Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Ieviešanu

Šajā rakstā ir aplūkotas FIPS 140-2 instrukcijas un kā izmantot Microsoft SQL Server 2012 FIPS 140-2 saderīgā režīmā.Piezīmes.

  • Termini "FIPS 140-2 compliant" "FIPS 140-2 atbilstība" un "FIPS 140-2-compliant režīms" šeit ir definēti lietošanai un skaidrībai. Šie termini nav atpazīti vai definēti valdības noteikumi. Amerikas Savienotās valstis un Kanādas valdības atzīst kriptogrāfisko moduļu validāciju attiecībā uz tādiem standartiem kā FIPS 140-2, nevis kriptogrāfisko moduļu izmantošanu noteiktā vai līdzīgā veidā. Šajā rakstā mēs izmantojam "FIPS 140-2-compliant", "FIPS 140-2 atbilstību" un "FIPS 140-2-compliant režīmu" tādā nozīmē, ka SQL Server 2012 izmanto tikai FIPS 140-2-validētas algoritmu un jaukšanas funkciju instances visos gadījumos, kad šifrētie vai jauktie dati tiek importēti vai eksportēti no SQL Server 2012. Turklāt tas nozīmē, ka SQL Server 2012 droši pārvaldīs atslēgas, kā tas ir nepieciešams FIPS 140-2 validētajos kriptogrāfiskajos moduļos. Galvenie pārvaldības procesi ietver arī atslēgu ģenerēšanu un atslēgu glabāšanu.

  • Šeit tiek lietots "sertificēts", kas nozīmē, ka algoritma instance ir FIPS 140-2 validēta vai operētājsistēmā ir FIPS 140-2-validētas algoritmu instances.

Papildinformācija

Kas ir FIPS?

Federālās informācijas apstrādes standarts (FIPS) ir standarts, ko izstrādājusi šādas divas valsts iestādes:

  • Nacionālais standartu un tehnoloģiju institūts (NIST) Amerikas Savienotajās valstīs

  • Sakaru drošības iestāde (PMP) Kanādā

FIPS standartus iesaka vai pilnvaro izmantot federālās valsts pārvaldības IT sistēmās Amerikas Savienotajās valstīs un Kanādā.

Kas ir FIPS 140-2?

FIPS 140-2 ir priekšraksts ar nosaukumu "šifrēšanas moduļu drošības prasības". Tajā ir norādīts, kurus šifrēšanas algoritmus un kurus jaukšanas algoritmus izmantot, kā arī to, kā tiek ģenerēti un pārvaldīti šifrēšanas taustiņi. Dažas aparatūras, programmatūras un procesi var būt FIPS 140-2 sertificēti, un dažas aparatūras, programmatūras un procesi var būt saderīgi ar FIPS 140-2.

Kāda ir atšķirība starp FIPS 140-2 atbilstību un FIPS 140-2 sertificēšanu?

SQL Server 2012 var konfigurēt un palaist veidā, kas atbilst FIPS 140-2. Lai SQL Server 2012 konfigurētu šādā veidā, SQL Server 2012 ir jādarbojas operētājsistēmā FIPS 140-2 sertificētā vai operētājsistēmā, kas nodrošina sertificētu kriptogrāfisko moduli. Starpība starp atbilstību un sertifikāciju nav smalka. Algoritmus var sertificēt. Nav pietiekami, lai izmantotu algoritmu no apstiprinātajiem sarakstiem FIPS 140-2. Tā vietā ir jāizmanto tāda algoritma instance, kas ir sertificēts. Sertifikācija ir nepieciešama, lai pārbaudītu un pārbaudītu valdības apstiprinātu vērtēšanas laboratoriju. Operētājsistēmā Windows Server 2003, Windows XP un Windows Server 2008 ir iekļauti atļautie algoritmi, un katrā no šīm operētājsistēmām ir izvērtēšana lab pārbaudīts un valsts sertificēts.

Kurus lietojumprogrammu produktus var savietot ar FIPS 140-2?

Visas lietojumprogrammas, kuras veic šifrēšanu vai jaukšanas darbību un kuras darbojas sertificētā Windows versijā, var būt saderīgas, izmantojot tikai sertificētu apstiprināto algoritmu instances, kā arī, ja tiek ievērotas galvenās paaudzes un galvenās pārvaldības prasības, izmantojot Windows funkciju atslēgu ģenerēšanas un atslēgu pārvaldības vajadzībām, vai arī, ja tiek ievērota pamata paaudze un galvenās pārvaldības prasības lietojumprogrammā. Ņemiet vērā, ka apgabali ar FIPS saderīgā lietojumprogrammā var pastāvēt vietās, kur ir iespējoti nesaderīgi algoritmi vai procesi. Piemēram, ir atļauti daži iekšējie procesi, kas paliek sistēmā, un daži ārēji dati, kas ir papildus jāšifrē sertificētā algoritma instancē.

Vai SQL Server 2012 vienmēr ir saderīgs ar FIPS 140-2?

nē. SQL Server 2012 var izmantot kā FIPS 140-2, jo to var konfigurēt un palaist tādā veidā, ka tā izmanto tikai FIPS 140-2-sertificētu algoritmu instances, kas tiek sauktas, izmantojot CryptoAPI šifrēšanai vai jaukšanai katrā instancē, kur ir nepieciešama FIPS 140-2 atbilstība.

Kā SQL Server 2012 ir konfigurēts tā, lai tā būtu saderīga ar FIPS 140-2?

