Instrukcje dotyczące korzystania z programu SQL Server 2008 w trybie FIPS 140-2-zgodnych


WPROWADZENIE


W tym artykule omówiono Federal Information Processing Standard (FIPS) 140-2 instrukcje i jak używać programu Microsoft SQL Server 2008 w trybie FIPS 140-2-zgodnych.

Uwaga Terminy "FIPS 140-2 zgodnych z" "Zgodność ze standardem FIPS 140-2" i "Tryb FIPS 140-2-zgodnych" są zdefiniowane w tym miejscu użytkowania i przejrzystości. Niniejsze warunki nie są rozpoznawane lub określone warunki rządu. Rząd Stanów Zjednoczonych i Kanady rozpoznaje walidacji modułów kryptograficznych przeciwko norm jak FIPS 140-2 i nie używaj ich w określonym lub sposób zgodność. W tym artykule, możemy zdefiniować "Ze standardem FIPS 140-2-zgodnych," "Zgodności ze standardem FIPS 140-2," i "Tryb FIPS 140-2-zgodnych" oznacza, że program SQL Server 2008 używa tylko FIPS 140-2-sprawdzone wystąpienia algorytmów i funkcje mieszania w wszystkich przypadków, w których szyfrowane lub mieszany dane są importowane lub eksportowane do programu SQL Server 2008. Ponadto te terminy oznaczają programu SQL Server 2008 będzie zarządzać kluczami w bezpieczny sposób zgodnie z wymaganiami FIPS 140-2-sprawdzone modułów kryptograficznych. Proces zarządzania kluczami obejmuje również generowanie kluczy i funkcjonalności magazynu kluczy.

Więcej informacji


Co to jest FIPS?

FIPS oznacza federalnych norm przetwarzania informacji. FIPS są normy, które są opracowywane przez jednostki rządowe dwóch. Jest jeden Państwowy Instytut norm i technologii w Stanach Zjednoczonych. Druga jest ustanowienie zabezpieczeń komunikacji w Kanadzie. FIPS jest norm, które są zalecane lub upoważnioną do stosowania w systemach informatycznych sterowanych przez Rząd Federalnej (Stanów Zjednoczonych lub Kanady).

Co to jest FIPS 140-2?

FIPS 140-2 jest oświadczenie o "wymagania zabezpieczeń modułów kryptograficznych." Określa, które algorytmy szyfrowania i które algorytmy mieszania może służyć i jak klucze szyfrowania są generowane i zarządzane. Niektóre sprzętu, oprogramowania i procesy mogą być FIPS 140-2, zatwierdzone przez laboratorium zatwierdzone sprawdzania poprawności. Niektóre z nich można również określić jako FIPS 140-2-zgodnych zgodnie z definicją w niniejszym artykule.

Jaka jest różnica między aplikacji, która jest "FIPS 140-2-zgodnych" i aplikacji, która jest "FIPS 140-2-sprawdzone"?

Można skonfigurować program SQL Server 2008 do uruchamiania jako FIPS 140-2-zgodnych aplikacji. Aby to zrobić, należy uruchomić program SQL Server 2008 w systemie operacyjnym, zapewnia modułu kryptograficznego, które zostały zatwierdzone lub FIPS 140-2-sprawdzone dostawcy usług kryptograficznych, który używa. Różnica między zgodności i sprawdzania poprawności nie jest subtelne. Algorytmy mogą być sprawdzone. Sobie sprawę, że jest niewystarczająca, aby używanie algorytmów z wykazów zatwierdzonych w FIPS 140-2. Należy użyć wystąpień algorytmów zgodnych ze standardem FIPS 140-2, zatwierdzone. Sprawdzanie poprawności wymaga kontroli i weryfikacji przez laboratorium zatwierdzone przez Rząd oceny. Windows Server 2008, Windows Server 2003 i Windows XP zawierają modułów kryptograficznych zatwierdzonych i modułów, w tym określone wystąpienia algorytmy, zostały laboratorium przetestowane i sprawdzone rządu.

Jakie aplikacje mogą być FIPS 140-2-zgodnych?

Wszystkie aplikacje, które szyfrowania lub mieszania i że na zatwierdzonych wersji dostawcy usług kryptograficznych, Microsoft Windows może być zgodny z, jeśli używają tylko zatwierdzonych wystąpień algorytmy zatwierdzonych. Aplikacje te również muszą być zgodne z generowania kluczy i wymagań zarządzania kluczami za pomocą kluczowych funkcji systemu Windows lub poprzez spełnienie wymagań zarządzania kluczami w aplikacji i generowania kluczy. Ponadto w niektórych przypadkach niezgodnych algorytmów lub procesy są dozwolone w FIPS 140-2-zgodnych aplikacji. Na przykład dane mogą być szyfrowane za pomocą algorytmu niezgodnego, jeśli w tym formularzu zaszyfrowane dane pozostaną w obrębie aplikacji, oznacza to, że dane nie są eksportowane w tym formularzu, czy dane dodatkowe są szyfrowane (kodowane) przy użyciu algorytmów zgodnych z FIPS.

