Wprowadzenie
W tym artykule omówiono instrukcje dotyczące standardu FIPS 140-2 i sposób korzystania z programu Microsoft SQL Server 2012 w trybie zgodności z FIPS 140-2.Uwagi
-
Terminy "zgodny z FIPS 140-2", "" FIPS 140-2 zgodności "i" tryb zgodności z FIPS 140-2 "są tutaj definiowane, aby można było ich używać i przejrzystić. Niniejsze warunki nie są rozpoznawane ani definiowane przez rząd. Rząd Stanów Zjednoczonych i Kanady rozpoznaje zatwierdzanie modułów kryptograficznych przed standardami, takimi jak FIPS 140-2, a nie z użyciem modułów kryptograficznych w określonym lub zgodnym sposób. W tym artykule użyto "FIPS 140-2-zgodnych", "" FIPS 140-2 zgodności "oraz" tryb zgodności z FIPS 140-2 "w tym sensie, że w programie SQL Server w wersji 2012 są używane tylko niezgodne wystąpienia algorytmów i funkcji mieszania w standardzie FIPS dla wszystkich wystąpień, w których szyfrowane lub wyeksportowane dane są importowane lub eksportowane z programu SQL Server 140-2. Ponadto oznacza to, że program SQL Server 2012 będzie zarządzać kluczami w bezpieczny sposób, zgodnie z wymaganiami modułu kryptograficznego zatwierdzonych w standardzie FIPS 140-2. Proces zarządzania kluczami obejmuje także generowanie kluczy i Magazyn kluczy.
-
Używamy w tym celu "Certified" oznacza, że wystąpienie algorytmu jest zatwierdzone w standardzie FIPS 140-2 lub że system operacyjny zawiera zatwierdzone wystąpienia algorytmów zgodnych z FIPS 140-2.
Więcej informacji
Co to jest FIPS?
Standard FIPS (Federal Information Processing Standard) jest standardem opracowanym przez dwa następujące organy rządowe:
-
Narodowy Instytut standardów i technologii (NIST) w Stanach Zjednoczonych
-
Instytucja bezpieczeństwa komunikacji (rozszerzenie klienta) w Kanadzie
Standardy FIPS są zalecane lub przystosowane w systemach INFORMATYCZNych w Stanach Zjednoczonych i Kanadzie.
Co to jest FIPS 140-2?
FIPS 140-2 to instrukcja zatytułowana "wymagania dotyczące zabezpieczeń dotyczące modułów kryptograficznych". Określa on, które algorytmy szyfrowania oraz jakie algorytmy mieszania mogą być używane, oraz sposób generowania i zarządzania kluczami szyfrowania. Niektóre urządzenia, oprogramowanie i procesy mogą być zgodne z FIPS 140-2 Certified, a niektóre sprzęt, oprogramowanie i procesy mogą być zgodne ze standardem FIPS 140-2.
Jaka jest różnica między językiem zgodnym z FIPS 140-2 a standardem FIPS 140-2 Certified?
Program SQL Server 2012 można skonfigurować i uruchomić w sposób zgodny z FIPS 140-2. Aby skonfigurować program SQL Server 2012 w ten sposób, program SQL Server 2012 musi działać w systemie operacyjnym z certyfikatem FIPS 140-2 Certified lub w systemie operacyjnym udostępniającym moduł kryptograficzny certyfikowany. Różnica między zgodnością a certyfikatem nie jest delikatna. Algorytmy mogą być certyfikowane. Używanie algorytmu z zatwierdzonych list w standardzie FIPS 140-2 jest niewystarczające. Zamiast tego trzeba użyć wystąpienia takiego algorytmu, które jest autoryzowane. Certyfikacja wymaga testowania i weryfikacji przez zatwierdzony przez rząd laboratorium oceny. Systemy Windows Server 2003, Windows XP i Windows Server 2008 zawierają dozwolone algorytmy, a wystąpienie każdego z tych systemów operacyjnych obejmuje testy testowe i certyfikat zatwierdzony przez rząd.
W których produktach aplikacja może być zgodna z FIPS 140-2?
Wszystkie aplikacje, które wykonują szyfrowanie lub mieszanie oraz które są uruchamiane w certyfikowanej wersji systemu Windows, mogą być zgodne za pomocą tylko certyfikowanych wystąpień zaakceptowanych algorytmów oraz zgodnie z wymaganiami dotyczącymi generowania kluczy i zarządzania kluczami przy użyciu funkcji systemu Windows do generowania kluczy i zarządzania kluczami oraz w celu spełnienia wymagań dotyczących generowania kluczy i zarządzania kluczami w aplikacji. Należy pamiętać, że obszary w aplikacji zgodnej ze standardem FIPS mogą istnieć, gdy są włączone niezgodne algorytmy lub procesy. Na przykład niektóre procesy wewnętrzne pozostające w systemie i niektóre dane zewnętrzne, które mają być dodatkowo szyfrowane przez wystąpienie algorytmu certyfikowania, są dozwolone.
Czy program SQL Server 2012 zawsze jest zgodny ze standardem FIPS 140-2?
Nie. Program SQL Server 2012 może być zgodny z FIPS 140-2, ponieważ można go skonfigurować i uruchomić w taki sposób, aby korzystał tylko z wystąpień zgodnego z algorytmem FIPS 140-2, które są wywoływane przy użyciu interfejsu CryptoAPI w celu szyfrowania lub mieszania w każdym przypadku, gdy wymagana jest zgodność z programem FIPS 140-2.
Jak program SQL Server 2012 można skonfigurować tak, aby był zgodny z FIPS 140-2?
