Istruzioni per l'utilizzo di SQL Server 2008 in modalità FIPS 140-2-compatibile

INTRODUZIONE

In questo articolo viene Federal Information Processing Standard (FIPS) 140-2 istruzioni e come utilizzare Microsoft SQL Server 2008 in modalità FIPS 140-2-compatibile.

Nota: I termini "FIPS 140-2 compatibile," "Conformità FIPS 140-2" e "Modalità FIPS 140-2-compatibile" sono definiti qui per utilizzare e la chiarezza. Queste condizioni non vengono riconosciute o governo termini definiti. I governi degli Stati Uniti e Canada riconoscono la convalida dei moduli crittografici contro standard come FIPS 140-2 e non l'utilizzo di in un oggetto specificato o in modo conforme. In questo articolo, definiamo "FIPS 140-2-compatibile" "Conformità FIPS 140-2," e "Modalità FIPS 140-2-compatibile" per indicare che SQL Server 2008 utilizza solo FIPS 140-2-convalidare le istanze di algoritmi e funzioni in tutte le istanze in cui o crittografati con un hash dei dati di hash viene importata o esportata in SQL Server 2008. Inoltre, questi termini che SQL Server 2008 gestirà le chiavi in modo sicuro in base alle esigenze dei moduli di FIPS 140-2-convalidato crittografia. Il processo di gestione delle chiavi inoltre include sia la chiave e le funzionalità di archiviazione delle chiavi.

Ulteriori informazioni

Che cos'è FIPS?

FIPS significa federale Information Processing Standards. FIPS sono standard sviluppati due enti governativi. Uno è del National Institute of Standards and Technology negli Stati Uniti. L'altro è lo stabilimento di protezione comunicazioni in Canada. FIPS sono standard consigliate o obbligatorie per l'utilizzo in sistemi IT di governo azionate federale (Stati Uniti o Canada).

Che cos'è FIPS 140-2?

FIPS 140-2 è un'istruzione dei "Requisiti di protezione per i moduli crittografici." Specifica quali algoritmi di crittografia e gli algoritmi hash possono essere utilizzati e come chiavi di crittografia devono essere generati e gestiti. Alcuni componenti hardware, software e i processi possono essere FIPS 140-2 convalidati da un laboratorio approvato di convalida. Alcuni di essi può anche essere descritta come FIPS 140-2-compatibile con il termine è definito in questo articolo.

Qual è la differenza tra un'applicazione "FIPS 140-2-compatibile" e un'applicazione che "FIPS 140-2-convalidati"?

È possibile configurare SQL Server 2008 per l'esecuzione come applicazione FIPS 140-2-compatibile. A tale scopo, è necessario eseguire SQL Server 2008 in un sistema operativo che utilizza un FIPS 140-2-convalidato Cryptographic Service Provider, o che fornisce un modulo di crittografia che è stato convalidato. La differenza tra la conformità e la convalida risulta immediatamente evidente. Gli algoritmi possono essere convalidati. Tenere presente che non sarà sufficiente utilizzare algoritmi dagli elenchi approvati FIPS 140-2. È necessario utilizzare le istanze degli algoritmi che sono stati FIPS 140-2 convalidato. La convalida richiede test e verifiche da un laboratorio approvato governo valutazione. Windows Server 2008, Windows Server 2003 e Windows XP contengono i moduli crittografici approvati e i moduli, tra cui le istanze degli algoritmi, sono state testate in laboratorio e governo convalidato.

Quali applicazioni possono essere FIPS 140-2-compatibile?

Tutte le applicazioni che eseguono la crittografia o hashing e in esecuzione su una versione di Microsoft Windows Cryptographic Service Provider convalidata possono essere conforme se utilizzano solo le istanze convalidate degli algoritmi approvati. Queste applicazioni devono inoltre rispondere con requisiti di gestione delle chiavi e generazione di chiavi utilizzando una funzione chiave di Windows o per soddisfare i requisiti di gestione delle chiavi nell'applicazione e la generazione delle chiavi. Inoltre, in alcuni casi, gli algoritmi conformi o processi consentiti in una FIPS 140-2-applicazione compatibile con. Ad esempio, dati possono essere crittografati utilizzando un algoritmo non conforme se, in questo formato crittografato, i dati rimarranno all'interno dell'applicazione, vale a dire in questo modulo non verranno esportati i dati o se i dati vengono crittografati ulteriormente (incluso) utilizzando un algoritmo compatibile con FIPS.

