Instruksjoner for bruk av SQL Server 2008 i FIPS 140-2-kompatibel modus


INTRODUKSJON


Denne artikkelen omhandler FIPS Federal Information Processing Standard () 140-2-instruksjoner og informasjon om hvordan du bruker Microsoft SQL Server 2008 i FIPS 140-2-kompatibel modus.

Obs! Vilkårene "FIPS 140-2-kompatibel," defineres "FIPS 140-2 samsvar" og "FIPS 140-2-kompatibel modus" her for bruk og klarhet. Disse vilkårene som ikke gjenkjennes eller definert regjeringen vilkårene. Myndighetene i USA og Canada gjenkjenner validering av kryptografiske moduler mot standarder som FIPS 140-2 og ikke bruk av dem i et angitt eller konform måte. I denne artikkelen vil vi definerer "FIPS 140-2-kompatibel," "FIPS 140-2-kompatibilitet," og "FIPS 140-2-kompatibel modus" til å bety at SQL Server 2008 bruker bare FIPS 140-2 godkjente forekomster av algoritmer og hashing funksjoner alle steder i som krypterte eller hashet data importeres eller eksporteres til SQL Server 2008. Disse ordene betyr også at SQL Server 2008 behandle nøkler på en sikker måte slik det kreves av FIPS 140-2-validerte kryptografiske moduler. Key management-prosessen inkluderer både nøkkelgenerering og lagring av viktige funksjoner.

Hvis du vil ha mer informasjon


Hva er FIPS?

FIPS betyr standarder for Federal behandling av informasjon. FIPS er standarder som er utviklet av to offentlige organisasjoner. En er National Institute of Standards og teknologi i USA. Den andre er kommunikasjon sikkerhet etablering i Canada. FIPS er standarder som er anbefalt, eller som er obligatorisk for bruk i føderal (USA eller Canada) offentlig drives IT-systemer.

Hva er FIPS 140-2?

FIPS 140-2 er en erklæring av "Sikkerhetskravene for kryptografiske moduler." Den angir hvilke krypteringsalgoritmer og kan brukes som hash algoritmer og hvordan krypteringsnøkler som skal genereres og behandles. Noen maskinvare, programvare og prosesser kan være FIPS 140-2-godkjent av en godkjent validering lab. Noen av dem kan også beskrives som FIPS 140-2-kompatible slik termen defineres i denne artikkelen.

Hva er forskjellen mellom et program som er "FIPS 140-2-kompatibel" og et program som er "FIPS 140-2 godkjente"?

Du kan konfigurere SQL Server 2008 til å kjøre som en FIPS 140-2-kompatible programmer. Hvis du vil gjøre dette, må du kjøre SQL Server 2008 på et operativsystem som bruker en FIPS 140-2-validerte kryptografiske tjenesteleverandøren eller som gir en cryptographic modul som har blitt validert. Forskjellen mellom samsvar og validering er ikke lett. Algoritmer kan valideres. Oppdager at det er nok til å bruke algoritmer fra godkjente listene i FIPS 140-2. Du må bruke forekomster av som er FIPS 140-2 godkjente algoritmer. Validering krever testing og bekreftelse av en offentlig godkjent evaluering lab. Windows Server 2008, Windows Server 2003 og Windows XP inneholder godkjente kryptografiske moduler og moduler, inkludert bestemte forekomster av algoritmer, har vært lab testet og godkjent offentlig.

Hvilke programmer kan være FIPS 140-2-kompatible?

Alle programmer som utfører krypteringen eller nummerering (hashing), og som kjører på en godkjent versjon av en kryptografisk tjenesteleverandør i Microsoft Windows kan være kompatible hvis de bruker bare godkjente forekomster av godkjente algoritmer. Disse programmene må også samsvare med generering av nøkkel og Nøkkelbehandling krav ved hjelp av en viktig funksjon i Windows eller ved generering av nøkkel og Nøkkelbehandling kravene i programmet. I tillegg, i noen tilfeller er ikke-samsvarende algoritmer eller prosesser tillatt i en FIPS 140-2-kompatible programmer. Dataene kan krypteres ved hjelp av en ikke-samsvarende algoritme Hvis du i denne kryptert form, dataene blir værende i programmet, det vil si, ikke eksporteres dataene i dette skjemaet, eller hvis dataene krypteres ytterligere (pakket) ved hjelp av en FIPS-kompatible algoritme.

