KB2733626-инструкции по использованию SQL Server 2012 в режиме соответствия требованиям FIPS 140-2

Что такое FIPS?

Федеральный стандарт обработки информации (FIPS) — это стандарт, разработанный следующими двумя правительственными организациями:

• Национальный институт стандартов и технологий (NIST) в США

• Установленная в Канаде защита (CSE) связи

Стандарты FIPS рекомендуются или используются в федеральных правительственных системах в США и Канаде.

Что такое FIPS 140-2?

FIPS 140-2 — это инструкция, озаглавленная "требования к безопасности для криптографических модулей". Он указывает, какие алгоритмы шифрования и алгоритмы хеширования могут использоваться, а также о том, как создавать ключи шифрования и управлять ими. Некоторые аппаратные средства, программное обеспечение и процессы могут быть сертифицированы для FIPS 140-2, а некоторые оборудование, программное обеспечение и процессы могут быть совместимы с FIPS 140-2.

В чем разница между стандартом FIPS 140-2 и сертифицированным FIPS 140-2?

SQL Server 2012 можно настраивать и запускать так же, как и в соответствии с FIPS 140-2. Чтобы настроить SQL Server 2012 таким образом, SQL Server 2012 должен выполняться в операционной системе, которая является FIPS 140-2 сертифицирована, или в операционной системе, предоставляющей криптографический модуль, который сертифицирован. Разница между соответствием и сертификацией не очень заметна. Алгоритмы могут быть сертифицированы. Использовать алгоритм из утвержденных списков в FIPS 140-2 недостаточно. Вместо этого необходимо использовать экземпляр такого алгоритма, который сертифицирован. Для сертификации требуется тестирование и верификация с помощью лаборатории оценки, утвержденной правительством. Windows Server 2003, Windows XP и Windows Server 2008 содержат разрешенные алгоритмы, а экземпляр каждой из этих операционных систем — тестовая лаборатория, сертифицированная для государственных организаций.

Какие продукты приложения могут быть совместимы с FIPS 140-2?

Все приложения, которые выполняют шифрование или хеширование и работают на сертифицированной версии Windows, могут быть совместимы только с сертифицированными экземплярами утвержденных алгоритмов и соблюдением требований к созданию ключа и управлению ключами с помощью функции Windows для создания ключей и управления ключами, а также в соответствии с требованиями создания ключа и управления ключами в приложении. Имейте в виду, что в приложении, совместимом с FIPS, могут существовать области, в которых включены несовместимые алгоритмы или процессы. Например, для некоторых внутренних процессов, которые находятся в системе, и некоторые внешние данные, которые должны быть дополнительно зашифрованы с помощью экземпляра сертифицированного алгоритма, разрешены.

Соответствует ли SQL Server 2012 всегда FIPS 140-2?

Нет. SQL Server 2012 может быть совместим с FIPS 140-2, так как он может быть настроен и запущен таким образом, чтобы использовать 140-2 только экземпляры алгоритмов, которые вызываются с помощью CryptoAPI для шифрования или хеширования в каждом экземпляре, где требуется соответствие требованиям FIPS 140-2.

Как можно настроить SQL Server 2012 для соответствия требованиям FIPS 140-2?

• Требования к операционной системе: Необходимо установить SQL Server 2012 на сервер, основанный на одной из следующих операционных систем:

  • Windows Server 2003

  • Windows XP

  • Windows Server 2008

• Требования к системному администрированию Windows. Перед запуском SQL Server 2012 необходимо настроить режим FIPS. SQL Server считывает параметр при запуске. Чтобы настроить режим FIPS, выполните указанные ниже действия.

  1. Войдите в систему под учетной записью системного администратора Windows.

  2. Нажмите кнопку Пуск.

  3. Выберите элемент Панель управления.

  4. Нажмите кнопку Администрирование.

  5. Щелкните Локальная политика безопасности. Откроется окно локальные параметры безопасности .

  6. В области навигации щелкните Локальные политикии выберите пункт Параметры безопасности.

  7. На правой панели дважды щелкните Системная криптография: использование алгоритмов, совместимых с FIPS, для шифрования, хеширования и подписания.

  8. В появившемся диалоговом окне нажмите кнопку включить, а затем нажмите кнопку Применить.

  9. Нажмите кнопку ОК.

  10. Закройте окно локальные параметры безопасности .

• Требования администратора SQL Server

  • Когда служба SQL Server обнаруживает, что при запуске включен режим FIPS, SQL Server регистрирует в журнале ошибок SQL Server следующее сообщение:

    Транспорт компонента Service Broker выполняется в режиме соответствия требованиям FIPS.Кроме того, в журнале событий Windows может быть зарегистрировано следующее сообщение:

    Чтобы убедиться в том, что сервер работает в режиме FIPS, ищите эти сообщения.

  • Для обеспечения безопасности диалогов (между службами) шифрование использует сертифицированный FIPS-экземпляр AES, если включен режим FIPS. Если режим FIPS отключен, шифрование использует RC4.

  • При настройке конечной точки компонента Service Broker в режиме FIPS администратор должен указать для компонента Service Broker значение "AES". Если конечная точка настроена на RC4, SQL Server создаст ошибку. Поэтому транспортный уровень не будет запускаться.

Как SQL Server 2012 работает в режиме соответствия требованиям FIPS 140-2?

• При включенном режиме FIPS в Windows во всех областях, где пользователь не выбрал шифрование/хеширование и как это будет выполняться, SQL Server 2012 будет выполняться в соответствии с FIPS 140-2. (SQL Server 2012 будет использовать CryptoAPI в Windows и будет использовать только сертифицированные экземпляры алгоритмов.)

• При включенном режиме FIPS в Windows во всех областях, где пользователь может выбрать, нужно ли использовать шифрование, SQL Server 2012 включит только 140-2 FIPS-совместимые шифрование или не включит шифрование.

• Важные сведения для разработчиков программного обеспеченияВо всех областях, где разработчик или пользователь записывает собственный код для шифрования или хеширования, они должны получать инструкции на использование только CryptoAPI (и, следовательно, только сертифицированных экземпляров) и указывать только те алгоритмы, которые разрешены FIPS 140-2. В частности, в них должны быть указаны только алгоритмы Triple DES (3DES) или AES для шифрования и только алгоритм SHA-1 для хеширования.

Каковы действия при запуске SQL Server 2012 в режиме FIPS 140-2-совместимый режим?

• Использование более надежного шифрования может повлиять на производительность тех процессов, для которых менее надежное шифрование разрешено, если процесс не работает как FIPS 140-2-совместимый.

• Выбор шифрования для служб SSIS (UseEncryption = true) создаст сообщение об ошибке, в котором говорится о том, что доступное шифрование несовместимо с соответствием требованиям FIPS и не разрешено. Другими словами, шифрование процесса сообщения выполняться не будет.

• Использование шифрования вместе со старыми службами DTS несовместимо с FIPS 140-2. Имейте в виду, что в службах DTS режим FIPS в Windows не установлен. Таким образом, пользователь обязан выбрать вариант без шифрования для сохранения соответствия требованиям.

• Поскольку большинство процессов шифрования и хеширования в SQL Server 2012 уже совместимо с FIPS 140-2, выполнение в полном соответствии (то есть при включенном режиме FIPS в Windows) практически не влияет на использование или производительность продукта.

Где можно узнать больше о FIPS 140-2?

Дополнительные сведения о стандарте FIPS 140-2 и его скачивании можно найти на веб-сайте NIST:

http://csrc.nist.gov/cryptval/140-2.htmКонтактные данные сторонних компаний предоставляются с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.