-
Wymaganie dotyczące systemu operacyjnego: Program SQL Server 2012 należy zainstalować na serwerze opartym na jednym z następujących systemów operacyjnych:
-
Windows Server 2003
-
Windows XP
-
Windows Server 2008
-
-
Wymagania dotyczące administracji systemu Windows: Przed uruchomieniem programu SQL Server 2012 należy ustawić tryb FIPS. Program SQL Server odczytuje ustawienie podczas uruchamiania. Aby ustawić tryb FIPS, wykonaj następujące czynności:
-
Zaloguj się do systemu Windows jako administrator systemu Windows.
-
Kliknij przycisk Start.
-
Kliknij pozycję Panel sterowania.
-
Kliknij pozycję Narzędzia administracyjne.
-
Kliknij pozycję zasady zabezpieczeń lokalnych. Zostanie wyświetlone okno Ustawienia zabezpieczeń lokalnych .
-
W okienku nawigacji kliknij pozycję Zasady lokalne, a następnie kliknij pozycję Opcje zabezpieczeń.
-
W okienku po prawej stronie kliknij dwukrotnie pozycję Kryptografia systemu: Użyj zgodnych algorytmów FIPS dla celów szyfrowania, mieszania i podpisywania.
-
W wyświetlonym oknie dialogowym kliknij pozycję włączone, a następnie kliknij przycisk Zastosuj.
-
Kliknij przycisk OK.
-
Zamknij okno Ustawienia zabezpieczeń lokalnych .
-
-
Wymagania administratora programu SQL Server
-
Gdy usługa SQL Server wykrywa, że tryb FIPS jest włączony podczas uruchamiania, program SQL Server rejestruje następujący komunikat w dzienniku błędów programu SQL Server:
Transport brokera usług działa w trybie zgodności z FIPS.Ponadto w dzienniku zdarzeń systemu Windows może zostać zarejestrowany następujący komunikat:
Możesz sprawdzić, czy serwer działa w trybie FIPS, szukając tych wiadomości.
-
W przypadku zabezpieczeń dialogowych (między usługami) szyfrowanie używa wystąpienia algorytmu AES z certyfikatem FIPS, jeśli jest włączony tryb FIPS. Jeśli tryb FIPS jest wyłączony, szyfrowanie używa RC4.
-
W przypadku konfigurowania punktu końcowego brokera usług w trybie FIPS administrator musi określić "AES" dla brokera usług. Jeśli punkt końcowy jest skonfigurowany na RC4, program SQL Server wygeneruje błąd. Dlatego Warstwa transportowa nie zostanie uruchomiona.
-
W jaki sposób program SQL Server 2012 jest obsługiwany w trybie zgodności z FIPS 140-2?
-
Gdy tryb FIPS w systemie Windows jest włączony, we wszystkich obszarach, w których użytkownik nie ma decyzji o tym, czy szyfrować/mieszać i jak będzie on wykonywany, program SQL Server 2012 będzie działać zgodnie z trybem FIPS 140-2. (Program SQL Server 2012 użyje interfejsu CryptoAPI w systemie Windows i będzie korzystać tylko z certyfikowanych wystąpień algorytmów).
-
Gdy tryb FIPS w systemie Windows jest włączony, we wszystkich obszarach, w których użytkownik ma możliwość wybrania opcji szyfrowania, program SQL Server 2012 umożliwia włączenie tylko szyfrowania zgodnego z FIPS 140-2 lub nie spowoduje włączenia szyfrowania.
-
Ważne informacje dla programistów z oprogramowaniemWe wszystkich obszarach, w których deweloper lub użytkownik wprowadza swój własny kod do szyfrowania lub mieszania, muszą być pożądane użycie tylko interfejsu CryptoAPI (i w związku z tym tylko wystąpienia certyfikowanych) oraz określenie tylko algorytmów dozwolonych przez Standard FIPS 140-2. W szczególności muszą one określać tylko algorytm DES (3DES) lub AES dla szyfrowania i tylko algorytm SHA-1 na potrzeby mieszania.
Jaki jest wpływ na uruchamianie programu SQL Server 2012 w trybie zgodności z FIPS 140-2?
-
Użycie silniejszego szyfrowania może mieć niewielki wpływ na wydajność w przypadku tych procesów, dla których jest dozwolone mniej silne szyfrowanie, gdy proces nie działa zgodnie z FIPS 140-2.
-
Wybór szyfrowania dla SSIS (UseEncryption = true) spowoduje wygenerowanie komunikatu o błędzie z informacją, że dostępne szyfrowanie jest niezgodne z zgodnością FIPS i jest niedozwolone. Oznacza to, że nie jest wykonywane szyfrowanie procesu wiadomości.
-
Używanie szyfrowania razem ze starszymi usługami DTS jest niezgodne z FIPS 140-2. Pamiętaj, że w przypadku usług DTS tryb FIPS w systemie Windows nie jest zaznaczony. W związku z tym użytkownik nie może wybrać szyfrowania, aby zachować zgodność.
-
Ponieważ większość procesów szyfrowania i procesu mieszania programu SQL Server 2012 jest już zgodna ze standardem FIPS 140-2, wykonywanie w pełni zgodnej wersji (co oznacza, że z włączonym trybem FIPS w systemie Windows) będzie miało niewielki wpływ na użycie lub działanie produktu.
Gdzie można uzyskać więcej informacji o programie FIPS 140-2?
Aby uzyskać więcej informacji na temat standardu FIPS 140-2 i sposobu jego pobierania, przejdź do następującej witryny sieci Web NIST:
http://csrc.nist.gov/cryptval/140-2.htm Firma Microsoft udostępnia informacje dotyczące sposobów kontaktowania się z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje te mogą zostać zmienione bez powiadomienia. Firma Microsoft nie gwarantuje dokładności informacji dotyczących innych firm.