Introduzione

In questo articolo vengono illustrate le istruzioni FIPS 140-2 e come usare Microsoft SQL Server 2012 nella modalità conforme a FIPS 140-2.Note

  • I termini "conformità FIPS 140-2", "compatibilità FIPS 140-2" e "modalità conforme FIPS 140-2" sono definiti per l'uso e la chiarezza. Questi termini non sono riconosciuti o definiti condizioni governative. Gli Stati Uniti e i governi canadesi riconoscono la convalida dei moduli crittografici rispetto agli standard come FIPS 140-2 e non l'uso di moduli crittografici in modo specificato o conforme. In questo articolo usiamo "conformità FIPS 140-2 conforme", "compatibilità FIPS 140-2" e "modalità conforme a FIPS 140-2", nel senso che SQL Server 2012 USA solo le istanze di algoritmi e hash convalidati da FIPS 140-2 in tutte le istanze in cui i dati crittografati o hash vengono importati o esportati da SQL Server 2012. Questo significa inoltre che SQL Server 2012 gestirà le chiavi in modo sicuro, come richiesto dai moduli crittografici convalidati per FIPS 140-2. Il processo di gestione delle chiavi include anche la generazione di chiavi e la chiave di archiviazione.

  • Usiamo "Certified" qui per indicare che l'istanza dell'algoritmo è convalidata FIPS 140-2 o che il sistema operativo contiene le istanze di algoritmi convalidate da FIPS 140-2.

Ulteriori informazioni

Che cos'è FIPS?

FIPS (Federal Information Processing Standard) è uno standard sviluppato dai due organi governativi seguenti:

  • Istituto nazionale di standard e tecnologia (NIST) negli Stati Uniti

  • Lo stabilimento di sicurezza delle comunicazioni (CSE) in Canada

Gli standard FIPS sono consigliati o incaricati per l'uso nei sistemi IT gestiti da governo federale negli Stati Uniti e in Canada.

Che cos'è FIPS 140-2?

FIPS 140-2 è un'istruzione denominata "requisiti di sicurezza per i moduli crittografici". Specifica quali algoritmi di crittografia e quali algoritmi di hash possono essere usati e come vengono generate e gestite le chiavi di crittografia. Alcuni tipi di hardware, software e processi possono essere certificati FIPS 140-2 e alcuni hardware, software e processi possono essere conformi a FIPS 140-2.

Qual è la differenza tra la conformità FIPS 140-2 e la certificazione FIPS 140-2?

SQL Server 2012 può essere configurato ed eseguito in modo conforme con FIPS 140-2. Per configurare SQL Server 2012 in questo modo, SQL Server 2012 deve essere eseguito in un sistema operativo di certificazione FIPS 140-2 o in un sistema operativo che fornisce un modulo crittografico certificato. La differenza tra conformità e certificazione non è impercettibile. Gli algoritmi possono essere certificati. Non è sufficiente usare un algoritmo degli elenchi approvati in FIPS 140-2. Devi invece usare un'istanza di un algoritmo certificato. La certificazione richiede test e verifiche da un laboratorio di valutazione approvato dal governo. Windows Server 2003, Windows XP e Windows Server 2008 contengono gli algoritmi consentiti e un'istanza di ognuno di questi sistemi operativi è tested Lab di valutazione e certificato governativo.

Quali prodotti applicativi possono essere conformi a FIPS 140-2?

Tutte le applicazioni che eseguono la crittografia o l'hashing e che vengono eseguite in una versione certificata di Windows possono essere conformi usando solo le istanze Certificate degli algoritmi approvati e conformemente ai requisiti di generazione chiave e di gestione delle chiavi usando la funzione Windows per la generazione di chiavi e la gestione delle chiavi oppure conformemente ai requisiti di chiave di generazione e di gestione dell'applicazione Tieni presente che le aree in un'applicazione conforme FIPS potrebbero esistere dove sono abilitati algoritmi o processi non conformi. Ad esempio, sono consentiti alcuni processi interni che rimangono all'interno del sistema e alcuni dati esterni che devono essere crittografati ulteriormente da un'istanza di algoritmo certificata.

SQL Server 2012 è sempre compatibile con FIPS 140-2?

No. SQL Server 2012 può essere conforme a FIPS 140-2 perché può essere configurato ed eseguito in modo che usi solo le istanze di algoritmi certificati FIPS 140-2 chiamate tramite CryptoAPI per la crittografia o tramite hashing in ogni istanza in cui è necessaria la conformità FIPS 140-2.

Come è possibile configurare SQL Server 2012 per essere conforme a FIPS 140-2?

