KB2733626-instrucțiuni pentru utilizarea SQL Server 2012 în modul FIPS 140-2-compatibil

Se aplică la: SQL Server 2012Microsoft Windows Server 2003Windows XP

Introducere (articolul poate să fie în limba engleză)


Acest articol descrie instrucțiunile FIPS 140-2 și cum să utilizați Microsoft SQL Server 2012 în modul FIPS 140-2-compatibil.Note
  • Termenii "FIPS 140-2 compliant," "FIPS 140-2 Conformity," and "FIPS 140-2-modul Compliant" sunt definiți aici pentru utilizare și claritate. Acești termeni nu sunt termeni guvernamentali recunoscuți sau definiți. Guvernele Statelor Unite și Canadei recunosc validarea modulelor criptografice împotriva standardelor, cum ar fi FIPS 140-2, și nu utilizarea modulelor criptografice într-o manieră specificată sau conformă. În acest articol, utilizăm "FIPS 140-2-compliant," "FIPS 140-2 Conformity," and "FIPS 140-2-mod Compliant" în sensul că SQL Server 2012 utilizează doar FIPS 140-2-validate instanțe de algoritmi și funcții de hash în toate instanțele în care se importă sau se exportă datele criptate sau exportate din SQL Server 2012. În plus, acest lucru înseamnă că SQL Server 2012 va gestiona cheile într-un mod securizat, așa cum este necesar pentru modulele criptografice validate FIPS 140-2. Procesul de gestionare a cheilor include, de asemenea, generarea cheilor și stocarea cheilor.
  • Utilizăm "certificat" aici pentru a însemna că instanța algoritmului este FIPS 140-2 validată sau că sistemul de operare conține FIPS 140-2-instanțe validate de algoritmi.

Mai multe informații


Ce este FIPS?

Standardul Federal Information Processing (FIPS) este un standard dezvoltat de următoarele două organisme guvernamentale:
  • Institutul național de standarde și tehnologie (NIST) din Statele Unite 
  • Unitatea de securitate pentru comunicații (CSE) din Canada 
Standardele FIPS sunt fie recomandate, fie mandatat pentru utilizare în sistemele informatice operate de guvernul federal în Statele Unite și Canada.

Ce este FIPS 140-2?

FIPS 140-2 este o instrucțiune intitulată "cerințe de securitate pentru modulele criptografice". Specifică ce algoritmi de criptare și ce algoritmi de hash pot fi utilizați și modul în care vor fi generate și gestionate cheile de criptare. Unele componente hardware, software și procese pot fi FIPS 140-2 certificate și unele componente hardware, software și procese pot fi FIPS 140-2 compliant.

Care este diferența dintre FIPS 140-2 Compliant și FIPS 140-2 Certified?

SQL Server 2012 poate fi configurat și rulat într-un mod care este conform cu FIPS 140-2. Pentru a configura SQL Server 2012 în acest mod, SQL Server 2012 trebuie să ruleze pe un sistem de operare care este FIPS 140-2 certificat sau pe un sistem de operare care furnizează un modul criptografic care este certificat. Diferența dintre conformitate și certificare nu este subtilă. Algoritmii pot fi certificați. Nu este suficient să utilizați un algoritm din listele aprobate în FIPS 140-2. În schimb, trebuie să utilizați o instanță a unui astfel de algoritm certificat. Certificarea necesită testarea și verificarea de către un laborator de evaluare aprobat de guvern. Windows Server 2003, Windows XP și Windows Server 2008 conțin algoritmii permiși, iar o instanță a fiecăruia dintre aceste sisteme de operare este testat laboratorul de evaluare și certificat guvernamental.

Ce produse de aplicație pot fi FIPS 140-2 compliant?

Toate aplicațiile care efectuează criptarea sau hash-ul și care rulează pe o versiune certificată de Windows pot fi compatibile utilizând doar instanțele certificate ale algoritmilor aprobați și conforme cu cerințele de generare a cheilor și de gestionare a cheilor, utilizând funcția Windows pentru generarea cheilor și gestionarea cheilor sau prin respectarea cerințelor de generare a cheilor și de gestionare a cheilor din aplicație. Rețineți că este posibil să existe zone într-o aplicație compatibilă cu FIPS, unde sunt activate algoritmi sau procese neconforme. De exemplu, unele procese interne care rămân în sistem și unele date externe care urmează să fie criptate suplimentar de o instanță de algoritm certificat sunt permise.

Este SQL Server 2012 întotdeauna FIPS 140-2 compliant?

nu. SQL Server 2012 poate fi FIPS 140-2 compliant, deoarece poate fi configurat și rulat în așa fel încât să utilizeze doar instanțele algoritmului FIPS 140-2-certificate care sunt numite utilizând CryptoAPI pentru criptare sau prin hash în fiecare instanță în care este necesară conformitatea FIPS 140-2.

