KB2733626 – nurodymai, kaip naudoti "SQL Server 2012" FIPS 140-2 – suderinamas režimas

Įvadas

Šiame straipsnyje aptariamos FIPS 140-2 instrukcijos ir kaip naudoti "Microsoft SQL Server 2012" FIPS 140-2 – suderinamas režimas.Pastabos

  • Terminai "FIPS 140-2 compliant", "FIPS 140-2 laikymasis" ir "FIPS 140-2-compliant Mode" čia apibrėžiami naudoti ir aiškumo. Šios sąlygos nėra pripažįstamos arba apibrėžiamos vyriausybės terminų. Jungtinės Valstijos ir Kanados Vyriausybės pripažįsta kriptografinių modulių tikrinimą, lyginant su standartais, pvz., FIPS 140-2, o ne su kriptografinių modulių naudojimu nurodytu arba atitikties būdu. Šiame straipsnyje naudojame "FIPS 140-2-compliant", "FIPS 140-2 atitikties" ir "FIPS 140-2-compliant Mode" ta prasme, kad "SQL Server" 2012 naudoja tik FIPS 140-2 patvirtintas algoritmų ir maišos funkcijas visais atvejais, kai Šifruotas arba su maišytu duomenys importuojami į "SQL Server 2012" arba eksportuojami iš "SQL Server". Be to, tai reiškia, kad "SQL Server 2012" valdys raktus saugiai, kaip reikalauja FIPS 140-2 – patvirtinti Kriptografiniai moduliai. Rakto valdymo procesas taip pat apima ir raktų generavimą, ir raktų saugojimą.

  • Čia naudojame "sertifikuotą", kad algoritmas būtų FIPS 140-2 patvirtintas arba kad operacinėje sistemoje yra FIPS 140-2 – patvirtinti algoritmų egzemplioriai.

Daugiau informacijos

Kas yra FIPS?

Federalinė informacijos apdorojimo Standard (FIPS) yra standartas, kurį sukūrė toliau nurodyti du vyriausybiniai organai:

  • Nacionalinis standartų ir technologijų institutas (NIST) Jungtinėse Amerikos Valstijose

  • Ryšių saugumo įstaiga (CSE) Kanadoje

FIPS standartai yra Rekomenduojami arba įgalioti naudoti JAV ir Kanadoje federalinėms vyriausybinėms IT sistemoms.

Kas yra FIPS 140-2?

FIPS 140-2 yra sakinys, pavadintas "kriptografinių modulių saugos reikalavimai." Jame nurodoma, kurie šifravimo algoritmai ir kokie maišymo algoritmai gali būti naudojami ir kaip generuojami ir valdomi šifravimo raktai. Kai kurios aparatūros, programinės įrangos ir procesų gali būti FIPS 140-2 sertifikuota ir kai kurios aparatūros, programinės įrangos ir procesų gali būti FIPS 140-2 compliant.

Koks skirtumas tarp FIPS 140-2 suderinamas ir yra FIPS 140-2 sertifikuota?

"SQL Server 2012" galima sukonfigūruoti ir paleisti tokiu būdu, kuris suderinamas su "FIPS 140-2". Jei norite konfigūruoti SQL serverio 2012 šiuo būdu, SQL serverio 2012 turi veikti operacinėje sistemoje, kuri yra FIPS 140-2 sertifikuota arba operacinėje sistemoje, kuri pateikia kriptografinį modulį, kuris yra sertifikuotas. Skirtumas tarp atitikties ir sertifikavimo nėra subtilus. Algoritmai gali būti sertifikuojami. Nepakanka naudoti algoritmų iš patvirtintų sąrašų FIPS 140-2. Vietoj to, turite naudoti tokį algoritmą, kuris yra sertifikuotas. Sertifikavimui atlikti reikia išbandyti ir patvirtinti Vyriausybės patvirtintą vertinimo laboratoriją. "Windows Server 2003", "Windows XP" ir "Windows Server 2008" yra leidžiami algoritmai ir kiekvienos iš šių operacinių sistemų egzempliorius yra patikrintas laboratorijos ir vyriausybės sertifikuota.

Kurie taikomosios programos produktai gali būti FIPS 140-2?

Visos taikomosios programos, kurios atlieka šifravimą arba maiša ir kurios veikia sertifikuotą "Windows" versiją, gali atitikti tik patvirtintus algoritmų atvejus ir atitinka pagrindinių generavimo ir raktų valdymo reikalavimus, naudodami "Windows" funkciją, skirtą raktų generavimui ir raktų valdymui, arba laikydamosi taikomosios programos pagrindinių valdymo reikalavimų. Žinokite, kad su FIPS suderinamoms programoms gali būti naudojamos netinkamai naudojamos algoritmų arba procesai. Pavyzdžiui, kai kurie vidiniai procesai, kurie lieka sistemoje, ir kai kurie išoriniai duomenys, kurie turi būti papildomai užšifruoti sertifikuotu algoritmu, yra leidžiami.

Ar "SQL Server" 2012 visada atitinka FIPS 140-2?

ne. "SQL Server 2012" gali būti "FIPS 140-2", nes ją galima sukonfigūruoti ir paleisti taip, kad ji naudotų tik "FIPS 140-2" sertifikuotus algoritmus, kurie vadinami "CryptoAPI" šifravimu arba maišymu kiekvienu atveju, kai būtinas "FIPS 140-2" laikymasis.

Kaip "SQL Server 2012" galima sukonfigūruoti kaip suderinamą su FIPS 140-2?