Czy to oznacza, że program SQL Server 2008 jest zawsze FIPS 140-2-zgodnych?

Nie. Oznacza to, że program SQL Server 2008 można skonfigurować do uruchamiania w trybie FIPS 140-2-zgodnych.

Jak program SQL Server 2008 może być skonfigurowany do używania FIPS 140-2-sprawdzone modułu kryptograficznego?

Wymagania dotyczące systemu operacyjnego

SQL Server 2008 należy zainstalować na komputerze z systemem Windows Server 2008, komputera z systemem Windows Vista, komputera z systemem Windows Server 2003 lub komputera z systemem Windows XP.

Wymagania administracji systemu Windows

Przed uruchomieniem programu SQL Server 2008, należy włączyć tryb FIPS. Jest tak, ponieważ program SQL Server 2008 odczytuje ustawienia FIPS podczas uruchamiania. Aby włączyć FIPS, wykonaj następujące kroki.

Dla systemów Windows Server 2008 i Windows Vista
  1. Zaloguj się do komputera za pomocą poświadczeń administracyjnych.
  2. Jeśli używasz systemu Windows Server 2008, kliknij przycisk Start, kliknij polecenie Uruchom, wpisz gpedit.msci naciśnij klawisz ENTER. Otwiera Edytor obiektów zasady grupy. Jeśli używasz komputera z systemem Windows Vista kliknij przycisk Start, wpisz gpedit.msc w polu Rozpocznij wyszukiwanie , a następnie naciśnij klawisz ENTER.
  3. W zasady grupy Edytor lokalnych, kliknij dwukrotnie Ustawienia systemu Windows w obszarze węzła Konfiguracja komputera , a następnie kliknij dwukrotnie ikonę Ustawienia zabezpieczeń.
  4. W węźle Ustawienia zabezpieczeń kliknij dwukrotnie Zasady lokalne, a następnie kliknij przycisk Opcje zabezpieczeń.
  5. W okienku szczegółów kliknij dwukrotnie pozycję Kryptografia systemu: Użyj zgodnych algorytmów FIPS dla celów szyfrowania, mieszania i podpisywania.

  6. W Kryptografia systemu: Użyj zgodnych algorytmów FIPS dla celów szyfrowania, mieszania i podpisywania okno dialogowe, kliknij opcję włączone, a następnie kliknij przycisk OK , aby zamknąć okno dialogowe.
  7. Zamknij Edytor lokalnych zasady grupy.
Dla systemu Windows Server 2003 i Windows XP
  1. Zaloguj się do komputera za pomocą poświadczeń administracyjnych.
  2. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz gpedit.msc, a następnie naciśnij klawisz ENTER.
  3. W oknie zasady grupy kliknij dwukrotnie Ustawienia systemu Windows w obszarze węzła Konfiguracja komputera , a następnie kliknij dwukrotnie ikonę Ustawienia zabezpieczeń.
  4. W węźle Ustawienia zabezpieczeń kliknij dwukrotnie Zasady lokalne, a następnie kliknij przycisk Opcje zabezpieczeń.
  5. W okienku szczegółów kliknij dwukrotnie pozycję Kryptografia systemu: Użyj zgodnych algorytmów FIPS dla celów szyfrowania, mieszania i podpisywania.

  6. W Kryptografia systemu: Użyj zgodnych algorytmów FIPS dla celów szyfrowania, mieszania i podpisywania okno dialogowe, kliknij opcję włączone, a następnie kliknij przycisk OK , aby zamknąć okno dialogowe.
  7. Zamknij okno zasady grupy.

Notatki administratora programu SQL Server 2008

  • Gdy usługa SQL Server 2008 wykryje, że podczas uruchamiania jest włączony tryb FIPS, program SQL Server 2008 rejestruje następujący komunikat w dzienniku błędów programu SQL Server:
    Transport Service Broker jest uruchomiony w trybie zgodności z FIPS
    Ponadto następujący komunikat o błędzie może zostać zarejestrowane w dzienniku aplikacji:
    Transport lustrzane bazy danych jest uruchomiony w trybie zgodności z FIPS
    Aby sprawdzić, czy serwer jest uruchomiony w trybie FIPS, należy zlokalizować te wiadomości.
  • Aby uzyskać okna dialogowego zabezpieczeń między służbami, proces szyfrowania użyje wystąpienia certyfikatem FIPS z Advanced Encryption Standard (AES), jeśli włączony jest tryb FIPS. Jeśli tryb FIPS jest wyłączona, proces szyfrowania używa RC4.
  • Podczas konfigurowania punktu końcowego Service Broker w trybie FIPS, należy określić "AES" dla Service Broker. Jeśli punkt końcowy jest skonfigurowany do szyfrowania RC4, SQL Server generuje błąd. W związku z tym Warstwa transportu nie uruchamia się.