  • Requisiti del sistema operativo: È necessario installare SQL Server 2012 in un server basato su uno dei sistemi operativi seguenti:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • Requisiti per l'amministrazione di sistema Windows: La modalità FIPS deve essere impostata prima dell'avvio di SQL Server 2012. SQL Server legge l'impostazione all'avvio. Per impostare la modalità FIPS, eseguire le operazioni seguenti:

    1. Accedere a Windows come amministratore di sistema di Windows.

    2. Fare clic su Start.

    3. Fare clic su Pannello di controllo.

    4. Fare clic su strumenti di amministrazione.

    5. Fare clic su criteri di sicurezza locali. Verrà visualizzata la finestra impostazioni di sicurezza locali .

    6. Nel riquadro di spostamento fare clic su criteri localie quindi su Opzioni di sicurezza.

    7. Nel riquadro destro fare doppio clic su crittografia sistema: usare gli algoritmi conformi a FIPS per la crittografia, l'hashing e la firma.

    8. Nella finestra di dialogo visualizzata fare clic su abilitatoe quindi su applica.

    9. Scegliere OK.

    10. Chiudere la finestra impostazioni di sicurezza locali .

  • Requisito di amministratore di SQL Server

    • Quando il servizio SQL Server rileva che la modalità FIPS è abilitata all'avvio, SQL Server registra il messaggio seguente nel log degli errori di SQL Server:

      Il trasporto di Service Broker è in esecuzione in modalità conformità FIPS.Inoltre, è possibile che venga visualizzato il messaggio seguente registrato nel registro eventi di Windows:

      È possibile verificare che il server sia in uso in modalità FIPS cercando questi messaggi.

    • Per la sicurezza della finestra di dialogo (tra servizi), la crittografia usa l'istanza certificata FIPS di AES se è abilitata la modalità FIPS. Se la modalità FIPS è disabilitata, la crittografia USA RC4.

    • Quando si configura un endpoint di Service Broker in modalità FIPS, l'amministratore deve specificare "AES" per Service Broker. Se l'endpoint è configurato per RC4, SQL Server genererà un errore. Di conseguenza, il livello di trasporto non si avvia.

Come viene gestito SQL Server 2012 in modalità conforme a FIPS 140-2?

  • Con la modalità FIPS in Windows attivata, in tutte le aree in cui l'utente non ha scelta se crittografare/hash e come sarà fatto, SQL Server 2012 verrà eseguito in conformità con FIPS 140-2. In SQL Server 2012 verrà usato CryptoAPI in Windows e verranno usate solo le istanze Certificate degli algoritmi.

  • Con la modalità FIPS in Windows attivata, in tutte le aree in cui l'utente può scegliere se usare la crittografia, SQL Server 2012 consentirà solo la crittografia conforme a FIPS 140-2 o non consentirà la crittografia.

  • Informazioni importanti per gli sviluppatori di softwareIn tutte le aree in cui lo sviluppatore o l'utente scrive il proprio codice per la crittografia o l'hashing, deve essere incaricato di usare solo CryptoAPI (e quindi solo le istanze Certificate) e di specificare solo gli algoritmi consentiti da FIPS 140-2. In particolare, devono specificare solo i Triple DES (3DES) o AES per la crittografia e solo SHA-1 per l'hashing.

Qual è l'effetto dell'uso di SQL Server 2012 nella modalità conforme a FIPS 140-2?

  • L'uso di una crittografia più forte può avere un effetto ridotto sulle prestazioni per quei processi per cui è consentita la crittografia meno forte quando il processo non funziona come conforme allo standard FIPS 140-2.

  • La selezione della crittografia per SSIS (UseEncryption = true) genererà un messaggio di errore che indica che la crittografia disponibile è incompatibile con la conformità FIPS e non è consentita. In altre parole, non viene eseguita la crittografia del processo del messaggio.

  • L'uso della crittografia insieme a DTS legacy non è conforme con FIPS 140-2. Tieni presente che per DTS la modalità FIPS in Windows non è selezionata. Di conseguenza, è responsabilità dell'utente selezionare Nessuna crittografia per rimanere conforme.

  • Dato che la maggior parte dei processi di crittografia e hashing di SQL Server 2012 è già conforme con FIPS 140-2, l'esecuzione a piena conformità (ovvero con la modalità FIPS in Windows attivata) avrà poco o nessun effetto sull'uso o sulle prestazioni del prodotto.

Dove è possibile ottenere ulteriori informazioni su FIPS 140-2?

Per altre informazioni sullo standard FIPS 140-2 e su come scaricarlo, visitare il sito Web di NIST seguente:

http://csrc.nist.gov/cryptval/140-2.htm Microsoft fornisce informazioni di contatto di terze parti allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni sono soggette a modifiche senza preavviso. Microsoft non si assume alcuna responsabilità in relazione all'accuratezza delle informazioni di contatto di terze parti.

Serve aiuto?

Amplia le tue competenze

Esplora i corsi di formazione >

Ottieni in anticipo le nuove caratteristiche

Partecipa a Microsoft Insider >

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×