Cum se poate configura SQL Server 2012 să fie compatibil cu FIPS 140-2?

  • Cerințe de sistem de operare: Trebuie să instalați SQL Server 2012 pe un server care se bazează pe unul dintre următoarele sisteme de operare:
    • Windows Server 2003
    • Windows XP
    • Windows Server 2008
  • Cerința de administrare a sistemului Windows: Modul FIPS trebuie setat înainte să înceapă SQL Server 2012. SQL Server citește setarea la pornire. Pentru a seta modul FIPS, urmați acești pași:
    1. Conectați-vă la Windows ca administrator de sistem Windows.
    2. Faceți clic pe Start.
    3. Faceți clic pe Panou de control.
    4. Faceți clic pe Instrumente de administrare.
    5. Faceți clic pe politică de securitate locală. Apare fereastra Setări de securitate locală .
    6. În panoul de navigare, faceți clic pe politici locale, apoi faceți clic pe Opțiuni de securitate.
    7. În panoul din partea dreaptă, faceți dublu clic pe criptografie sistem: utilizați algoritmi compatibili FIPS pentru criptare, hash și semnare.
    8. În caseta de dialog care apare, faceți clic pe activat, apoi faceți clic pe se aplică.
    9. Faceți clic pe OK.
    10. Închideți fereastra Setări de securitate locală .
  • Cerința de administrator SQL Server
    • Atunci când serviciul SQL Server detectează că modul FIPS este activat la pornire, SQL Server înregistrează următorul mesaj în Jurnalul de erori SQL Server:
      Serviciul broker de transport rulează în modul FIPS Conformity.
      În plus, este posibil să găsiți următorul mesaj conectat în Jurnalul de evenimente Windows:
      Puteți verifica dacă serverul rulează în modul FIPS, căutând aceste mesaje.
    • Pentru securitatea casetei de dialog (între servicii), criptarea utilizează instanța FIPS-Certified a AES dacă este activat modul FIPS. Dacă modul FIPS este dezactivat, criptarea utilizează RC4. 
    • Atunci când configurați un punct final de broker de servicii în modul FIPS, administratorul trebuie să specifice "AES" pentru brokerul de servicii. Dacă punctul final este configurat pentru RC4, SQL Server va genera o eroare. Prin urmare, stratul de transport nu va porni.

Cum este SQL Server 2012 operat în modul FIPS 140-2-compatibil?

  • Cu modul FIPS în Windows activat, în toate zonele în care utilizatorul nu are nicio opțiune despre criptarea/hash-ul și despre modul în care se va face, SQL Server 2012 va fi executat conform FIPS 140-2. (SQL Server 2012 va utiliza CryptoAPI în Windows și va utiliza doar instanțele certificate ale algoritmilor.)
  • Cu modul FIPS în Windows activat, în toate zonele în care utilizatorul are posibilitatea de a alege dacă să utilizeze criptarea, SQL Server 2012 va activa doar criptarea compatibilă FIPS 140-2 sau nu va permite nicio criptare.
  • Informații importante pentru dezvoltatorii de softwareÎn toate domeniile în care dezvoltatorul sau utilizatorul își scrie propriul cod pentru criptare sau hash, trebuie să li se instruiască să utilizeze doar CryptoAPI (și, prin urmare, doar instanțele certificate) și să specifice doar algoritmii permiși de FIPS 140-2. Mai exact, trebuie să specifice doar Triple DES (3DES) sau AES pentru criptare și doar SHA-1 pentru hash.

Care este efectul executării SQL Server 2012 în modul FIPS 140-2-compatibil?

  • Utilizarea de criptare mai puternică poate avea un efect redus asupra performanței pentru acele procese pentru care criptarea mai puțin puternică este permisă atunci când procesul nu funcționează ca FIPS 140-2 compliant.
  • Selecția de criptare pentru SSIS (UseEncryption = True) va genera un mesaj de eroare care afirmă că criptarea disponibilă este incompatibilă cu compatibilitatea FIPS și nu este permisă. Cu alte cuvinte, nu se efectuează nicio criptare a procesului mesajului.
  • Utilizarea codificării împreună cu DTS moștenit nu este conform cu FIPS 140-2. Rețineți că pentru DTS, modul FIPS din Windows nu este bifat. Prin urmare, este responsabilitatea utilizatorului să selecteze fără criptare pentru a rămâne în conformitate.
  • Deoarece majoritatea proceselor de criptare și hash SQL Server 2012 sunt deja FIPS 140-2 compatibile, executarea la conformitate completă (adică, cu modul FIPS în Windows activat) va avea un efect puțin sau deloc asupra utilizării sau performanței produsului.

Unde pot afla mai multe despre FIPS 140-2?

Pentru mai multe informații despre standardul FIPS 140-2 și cum să îl descărcați, accesați următorul site web NIST:Microsoft furnizează informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Microsoft nu garantează acuratețea informațiilor de contact de la terți.