Jak działa program SQL Server 2008 w trybie FIPS 140-2-zgodnych

  • Jeśli jest włączony tryb FIPS w systemie Windows i użytkownik nie ma wyboru, czy do zaszyfrowania lub mieszania danych i informacje jak to zrobić, program SQL Server 2008 działa w trybie FIPS 140-2-zgodnych. SQL Server 2008 będzie używać interfejsu CryptoAPI i będzie używać tylko zatwierdzonych wystąpień algorytmy.
  • Jeśli jest włączony tryb FIPS, a jeśli użytkownik ma wybór, czy używanie szyfrowania, program SQL Server 2008 będzie albo zezwolić na tylko FIPS 140-2 standardem szyfrowania lub nie pozwoli dla szyfrowania.
  • Ważne informacje dla deweloperów

    Jeśli możesz napisać własny kod szyfrowania lub mieszania, należy użyć tylko interfejsu CryptoAPI. Należy określić algorytmy, które są dozwolone przez FIPS 140-2. W szczególności użyj tylko Triple Data Encryption Standard (3DES) lub AES szyfrowania i tylko SHA-1 do mieszania. Dla odpowiednich algorytmów FIPS 140-2-sprawdzone, można użyć następujących słów kluczowych w programie SQL Server 2008:

    • DESX (klucz trzech triple DES)
    • Triple-DES(Two-key triple DES)
    • TRIPLE_DES_3KEY (klucz trzech triple DES)
    • TRIPLE_DES_2KEY (dwóch kluczowych triple DES)
    Uwaga Wybierając DESX nie zapewnia algorytm DESX, w programie SQL Server 2005 lub SQL Server 2008. W obu przypadkach po wybraniu DESX udostępniane zatwierdzonych wystąpienie klucz trzech triple DES.
  • Ważne informacje dla deweloperów

    SQL Server 2008 obsługuje funkcję zarządzania (EKM) klucz Enterprise, która umożliwia zarządzanie klucze kryptograficzne w oddzielnych firm sprzętowego modułu pamięci masowej (HSM). Do działania w trybie FIPS 140-2-zgodnych i używać EKM, jeden z następujących warunków muszą być spełnione:
    • Zewnętrznego modułu kryptograficznego musi być FIPS 140-2, zatwierdzone.
    • Niektóre algorytmy, które są używane przez modułu kryptograficznego musi być FIPS 140-2, zatwierdzone. Przy tych wystąpień zatwierdzonych algorytmów FIPS 140-2-based szyfrowanie lub odszyfrowywanie jest wymagana do importowania lub eksportowania danych do lub z programu SQL Server.
    Ponadto dane, które zostaną zaszyfrowane lub odszyfrowane przez zewnętrznego modułu kryptograficznego muszą być przekazywane w postaci zaszyfrowanej za pomocą wystąpienia FIPS 140-2-sprawdzone.

Co to jest uruchomiony program SQL Server 2008 w trybie FIPS 140-2-zgodnych efekt?

  • Wykorzystanie silniejsze szyfrowanie może mieć niewielki wpływ na wydajność tych procesów, w których dopuszczalna jest mniej silnego szyfrowania, gdy proces nie działa jako FIPS 140-2-zgodnych.
  • Wybór szyfrowania dla SSIS (UseEncryption = True) wygeneruje komunikat o błędzie, że dostępne szyfrowania jest niezgodny z FIPS zgodności i nie jest dozwolone. Innymi słowy odbywa się bez szyfrowania proces wiadomości.
  • Korzystanie z szyfrowania wraz z starsze dane Transformation Services (DTS) nie jest FIPS 140-2-zgodnych. Tryb FIPS w systemie Windows dla DTS, nie jest zaznaczone. Aby zachować zgodność, nie musisz wybrać szyfrowanie.
  • Większość programu SQL Server 2008 szyfrowania i mieszania procesy już używać FIPS 140-2-sprawdzone modułu kryptograficznego. W związku z tym po uruchomieniu aplikacji w trybie FIPS 140-2-zgodnych, gdy tryb FIPS jest włączona w systemie Windows, istnieje niewielki lub żaden wpływ na używania lub wydajności aplikacji.

Gdzie można dowiedzieć się więcej na temat FIPS 140-2?

Aby uzyskać więcej informacji o FIPS standard i sposobu jego pobierania odwiedź następującą witrynę sieci Web NIST:Firma Microsoft udostępnia informacje kontaktowe innych firm, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Microsoft nie gwarantuje poprawności niniejszych informacji kontaktowych innych firm.
Aby uzyskać więcej informacji na temat używania programu SQL Server 2005 w trybie FIPS 140-2-zgodnych kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

Instrukcje 920995 za pomocą dodatku Service Pack 1 dla programu SQL Server 2005 lub nowszej wersji programu SQL Server w FIPS 140-2 zgodny z trybu