  • Operacinės sistemos reikalavimai: Turite įdiegti "SQL Server 2012" serveryje, kuris pagrįstas viena iš šių operacinių sistemų:

    • Windows Server 2003

    • „Windows XP“

    • „Windows Server 2008“

  • "Windows" sistemos administravimo reikalavimai: "FIPS" režimas turi būti nustatytas prieš pradedant naudoti "SQL Server 2012". "SQL Server" nuskaito parametrą paleisties metu. Norėdami nustatyti FIPS režimą, atlikite šiuos veiksmus:

    1. Prisijungimas prie "Windows" kaip "Windows" sistemos administratorius.

    2. Spustelėkite Pradžia.

    3. Spustelėkite valdymo skydas.

    4. Spustelėkite administravimo įrankiai.

    5. Spustelėkite vietinė saugos strategija. Atsidarys langas vietinio saugos parametrai .

    6. Naršymo srityje spustelėkite Vietinės strategijos, tada spustelėkite saugos parinktys.

    7. Dešiniojoje srityje dukart spustelėkite sistemos kriptografija: naudokite FIPS suderinamas algoritmus šifravimui, maišymo ir pasirašymas.

    8. Pasirodžiusiame dialogo lange spustelėkite įgalinta, tada spustelėkite taikyti.

    9. Spustelėkite Gerai.

    10. Uždarykite langą vietinio saugos parametrai .

  • "SQL Server" administratoriaus reikalavimai

    • Kai "SQL Server" tarnyba aptinka, kad paleisties metu įgalintas FIPS režimas, "SQL Server" registruoja šį pranešimą "SQL Server" klaidų žurnale:

      Paslaugų brokeris Transport veikia FIPS atitikties režimu.Be to, "Windows" įvykių žurnale galite pastebėti šį pranešimą:

      Galite patikrinti, ar serveris veikia FIPS režimu, ieškodami šių žinučių.

    • Dialogo lange sauga (tarp tarnybų) šifravimas naudoja FIPS sertifikuotą egzempliorių, jei įgalintas FIPS režimas. Jei FIPS režimas išjungtas, šifravimas naudoja RC4.

    • Sukonfigūravus paslaugų brokeris galinio punkto FIPS režimu, administratorius turi nustatyti "AES" paslaugų brokeris. Jei pabaigos taškas sukonfigūruotas RC4, "SQL Server" sugeneruos klaidą. Todėl transportavimo lygmuo nebus paleistas.

Kaip "SQL Server 2012" veikia "FIPS 140-2" suderinamu režimu?

  • Kai įjungtas "Windows" FIPS režimas, visose srityse, kuriose vartotojas neturi pasirinkimo dėl to, ar reikia šifruoti/maišos ir kaip tai bus atlikta, "SQL Server 2012" atliks pagal "FIPS 140-2". ("SQL Server 2012" sistemoje "Windows" naudos Kriptoapi ir naudos tik sertifikuotus algoritmus.)

  • Kai įjungtas "Windows" FIPS režimas, visose srityse, kur vartotojas turi pasirinkimą, ar naudoti šifravimą, "SQL Server 2012" įgalins tik FIPS 140-2 suderinamą šifravimą arba neįjungs šifravimo.

  • Svarbi informacija programinės įrangos kūrėjamsVisose srityse, kuriose kūrėjas arba vartotojas rašo savo kodavimo ar maišymo kodą, jiems turi būti nurodyta naudoti tik CryptoAPI (ir todėl tik sertifikuotus egzempliorius) ir nurodyti tik algoritmus, kurie leidžiami FIPS 140-2. Tiksliau sakant, jie turi apibrėžti tik trigubą DES (3DES) arba AES šifravimui ir tik SHA-1.

Kaip veikia "SQL Server 2012" FIPS 140-2 – suderinamas režimas?

  • Stipresnio šifravimo naudojimas gali turėti nedidelį poveikį tiems procesams, kuriems, kai procesas veikia kaip FIPS 140-2, veikia mažiau griežto šifravimo.

  • Naudojant SSIS šifravimą (UseEncryption = TRUE), bus sugeneruotas klaidos pranešimas, kuriame nurodoma, kad galimas šifravimas nesuderinamas su FIPS atitiktimi ir neleistinas. Kitaip tariant, neatliekamas joks pranešimo proceso šifravimas.

  • Šifravimo naudojimas kartu su senstelėjusia DTS suderinamas su FIPS 140-2. Turėkite omenyje, kad DTS, "Windows" FIPS režimas nepažymėtas. Todėl vartotojas atsako už tai, kad jis nesikeis.

  • Kadangi dauguma "SQL Server 2012" šifravimo ir maišymo procesai jau yra FIPS 140-2, vykdymas visiškai atitinka (tai yra, kai įjungtas FIPS režimas sistemoje "Windows") turės mažai arba jokio poveikio produkto naudojimui ar veikimui.

Kur galiu sužinoti daugiau apie FIPS 140-2?

Daugiau informacijos apie FIPS 140-2 standartą ir kaip jį atsisiųsti rasite apsilankę šioje NIST svetainėje:

http://csrc.nist.gov/cryptval/140-2.htm"Microsoft" teikia trečiųjų šalių kontaktinę informaciją, padėsiančią jums gauti techninį palaikymą. Ši kontaktinė informacija gali būti pakeista nepranešus. "Microsoft" negarantuoja šios trečiosios šalies kontaktinės informacijos tikslumo.

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijungti prie "Microsoft Insider"

Ar ši informacija buvo naudinga?

Dėkojame už jūsų atsiliepimus!

Dėkojame už jūsų atsiliepimą! Panašu, kad gali būti naudinga jus sujungti su vienu iš mūsų „Office“ palaikymo agentų.

×