KB2733626-instruksi untuk menggunakan SQL Server 2012 dalam mode FIPS 140-2-sesuai

Pendahuluan

Artikel ini membahas instruksi FIPS 140-2 dan cara menggunakan Microsoft SQL Server 2012 dalam mode FIPS 140-2.Catatan

  • Istilah "FIPS 140-2 compliant," "FIPS 140-2 Compliance," dan "FIPS 140-2-mode yang sesuai" ditentukan di sini untuk penggunaan dan kejelasan. Ketentuan ini tidak dikenali atau ditetapkan sebagai ketentuan pemerintah. Pemerintah Amerika Serikat dan Kanada mengenali validasi modul kriptografi terhadap standar seperti FIPS 140-2 dan bukan penggunaan modul kriptografi dengan cara yang ditentukan atau bersifat conformant. Dalam artikel ini, kami menggunakan "FIPS 140-2-compliant," "FIPS 140-2 Compliance," dan "FIPS 140-2-mode yang sesuai" dalam arti bahwa SQL Server 2012 hanya menggunakan contoh FIPS 140-2-divalidasi dari algoritma dan fungsi hashing dalam semua contoh di mana data terenkripsi atau hash diimpor ke atau diekspor dari SQL Server 2012. Selain itu, ini berarti bahwa SQL Server 2012 akan mengelola kunci dengan cara yang aman, sebagaimana diperlukan modul kriptografi FIPS 140-2-divalidasi. Proses manajemen kunci juga menyertakan pembuatan kunci dan penyimpanan utama.

  • Kami menggunakan "bersertifikat" di sini berarti bahwa contoh algoritma adalah FIPS 140-2 divalidasi atau bahwa sistem operasi berisi contoh algoritma FIPS 140-2-divalidasi.

Informasi Selengkapnya

Apa itu FIPS?

Federal Information Processing Standard (FIPS) adalah standar yang dikembangkan oleh dua badan pemerintah berikut:

  • National Institute of Standards and Technology (NIST) di Amerika Serikat

  • Pembentukan keamanan komunikasi (CSE) di Kanada

Standar FIPS direkomendasikan atau diamanatkan untuk digunakan dalam sistem TI yang dioperasikan pemerintah federal di Amerika Serikat dan Kanada.

Apa itu FIPS 140-2?

140-2 FIPS adalah pernyataan yang berjudul "persyaratan keamanan untuk modul kriptografi." Ini menentukan algoritma enkripsi dan yang menerapkan algoritma yang dapat digunakan dan bagaimana kunci enkripsi akan dihasilkan dan dikelola. Beberapa perangkat keras, perangkat lunak, dan proses dapat disertifikasi 140-2 FIPS, dan beberapa perangkat keras, perangkat lunak, dan proses dapat sesuai dengan FIPS 140-2.

Apa perbedaan antara FIPS 140-2 sesuai dengan FIPS 140-2 bersertifikat?

SQL Server 2012 bisa dikonfigurasikan dan dijalankan dengan cara yang sesuai dengan FIPS 140-2. Untuk mengonfigurasi SQL Server 2012 dengan cara ini, SQL Server 2012 harus dijalankan pada sistem operasi yang bersertifikat FIPS 140-2 atau pada sistem operasi yang menyediakan modul kriptografi yang disertifikasi. Perbedaan antara kepatuhan dan sertifikasi tidak halus. Algoritme dapat disertifikasi. Tidak cukup untuk menggunakan algoritme dari daftar yang disetujui dalam FIPS 140-2. Sebagai gantinya, Anda harus menggunakan contoh seperti algoritma yang disertifikasi. Sertifikasi memerlukan pengujian dan verifikasi oleh Lab evaluasi yang disetujui pemerintah. Windows Server 2003, Windows XP, dan Windows Server 2008 berisi algoritma yang diperbolehkan, dan contoh dari setiap sistem operasi ini adalah evaluasi Lab diuji dan bersertifikat pemerintah.

Produk aplikasi mana yang bisa FIPS 140-2 sesuai?

Semua aplikasi yang melakukan enkripsi atau hash dan yang berjalan pada versi Windows yang disertifikasi dapat mematuhi hanya dengan menggunakan contoh yang disertifikasi dari algoritme yang disetujui dan dengan mematuhi persyaratan pembuatan kunci dan manajemen kunci, baik dengan menggunakan fungsi Windows untuk pembuatan kunci dan manajemen utama atau dengan mematuhi persyaratan manajemen utama dan kunci dalam aplikasi. Perhatikan bahwa area dalam aplikasi yang sesuai dengan FIPS mungkin ada di mana algoritme atau proses yang tidak patuh diaktifkan. Misalnya, beberapa proses internal yang tetap berada di dalam sistem dan beberapa data eksternal yang akan diproteksi sebagai tambahan oleh instans algoritme yang disertifikasi diperbolehkan.

Apakah SQL Server 2012 selalu sesuai dengan FIPS 140-2?

Tidak. SQL Server 2012 bisa FIPS 140-2 sesuai karena bisa dikonfigurasikan dan dijalankan sedemikian rupa sehingga hanya menggunakan instans algoritma bersertifikat FIPS 140-2 yang disebut dengan menggunakan CryptoAPI untuk enkripsi atau dengan menerapkan hash dalam setiap contoh di mana kepatuhan FIPS 140-2 diperlukan.

Bagaimana SQL Server 2012 bisa dikonfigurasikan agar sesuai dengan FIPS 140-2?