Dette betyr at SQL Server 2008 alltid FIPS 140-2-kompatible?

nei. Det betyr at SQL Server 2008 kan konfigureres til å kjøre i FIPS 140-2-kompatibel modus.

Hvordan kan SQL Server 2008 konfigureres til å bruke en FIPS 140-2-validerte kryptografiske modul?

Krav til operativsystem

På en Windows Server 2008-basert datamaskin, en Windows Vista-basert datamaskin, en Windows Server 2003-basert datamaskin eller en Windows XP-basert datamaskin, må du installere SQL Server 2008.

Windows-administrasjon systemkrav

Før du starter SQL Server 2008, må du aktivere FIPS-modus. Dette er fordi SQL Server 2008 leser FIPS-innstillingen ved oppstart. Følg disse trinnene for å aktivere FIPS.

For Windows Server 2008 og Windows Vista
  1. Bruk administratorlegitimasjon til å logge på datamaskinen.
  2. Hvis du bruker Windows Server 2008, klikk Start, klikk Kjør, Skriv inn gpedit.msc, og trykk deretter ENTER. Redigeringsprogram for lokal gruppepolicy åpnes. Hvis du bruker en Windows Vista-basert datamaskin, klikker du Start, Skriv inn gpedit.msc i Start søk -boksen, og trykk deretter ENTER.
  3. I Local Group Policy Editor, dobbeltklikk Windows-innstillingene under noden Datamaskinkonfigurasjon , og dobbeltklikk deretter Sikkerhetsinnstillinger.
  4. Dobbeltklikk Lokale policyerunder noden Sikkerhetsinnstillinger , og klikk deretter Sikkerhetsalternativer.
  5. I detaljruten dobbeltklikker du Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering.

  6. I den Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering -dialogboksen klikker du aktivert, og klikk deretter OK for å lukke dialogboksen.
  7. Lukk redigeringsprogrammet for lokal gruppepolicy.
For Windows Server 2003 og Windows XP
  1. Bruk administratorlegitimasjon til å logge på datamaskinen.
  2. Klikk Start, klikk Kjør, Skriv inn gpedit.msc, og trykk deretter ENTER.
  3. Dobbeltklikk Windows-innstillinger under noden Datamaskinkonfigurasjon i gruppepolicy-vinduet, og dobbeltklikk deretter Sikkerhetsinnstillinger.
  4. Dobbeltklikk Lokale policyerunder noden Sikkerhetsinnstillinger , og klikk deretter Sikkerhetsalternativer.
  5. I detaljruten dobbeltklikker du Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering.

  6. I den Systemkryptografi: Bruk FIPS-kompatible algoritmer til kryptering, nummerering og signering -dialogboksen klikker du aktivert, og klikk deretter OK for å lukke dialogboksen.
  7. Lukk vinduet Gruppepolicy.

SQL Server 2008 administrator notater

  • Når SQL Server 2008-tjenesten oppdager at FIPS-modus er aktivert ved oppstart, logger SQL Server 2008 en feilmelding i feilloggen for SQL Server:
    Service Broker transport kjører i modus for FIPS-kompatibilitet
    I tillegg logges følgende melding i programloggen:
    Databasen speiling transport kjører i modus for FIPS-kompatibilitet
    Kontroller at serveren kjører i FIPS-modus, kan du finne disse meldingene.
  • For å få tak i dialogboksen sikkerhet mellom tjenester, bruke krypteringsprosessen FIPS-sertifisert forekomsten av den Standard AES (Advanced Encryption) Hvis FIPS-modus er aktivert. Hvis FIPS-modus er deaktivert, bruker krypteringsprosessen RC4.
  • Når du konfigurerer et sluttpunkt for Service Broker i FIPS-modus, må du angi "AES" for Service Broker. Hvis sluttpunktet er konfigurert med RC4, genererer en feil i SQL Server. Derfor starter ikke transportlaget.

Hvordan opererer SQL Server 2008 i FIPS 140-2-kompatibel modus?