Questo significa che SQL Server 2008 è sempre FIPS 140-2-compatibile?

No. Ciò significa che è possibile configurare SQL Server 2008 per l'esecuzione in modalità FIPS 140-2-compatibile.

Come è possibile configurare SQL Server 2008 per utilizzare un modulo di crittografia FIPS 140-2-convalidati?

Requisiti del sistema operativo

È necessario installare SQL Server 2008 in un computer basato su Windows Server 2008, un computer basato su Windows Vista, un computer basato su Windows Server 2003 o un computer basato su Windows XP.

Requisiti di amministrazione del sistema Windows

Prima di avviare SQL Server 2008, è necessario attivare la modalità FIPS. Ciò si verifica perché SQL Server 2008 legge l'impostazione FIPS all'avvio. Per attivare FIPS, seguire questi passaggi.

Per Windows Server 2008 e Windows Vista
  1. Utilizzare credenziali amministrative per accedere al computer.
  2. Se si utilizza Windows Server 2008, fare clic su Start, scegliere Esegui, digitare gpedit. msce quindi premere INVIO. Apre l'Editor criteri di gruppo locali. Se si utilizza un computer basato su Windows Vista, fare clic su Start, digitare gpedit. msc nella casella Inizia ricerca e quindi premere INVIO.
  3. Nell'Editor dei criteri locali gruppo, fare doppio clic su Impostazioni di Windows sotto il nodo Configurazione Computer e quindi fare doppio clic su Impostazioni di protezione.
  4. Sotto il nodo Impostazioni di protezione , fare doppio clic su Criteri localie quindi fare clic su Opzioni di protezione.
  5. Nel riquadro dei dettagli fare doppio clic su crittografia di sistema: utilizza algoritmi FIPS compatibili utilizzare per la crittografia, hash e firma.

  6. Nella crittografia di sistema: utilizza algoritmi FIPS compatibili utilizzare per la crittografia, hash e firma finestra di dialogo, selezionare Attivae quindi fare clic su OK per chiudere la finestra di dialogo.
  7. Chiudere l'Editor criteri di gruppo locali.
Per Windows Server 2003 e Windows XP
  1. Utilizzare credenziali amministrative per accedere al computer.
  2. Fare clic su Start, scegliere Esegui, digitare gpedit. msce quindi premere INVIO.
  3. Nella finestra Criteri di gruppo, fare doppio clic su Impostazioni di Windows sotto il nodo Configurazione Computer e quindi fare doppio clic su Impostazioni di protezione.
  4. Sotto il nodo Impostazioni di protezione , fare doppio clic su Criteri localie quindi fare clic su Opzioni di protezione.
  5. Nel riquadro dei dettagli fare doppio clic su crittografia di sistema: utilizza algoritmi FIPS compatibili utilizzare per la crittografia, hash e firma.

  6. Nella crittografia di sistema: utilizza algoritmi FIPS compatibili utilizzare per la crittografia, hash e firma finestra di dialogo, selezionare Attivae quindi fare clic su OK per chiudere la finestra di dialogo.
  7. Chiudere la finestra Criteri di gruppo.

Note di amministratore di SQL Server 2008

  • Quando il servizio SQL Server 2008 rileva che la modalità FIPS è abilitata all'avvio, SQL Server 2008 registrato il seguente messaggio nel log degli errori di SQL Server:
    Trasporto Service Broker è in esecuzione in modalità di conformità FIPS
    Inoltre, potrebbe essere registrato il seguente messaggio nel registro applicazione:
    Trasporto di Mirroring del database è in esecuzione in modalità di conformità FIPS
    Per verificare che il server sia in esecuzione in modalità FIPS, individuare i messaggi.
  • Per ottenere la protezione del dialogo tra i servizi, il processo di crittografia utilizzerà l'istanza di certificazione FIPS, della crittografia Standard AES (Advanced) se è attivata la modalità FIPS. Se la modalità FIPS è disattivata, il processo di crittografia utilizza RC4.
  • Quando si configura un endpoint di Service Broker in modalità FIPS, è necessario specificare "AES" per Service Broker. Se l'endpoint è configurato per RC4, SQL Server genera un errore. Di conseguenza, il livello di trasporto non viene avviato.

La modalità SQL Server 2008 opera in modalità FIPS 140-2-compatibile?