  • Persyaratan sistem operasi: Anda harus menginstal SQL Server 2012 di server yang didasarkan pada salah satu sistem operasi berikut:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • Persyaratan administrasi sistem Windows: Mode FIPS harus disetel sebelum SQL Server 2012 dimulai. SQL Server membaca pengaturan di startup. Untuk mengatur mode FIPS, ikuti langkah-langkah berikut:

    1. Masuk ke Windows sebagai administrator sistem Windows.

    2. Klik Mulai.

    3. Klik panel kontrol.

    4. Klik Alat administratif.

    5. Klik kebijakan keamanan lokal. Jendela pengaturan keamanan lokal muncul.

    6. Di panel navigasi, klik kebijakan lokal, lalu klik opsi keamanan.

    7. Di panel sebelah kanan, klik ganda sistem kriptografi: Gunakan algoritma sesuai FIPS untuk enkripsi, menerapkan algoritma, dan penandatanganan.

    8. Dalam kotak dialog yang muncul, klik diaktifkan, lalu klik Terapkan.

    9. Klik OK.

    10. Tutup jendela pengaturan keamanan lokal .

  • Persyaratan administrator SQL Server

    • Saat layanan SQL Server mendeteksi bahwa mode FIPS diaktifkan pada startup, SQL Server mencatat pesan berikut dalam log kesalahan SQL Server:

      Transportasi perantara Layanan berjalan dalam mode kepatuhan FIPS.Selain itu, Anda mungkin menemukan pesan berikut ini yang dicatat dalam log kejadian Windows:

      Anda dapat memverifikasi bahwa server berjalan dalam mode FIPS dengan mencari pesan ini.

    • Untuk keamanan dialog (antara layanan), enkripsi menggunakan instans AES bersertifikat FIPS jika mode FIPS diaktifkan. Jika mode FIPS dinonaktifkan, enkripsi menggunakan RC4.

    • Saat Anda mengonfigurasi titik akhir pialang layanan dalam mode FIPS, administrator harus menentukan "AES" untuk pialang layanan. Jika titik akhir dikonfigurasikan ke RC4, SQL Server akan menghasilkan kesalahan. Oleh karena itu, lapisan transpor tidak akan dimulai.

Bagaimana cara SQL Server 2012 dioperasikan dalam mode FIPS 140-2-yang sesuai?

  • Dengan mode FIPS di Windows diaktifkan, di semua area di mana pengguna tidak memiliki pilihan tentang apakah akan mengenkripsi/hash dan bagaimana cara kerjanya, SQL Server 2012 akan dijalankan sesuai dengan FIPS 140-2. (SQL Server 2012 akan menggunakan CryptoAPI di Windows dan hanya akan menggunakan contoh algoritma yang disertifikasi.)

  • Dengan mode FIPS di Windows diaktifkan, di semua area di mana pengguna memiliki pilihan untuk menggunakan enkripsi, SQL Server 2012 hanya akan mengaktifkan enkripsi FIPS 140-2 yang sesuai atau tidak akan mengaktifkan enkripsi apa pun.

  • Informasi penting untuk pengembang perangkat lunakDi semua area tempat pengembang atau pengguna menulis kode mereka sendiri untuk enkripsi atau hash, mereka harus diperintahkan untuk menggunakan CryptoAPI (dan oleh karena itu hanya contoh yang disertifikasi) dan untuk menentukan hanya algoritma yang diizinkan oleh FIPS 140-2. Khususnya, mereka harus menentukan triple DES (3DES) atau AES untuk enkripsi dan hanya SHA-1 untuk hashing.

Apa efek menjalankan SQL Server 2012 dalam mode FIPS 140-2-sesuai?

  • Penggunaan enkripsi yang lebih kuat mungkin memiliki efek kecil pada kinerja untuk proses enkripsi yang kurang kuat yang diperbolehkan ketika proses tidak beroperasi sebagai FIPS 140-2 compliant.

  • Pilihan enkripsi untuk SSIS (UseEncryption = True) akan menghasilkan pesan kesalahan yang menyatakan bahwa enkripsi yang tersedia tidak kompatibel dengan kepatuhan FIPS dan tidak diperbolehkan. Dengan kata lain, tidak ada enkripsi proses pesan yang dilakukan.

  • Penggunaan enkripsi bersama dengan DTS warisan tidak sesuai dengan FIPS 140-2. Ketahuilah bahwa untuk DTS, mode FIPS di Windows tidak dicentang. Oleh karena itu, ini adalah tanggung jawab pengguna untuk memilih tanpa enkripsi untuk tetap patuh.

  • Karena sebagian besar proses enkripsi dan hash SQL Server 2012 telah memenuhi persyaratan FIPS 140-2, yang dijalankan dengan kepatuhan penuh (yaitu, dengan mode FIPS di Windows diaktifkan) akan memiliki sedikit atau tidak berpengaruh pada penggunaan atau kinerja produk.

Di mana saya bisa mempelajari selengkapnya tentang FIPS 140-2?

Untuk informasi selengkapnya tentang standar FIPS 140-2 dan cara mengunduhnya, masuk ke situs web NIST berikut:

http://csrc.nist.gov/cryptval/140-2.htmMicrosoft menyediakan informasi kontak pihak ketiga untuk membantu Anda mendapatkan dukungan teknis. Informasi kontak yang tertera dapat berubah sewaktu-waktu. Microsoft tidak menjamin keakuratan informasi kontak dari produsen pihak ketiga ini.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×