  • Hvis FIPS-modus i Windows er slått på, og hvis brukeren har ingen alternativer for om du vil kryptere eller hash data og hvordan det skal foretas, opererer SQL Server 2008 i FIPS 140-2-kompatibel modus. SQL Server 2008 bruker CryptoAPI og vil bruke bare godkjente forekomster av algoritmer.
  • Hvis FIPS-modus er slått på, og hvis brukeren har en valget om å bruke kryptering, for SQL Server 2008, tillater bare FIPS 140-2-kompatible kryptering eller tillater ikke for noen kryptering.
  • Viktig informasjon for utviklere

    Hvis du skriver din egen kode for kryptering eller nummerering (hashing), må du bruke bare CryptoAPI. Du må angi algoritmene som er tillatt av FIPS 140-2. Du bruker bare den Triple Data Encryption Standard (3DES) eller AES for kryptering og bare SHA-1 for nummerering (hashing). Du kan bruke følgende nøkkelord i SQL Server 2008 for de respektive FIPS 140-2 godkjente algoritmene:

    • DESX (tre nøkkel Trippel DES)
    • Trippel-DES(Two-key triple DES)
    • TRIPLE_DES_3KEY (Trippel DES for tre-key)
    • TRIPLE_DES_2KEY (to taster Trippel DES)
    Obs! Valg av DESX, gir ikke et DESX-algoritmen i SQL Server 2005 eller SQL Server 2008. I begge tilfeller gir valg av DESX en validert forekomst av tre nøkkel Trippel DES.
  • Viktig informasjon for utviklere

    SQL Server 2008 støtter en Enterprise-Key management (EKM)-funksjonen som gjør det mulig for administrasjon av krypteringsnøkler på en separat tredjeparts maskinvare storage module (HSM). Til å operere i FIPS 140-2-kompatibel modus og bruke EKM, må én av følgende to betingelser være oppfylt:
    • Eksterne kryptografi-modulen må være FIPS 140-2 godkjente.
    • Noen av algoritmene som brukes av kryptografi-modulen må være FIPS 140-2 godkjente. Bruk bare de forekomstene av godkjente algoritmer når FIPS 140-2-basert kryptering eller dekryptering er nødvendig for å importere eller eksportere data til eller fra SQL Server.
    I tillegg må dataene vil krypteres eller dekrypteres av eksterne kryptografi-modulen sendes i kryptert form ved hjelp av en FIPS 140-2 godkjente forekomst.

Hva er virkningen av å kjøre SQL Server 2008 i FIPS 140-2-kompatibel modus?

  • Bruk av sterkere kryptering kan ha en liten innvirkning på ytelsen for disse prosessene der mindre sterk kryptering er tillatt når prosessen ikke fungerer som FIPS 140-2-kompatibel.
  • Valg av kryptering for inkluderinger for Serverside (UseEncryption = True) genererer en feilmelding om at tilgjengelige kryptering er ikke kompatibelt med FIPS-kompatibilitet, og er ikke tillatt. Med andre ord, utføres ingen kryptering av meldingen.
  • Bruk av kryptering sammen med eldre Data Transformation Services (DTS) er ikke FIPS 140-2-kompatibel. For DTS kontrolleres ikke FIPS-modus i Windows. Hvis du vil fortsatt være kompatibel, må du ikke velge kryptering.
  • De fleste SQL Server 2008-kryptering og hashing prosesser allerede bruker en FIPS 140-2-validerte kryptografiske modul. Hvis du kjører et program i FIPS 140-2-kompatibel modus når FIPS-modus er aktivert i Windows, er det liten eller ingen innvirkning på bruk eller ytelse.

Hvor kan jeg lære mer om FIPS 140-2?

Hvis du vil ha mer informasjon om FIPS-standarden, og hvordan du laster den ned, kan du gå til følgende webområde for NIST:Microsoft tilbyr kontaktopplysninger for tredjeparter for å hjelpe deg med å finne teknisk kundestøtte. Disse kontaktopplysningene kan endres uten varsel. Microsoft garanterer ikke nøyaktigheten av disse kontaktopplysningene for tredjeparter.
Hvis du vil ha mer informasjon om hvordan du bruker SQL Server 2005 i FIPS 140-2-kompatibel modus, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

920995 instruksjoner for bruk av SQL Server 2005 Service Pack 1 eller en senere versjon av SQL Server i FIPS 140-2-kompatibel modus