  • Operētājsistēmas prasība: Jums ir jāinstalē SQL Server 2012 serverī, kura pamatā ir kāda no šīm operētājsistēmām:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • Windows sistēmas administrēšanas prasība: FIPS režīms ir jāiestata pirms SQL Server 2012 startēšanas. SQL Server nolasa iestatījumu startēšanas laikā. Lai iestatītu FIPS režīmu, veiciet tālāk norādītās darbības.

    1. Piesakieties sistēmā Windows kā Windows sistēmas administrators.

    2. Noklikšķiniet uz Sākums.

    3. Noklikšķiniet uz vadības panelis.

    4. Noklikšķiniet uz Administratīvie rīki.

    5. Noklikšķiniet uz lokālās drošības politika. Tiek atvērts logs lokālās drošības iestatījumi .

    6. Navigācijas rūtī noklikšķiniet uz Lokālās politikasun pēc tam noklikšķiniet uz drošības opcijas.

    7. Labās puses rūtī veiciet dubultklikšķi uz sistēmas kriptogrāfija: izmantojiet FIPS saderīgus algoritmus šifrēšanai, jaukšanai un parakstīšanai.

    8. Dialoglodziņā, kas tiek atvērts, noklikšķiniet uz iespējotsun pēc tam noklikšķiniet uz lietot.

    9. Noklikšķiniet uz Labi.

    10. Slēgt lokālo drošības iestatījumu logu.

  • SQL Server administratora prasības

    • Ja SQL Server pakalpojums atklāj, ka startēšanas laikā ir iespējots FIPS režīms, SQL Server kļūdu žurnālā tiek parādīts šāds ziņojums:

      Pakalpojumu brokera transports darbojas FIPS saderības režīmā.Turklāt varat atrast tālāk norādīto ziņojumu, kas ir pieteicies Windows notikumu žurnālā.

      Jūs varat pārbaudīt, vai serveris darbojas FIPS režīmā, meklējot šos ziņojumus.

    • Lai izmantotu dialogu drošību (starp pakalpojumiem), šifrēšana izmanto FIPS sertificēto instanci, ja ir iespējots FIPS režīms. Ja FIPS režīms ir atspējots, šifrēšana izmanto RC4.

    • Ja esat konfigurējis pakalpojumu brokera galapunktu FIPS režīmā, administratoram ir jānorāda "AES" pakalpojumu Brokerim. Ja galapunkts ir konfigurēts uz RC4, SQL Server ģenerēs kļūdu. Tāpēc transporta slānis netiek startēts.

Kā SQL Server 2012 darbojas FIPS 140-2 saderīgā režīmā?

  • Kad FIPS režīms ir ieslēgts sistēmā Windows, visos apgabalos, kur lietotājam nav izvēles, vai šifrēt/hash un kā tas tiks darīts, SQL Server 2012 tiks izpildīts atbilstoši FIPS 140-2. (SQL Server 2012 izmantos CryptoAPI operētājsistēmā Windows, un tiek izmantotas tikai sertificētas algoritmu instances.)

  • Kad FIPS režīms ir ieslēgts sistēmā Windows, visos reģionos, kur lietotājs var izvēlēties, vai izmantot šifrēšanu, SQL Server 2012 nodrošina tikai FIPS 140-2 atbilstošu šifrēšanu, vai arī neiespējos šifrēšanu.

  • Svarīga informācija programmatūras izstrādātājiemVisos apgabalos, kur izstrādātājs vai lietotājs raksta savu kodu šifrēšanai vai jaukšanai, tiem ir jābūt instruētiem lietot tikai CryptoAPI (un tikai sertificētos gadījumus) un norādīt tikai algoritmus, ko pieļauj FIPS 140-2. Konkrēti tiem ir jānorāda tikai Trīskāršais DES (3 DES) vai AES šifrēšanai un tikai SHA-1 jaukšanai.

Kāds ir SQL Server 2012 efekts FIPS 140-2 saderīgā režīmā?

  • Spēcīgākas šifrēšanas izmantošanai var būt mazs efekts attiecībā uz veiktspēju tiem procesiem, kuros mazāk stingra šifrēšana ir atļauta, ja šis process nedarbojas, kas atbilst FIPS 140-2.

  • Šifrēšanas atlase SSIS (UseEncryption = TRUE) ģenerēs kļūdas ziņojumu, kurā norādīts, ka pieejamā šifrēšana nav saderīga ar FIPS atbilstību, un tā nav atļauta. Citiem vārdiem, ziņojumu procesa šifrēšana netiek veikta.

  • Šifrēšana kopā ar mantoto DTS nesader ar FIPS 140-2. Ņemiet vērā, ka attiecībā uz DTS nav atzīmēta opcija FIPS režīms operētājsistēmā Windows. Tāpēc lietotājs ir atbildīgs par to, lai netiktu atlasīta šifrēšana.

  • Tā kā lielākajai daļai SQL Server 2012 šifrēšanas un jaukšanas procesi jau ir FIPS 140-2, izpilde ar pilnīgu atbilstību (tas ir, kad ir ieslēgts FIPS režīms operētājsistēmā Windows), vai tas neietekmē produkta izmantošanu vai veiktspēju.

Kur var iegūt papildinformāciju par FIPS 140-2?

Lai iegūtu papildinformāciju par FIPS 140-2 standartu un to, kā to lejupielādēt, dodieties uz šādu NIST tīmekļa vietni:

http://csrc.nist.gov/cryptval/140-2.htmMicrosoft nodrošina trešo pušu kontaktinformāciju, lai palīdzētu jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta, nebrīdinot. Microsoft negarantē šīs trešo personu kontaktinformācijas precizitāti.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×