  • Se è attivata la modalità FIPS in Windows e l'utente non dispone di alcuna scelta sulla possibilità di crittografare o hash dei dati e come ciò avrà luogo, SQL Server 2008 funziona in modalità FIPS 140-2-compatibile. SQL Server 2008 utilizzerà CryptoAPI e utilizzeranno solo le istanze convalidate degli algoritmi.
  • Se è attivata la modalità FIPS e se l'utente dispone di una scelta di utilizzare la crittografia, SQL Server 2008 verrà consentono la solo FIPS 140-2-compatibile con crittografia o non sarà possibile per qualsiasi tipo di crittografia.
  • Informazioni importanti per gli sviluppatori

    Se si scrive codice per la crittografia o hashing, è necessario utilizzare solo la funzione CryptoAPI. È necessario specificare solo gli algoritmi che sono consentiti da FIPS 140-2. In particolare, utilizzare solo la Triple Data Encryption Standard (3DES) o AES per la crittografia e solo SHA-1 per generare un hash. È possibile utilizzare le seguenti parole chiave SQL Server 2008 per i rispettivi algoritmi 140-2-convalidato FIPS:

    • DESX (triple tre chiavi DES)
    • Triple-DES(Two-key triple DES)
    • TRIPLE_DES_3KEY (tre chiave triple DES)
    • TRIPLE_DES_2KEY (combinazioni di tasti triple DES)
    Nota: Selezionare l'algoritmo DESX non fornisce un algoritmo DESX in SQL Server 2005 o SQL Server 2008. In entrambi i casi, selezionando DESX fornisce un'istanza convalidata tre chiave triple DES.
  • Informazioni importanti per gli sviluppatori

    SQL Server 2008 supporta una funzionalità di Enterprise Key management (EKM) che consente la gestione delle chiavi di crittografia su un modulo di archiviazione separata hardware di terze parti (HSM). Per operare in modalità FIPS 140-2-compatibile e utilizzare EKM, una delle due condizioni seguenti deve essere soddisfatte:
    • Modulo di crittografia esterno deve essere FIPS 140-2 convalidato.
    • Alcuni degli algoritmi utilizzati dal modulo di crittografia deve essere FIPS 140-2 convalidato. Utilizzate soltanto le istanze degli algoritmi convalidati FIPS 140-2-base crittografia o decrittografia è necessaria per l'importazione o esportazione di dati da o in SQL Server.
    Inoltre, i dati che verranno crittografati o decrittografati dal modulo di crittografia esterno devono essere passati in forma crittografata utilizzando un'istanza FIPS 140-2-convalidato.

Che cos'è l'effetto dell'esecuzione di SQL Server 2008 in modalità FIPS 140-2-compatibile?

  • Uso di funzioni di crittografia può avere un effetto limitato sulle prestazioni per i processi in cui è consentita meno la crittografia avanzata quando il processo non opera come FIPS 140-2-compatibile.
  • Selezione di crittografia per SSIS (UseEncryption = True) genererà un messaggio di errore che la crittografia disponibile è compatibile con conformità FIPS e non è consentita. In altre parole, non viene eseguita crittografia del processo di messaggio.
  • Utilizzo della crittografia con legacy Data Transformation Services (DTS) non è FIPS 140-2-compatibile. Per DTS, la modalità FIPS in Windows non è selezionata. Per rimanere compatibile, non è necessario selezionare crittografia.
  • La maggior parte la crittografia di SQL Server 2008 e hashing processi già utilizzare un modulo di crittografia FIPS 140-2-convalidato. Pertanto, se si esegue un'applicazione in modalità FIPS 140-2-compatibile quando la modalità FIPS è attivata in Windows, è poco o nessun effetto sull'utilizzo o le prestazioni dell'applicazione.

Dove posso reperire ulteriori informazioni sul FIPS 140-2?

Per ulteriori informazioni lo standard FIPS e su come scaricarlo, visitare il seguente sito Web NIST:Microsoft fornisce informazioni di contatto di terze parti per facilitare l'individuazione del supporto tecnico. Tali informazioni potrebbero cambiare senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni per contattare altri produttori.
Per ulteriori informazioni sull'utilizzo di SQL Server 2005 in modalità FIPS 140-2-compatibile, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

920995 istruzioni per l'utilizzo di SQL Server 2005 Service Pack 1 o versione successiva di SQL Server nel FIPS 140-2 compatibile con la modalità

Proprietà

ID articolo: 955720 - Ultima revisione: 31 gen 2017 - Revisione: 1

Feedback