モードを使用して SQL Server 2005 SP1 またはそれ以降のバージョンの SQL Server では、FIPS 140-2 準拠について

はじめに

この説明 FIPS 140-2 の手順と方法を使用して Microsoft SQL Server 2005 Service Pack 1 (SP1) または以降のバージョンの SQL Server では、FIPS 140-2 準拠モードにします。

詳細

FIPS とは何ですか。

FIPS は、連邦情報処理規格を意味します。FIPS は、2 つの政府機関によって開発された標準です。1 つは、NIST、米国標準と米国での技術です。CSE、通信セキュリティ確立のカナダでは、他の。FIPS はまたは推奨 (米国またはカナダ)、連邦政府運用 IT システムで使用するために義務付けられている標準です。

FIPS 140-2 とは何ですか。

FIPS 140-2 では、「セキュリティ要件暗号化モジュール」の明細書です。どの暗号化アルゴリズムとハッシュ アルゴリズムを使用することができ、どのように暗号化キーを生成および管理できることを指定します。いくつかのハードウェア、ソフトウェア、およびプロセスが FIPS 140-2 認定をすることができます。FIPS 140-2 に準拠するいくつかのこともできます。

FIPS 140-2 を FIPS 140-2 認定の対象と対応するいるとの違いは何ですか。

SQL Server 2005 SP1 またはそれ以降のバージョンの SQL Server を構成および FIPS 140-2 に準拠している方法で実行します。SQL Server 2005 SP1 またはそれ以降のバージョンの SQL Server は FIPS 140-2 認定または認定された暗号化モジュールが提供するオペレーティング システムで実行する必要があります。コンプライアンスや認定の違いは微妙ではありません。アルゴリズム認定を受けることができます。Fips 140-2 承認済みの一覧からアルゴリズムを使用するための十分な注意してください。認定されてこのようなアルゴリズムのインスタンスを使用する必要は。証明には、政府が承認した評価ラボでのテストと検証が必要です。Microsoft Windows Server 2003 および Microsoft Windows XP に、許可されているアルゴリズムが含まれているし、評価ラボでのテストおよび認定の政府、それぞれのインスタンスが表示されました。


どのようなアプリケーションの製品は、FIPS 140-2 準拠にできるか。

暗号化またはハッシュを実行して、認定、承認されたアルゴリズムのインスタンスのみを使用して、これらの Windows の機能を使用するか、キーの生成と、アプリケーション内での管理の要件を遵守することにより、キー生成とキー管理の要件を遵守することにより、準拠していることがある認定されたバージョンの Microsoft Windows 上で実行されるすべてのアプリケーションです。アプリケーション内の場所が存在する非準拠のアルゴリズムまたはプロセスが FIPS 準拠のアプリケーション内で許可されていることに注意してください。たとえば、システム内で常にいくつかの内部プロセスまたは認定済みアルゴリズムのインスタンスによってさらに暗号化するのには、いくつかの外部データが許可されます。

つまり、SQL Server 2005 SP1 またはそれ以降のバージョンの SQL Server が常に FIPS 140-2 準拠

いいえ。SQL Server 2005 SP1 またはそれ以降のバージョンの SQL Server のできる FIPS 140-2 準拠で設定され、FIPS 140-2 認定の暗号化に Windows CryptoAPI を使用してまたは FIPS 140-2 準拠の必要があるすべてのインスタンスのハッシュと呼ばれるアルゴリズムのインスタンスのみを使用するように実行できるためことを意味します。

