de données vers ou à partir de SQL Server.
    En outre, les données seront cryptées ou décryptées par le module de cryptage externe doivent être passées sous forme cryptée à l’aide d’une instance de FIPS 140-2-validé.

Quel est l’effet de l’exécution de SQL Server 2008 dans le mode FIPS 140-2 conforme ?

  • Utilisation d’un cryptage plus puissant peut-être un léger effet sur les performances de ces processus où moins le cryptage renforcé est autorisé lorsque le processus ne fonctionne pas comme FIPS 140-2 conforme.
  • Sélection du cryptage de SSIS (UseEncryption = True) génère un message d’erreur que le cryptage n’est pas compatible avec la compatibilité FIPS et qu’il n’est pas autorisé. En d’autres termes, aucun cryptage du processus message n’est effectuée.
  • Utilisation du cryptage avec hérités les Services DTS (Data Transformation) n’est pas FIPS 140-2 conforme. Pour DTS, le mode FIPS dans Windows n’est pas vérifié. Pour rester conforme, vous ne devez pas sélectionner de cryptage.
  • Déjà des processus de hachage et de chiffrement de SQL Server 2008 la plupart des utilisent un module cryptographique FIPS 140-2-validé. Par conséquent, si vous exécutez une application dans le mode FIPS 140-2 conforme lorsque le mode FIPS est activé dans Windows, il est peu ou pas d’effet sur l’utilisation ou les performances de l’application.

Où puis-je obtenir plus d’informations sur FIPS 140-2 ?

Pour plus d’informations sur la norme FIPS et comment le télécharger, visitez le site Web de la NIST :Microsoft fournit des informations pour contacter des sociétés tierces afin de vous aider à obtenir une aide technique. Ces coordonnées peuvent changer sans préavis. Microsoft ne garantit pas l'exactitude des informations de contact de ces tiers.
Pour plus d’informations sur l’utilisation de SQL Server 2005 dans le mode FIPS 140-2 conforme, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

Instructions de 920995 pour le mode de SQL Server 2005 Service Pack 1 ou une version ultérieure de SQL Server dans la norme FIPS 140-2 compatible

Propriétés

ID d'article : 955720 - Dernière mise à jour : 9 janv. 2017 - Révision : 1

Commentaires