SQL Server 2005 SP1 またはそれ以降のバージョンの SQL Server を構成する方法を FIPS 140-2 準拠にするか。

  • オペレーティング システムの要件
    Windows Server 2003 ベースのサーバー上または Windows XP ベースのサーバー上で SQL Server 2005 SP1 またはそれ以降のバージョンの SQL Server をインストールする必要があります。
  • Windows システム管理の要件
    FIPS モードは、SQL Server 2005 SP1 の前に設定する必要があります。 またはそれ以降のバージョンの SQL Server を起動します。SQL Server は、起動時の設定を読み取ります。これを行うには、以下の手順を実行します。
    1. Windows システム管理者として Windows にログオンします。
    2. [スタート] をクリックします。
    3. [コントロール パネル] をクリックします。
    4. [管理ツール] をクリックします。
    5. [ローカル セキュリティ ポリシー] をクリックします。ローカル セキュリティ設定ウィンドウが表示されます。
    6. 左側のウィンドウで[ローカル ポリシー] をクリックし、[セキュリティ オプション] をクリックします。
    7. 右側のウィンドウでをダブルクリックしてシステム暗号化: 暗号化、ハッシュ、および署名のための FIPS 準拠アルゴリズム
    8. 表示されるダイアログ ボックスで[有効] をクリックし、し、[適用] をクリックします。
    9. [OK] をクリックします。
    10. ローカル セキュリティ設定ウィンドウを閉じます。
  • SQL Server 管理者の要件
    • SQL Server サービスは、起動時に FIPS モードが有効になっていることを検出すると、SQL Server は、SQL Server エラー ログに次のメッセージを記録します。
      Service Broker のトランスポートは FIPS 準拠モードで実行しています。
      さらに、次のメッセージが Windows イベント ログに記録されますがあります。
      データベース ミラーリング トランスポートは FIPS 準拠モードで実行しています。
      FIPS モードでこれらのメッセージによって、サーバーが実行されているかを確認することができます。
    • (サービス) の間でダイアログ セキュリティのため、暗号化は FIPS モードが有効になっている場合に FIPS 認定 AES のインスタンスを使用します。FIPS モードが無効の場合、暗号化は RC4 を使用します。
    • FIPS モードで Service Broker のエンドポイントを構成する場合、管理者は、Service Broker の「AES」を指定する必要があります。RC4 にエンドポイントを構成すると、SQL Server でエラーが生成されます。そのため、トランスポート層は開始されません。

SQL Server 2005 SP1 または FIPS 140-2 準拠モードで動作する SQL Server の新しいバージョンですか。

  • FIPS を使って Windows でモードが有効でユーザーが持っているない選択肢のかどうかを暗号化またはハッシュし、それが実行する方法、すべての場所で SQL Server 2005 SP1 またはそれ以降のバージョンの SQL Server は、FIPS 140-2 に準拠して実行します。(SQL Server 2005 SP1 またはそれ以降のバージョンの SQL Server の CryptoAPI を使用して Windows では、認定済みアルゴリズムのインスタンスのみを使用)
  • ユーザーが暗号化を使用するかどうかの選択肢を持っているすべての場所でオンに、Windows で FIPS モードでのみ FIPS 140-2 準拠の暗号化を許可するかは SQL Server 2005 SP1 またはそれ以降のバージョンの SQL Server または、任意の暗号化はできません。
  • アプリケーション開発者にとって重要な情報
    開発者やユーザーが暗号化またはハッシュを自分のコードを記述する、すべての場所でのみ Windows CryptoAPI を使用する指示する必要があります (つまり認定済みのインスタンスにのみ) と具体的にだけあり、Triple DES (3 des) を FIPS 140-2 で許可されているアルゴリズムのみを指定するまたは AES 暗号化のためだけの sha-1 ハッシュの。

FIPS 140-2 準拠モードで SQL Server 2005 SP1 またはそれ以降のバージョンの SQL Server を実行している場合の影響とは何ですか。

  • 強力な暗号化の使用は、以下の強力な暗号化が許可されているプロセスが FIPS 140-2 として動作していないときに準拠するそれらのプロセスのパフォーマンスに小さな効果があります。
  • SSIS の暗号化の選択 (UseEncryption = True) 使用可能な暗号化は FIPS 準拠と互換性がないと、ことはできません、エラー メッセージが生成されます。つまり、メッセージの暗号化は行われません。
  • 従来の DTS を使用した暗号化の使用は、FIPS 140-2 に準拠ではありません。DTS では、Windows で FIPS モードをオフにすると、それが準拠を維持するのには暗号化なし] を選択するのにはユーザーの責任に注意してください。
  • ほとんどの SQL Server 2005 暗号化アルゴリズムとハッシュのプロセスが FIPS 140-2 準拠であった既に、ために完全準拠 (FIPS モード有効になっている Windows) を実行すると、使用または製品の性能に影響をほとんどまたはまったくないがあります。

知るには FIPS 140-2 の詳細ですか。

標準とそれをダウンロードする方法の詳細については、次の NIST Web サイトを参照してください。
プロパティ

文書番号:920995 - 最終更新日: 2017/02/02 - リビジョン: 1

フィードバック