Prihláste sa s kontom Microsoft
Prihláste sa alebo si vytvorte konto.
Dobrý deň,
Vyberte iné konto.
Máte viacero kont
Vyberte konto, s ktorým sa chcete prihlásiť.

Úvod

Tento článok popisuje príkazy FIPS 140-2 a ako používať Microsoft SQL Server 2012 v režime FIPS 140-2.Poznámky

  • Výrazy "FIPS 140-2 vyhovujúce," "FIPS 140-2 compliance," a "FIPS 140-2-kompatibilný režim" sú tu definované na použitie a jasnosť. Tieto podmienky nie sú rozpoznané alebo definované podmienky vlády. Vlády Spojených štátov a Kanady uznávajú overenie kryptografických modulov voči normám, ako je napríklad FIPS 140-2, a nie používanie kryptografických modulov v zadanom alebo zhodnom spôsobe. V tomto článku používame "FIPS 140-2-kompatibilná," "FIPS 140-2 compliance," a "FIPS 140-2-kompatibilný režim" v tom zmysle, že SQL Server 2012 používa iba FIPS 140-2-validované inštancie algoritmov a hashing funkcií vo všetkých prípadoch, v ktorých sú šifrované alebo hashed data importované alebo exportované z SQL servera 2012. Okrem toho to znamená, že SQL Server 2012 bude spravovať kľúče bezpečným spôsobom, ako sa vyžaduje v kryptografických moduloch FIPS 140-2-validovaných. Proces riadenia kľúčov zahŕňa aj generovanie kľúčov a kľúčový ukladací priestor.

  • Na tomto mieste sa používa "Certified", čo znamená, že inštancia algoritmu je FIPS 140-2 validovaná alebo či operačný systém obsahuje FIPS 140-2 – overené inštancie algoritmov.

Ďalšie informácie

Čo je FIPS?

Federálny štandard spracovania informácií (FIPS) je štandard vyvinutý týmito dvoma vládnymi orgánmi:

  • Národný inštitút noriem a technológií (NIST) v Spojených štátoch

  • Zabezpečenie komunikácie (VVN) v Kanade

Normy FIPS sa odporúčajú alebo sú poverené na používanie vo federálnych systémoch IT v Spojených štátoch a v Kanade.

Čo je FIPS 140-2?

FIPS 140-2 je príkaz s názvom "požiadavky zabezpečenia kryptografických modulov." Určuje, ktoré algoritmy šifrovania a ktoré algoritmy hash sa môžu použiť a ako sa majú generovať a spravovať šifrovacie kľúče. Niektoré hardvérové, softvérové a procesy môžu byť certifikované FIPS 140-2 a niektoré hardvérové, softvérové a procesy môžu byť kompatibilné s normou FIPS 140-2.

Aký je rozdiel medzi normou FIPS 140-2, ktorá je kompatibilná a je FIPS 140-2 certifikovaná?

SQL Server 2012 je možné nakonfigurovať a spustiť spôsobom, ktorý je kompatibilný s funkciou FIPS 140-2. Ak chcete nakonfigurovať SQL Server 2012 týmto spôsobom, SQL Server 2012 sa musí spustiť v operačnom systéme, ktorý je certifikovaný podľa štandardu FIPS 140-2, alebo v operačnom systéme, ktorý poskytuje certifikovaný kryptografický modul. Rozdiel medzi dodržiavaním súladu a certifikáciou nie je subtílny. Algoritmy možno certifikovať. Nie je dostačujúce použiť algoritmus zo schválených zoznamov v FIPS 140-2. Namiesto toho budete musieť použiť inštanciu tohto algoritmu, ktorý je certifikovaný. Certifikácia vyžaduje testovanie a overenie vládou schváleným skúšobným laboratóriom. Windows Server 2003, Windows XP a Windows Server 2008 obsahujú povolené algoritmy a inštancia každého z týchto operačných systémov je skúšobná skúška Lab a certifikovaná vládou.

Ktoré aplikačné produkty môžu byť kompatibilné s normou FIPS 140-2?

Všetky aplikácie, ktoré vykonávajú šifrovanie alebo hash, a ktoré bežia na certifikovanej verzii Windowsu, môžu byť kompatibilné iba pomocou certifikovaných inštancií schválených algoritmov a dodržiavaním požiadaviek na generovanie kľúčov a kľúčov, a to buď pomocou funkcie Windowsu pre generovanie kľúčov a správu kľúčov, alebo dodržiavaním požiadaviek na generovanie kľúčov a kľúčov v rámci aplikácie. Uvedomte si, že oblasti v aplikácii kompatibilnej s FIPS môžu existovať tam, kde sú povolené nevyhovujúce algoritmy alebo procesy. Napríklad niektoré interné procesy, ktoré sú v systéme a niektoré externé údaje, ktoré majú byť dodatočne šifrované certifikovanou inštanciou algoritmu, sú povolené.

Je SQL Server 2012 vždy kompatibilný s normou FIPS 140-2?

nie. SQL Server 2012 môže byť kompatibilný s normou FIPS 140-2, pretože ho možno nakonfigurovať a spustiť tak, aby používal iba FIPS 140-2-certifikované algoritmy, ktoré sa nazývajú pomocou CryptoAPI na šifrovanie alebo hashing v každom prípade, keď sa vyžaduje FIPS 140-2 súladu.

Ako môže byť SQL Server 2012 nakonfigurovaný tak, aby bol kompatibilný s normou FIPS 140-2?

  • Požiadavka operačného systému: Na serveri, ktorý je založený na niektorom z nasledujúcich operačných systémov, musíte nainštalovať SQL Server 2012:

    • Windows Server 2003

    • Windows XP

    • Windows Server 2008

  • Požiadavka na správu systému Windows: Režim FIPS musí byť nastavený pred spustením SQL servera 2012. SQL Server prečíta nastavenie pri spustení. Ak chcete nastaviť režim FIPS, postupujte podľa týchto krokov:

    1. Prihláste sa do Windowsu ako správca systému Windows.

    2. Kliknite na tlačidlo Štart.

    3. Kliknite na položku Ovládací panel.

    4. Kliknite na položku Nástroje na správu.

    5. Kliknite na položku Lokálna politika zabezpečenia. Zobrazí sa okno Nastavenie lokálneho zabezpečenia .

    6. Na navigačnej table kliknite na položku Lokálne politikya potom kliknite na položku Možnosti zabezpečenia.

    7. Na pravej table dvakrát kliknite na položku Šifrovanie systému: použite algoritmy kompatibilné s normou FIPS na šifrovanie, hashing a podpisovanie.

    8. V zobrazenom dialógovom okne kliknite na položku zapnutéa potom kliknite na položku použiť.

    9. Kliknite na tlačidlo OK.

    10. Zatvorenie okna nastavenia lokálneho zabezpečenia .

  • Požiadavka správcu servera SQL Server

    • Keď služba SQL Server zistí, že režim FIPS je zapnutý pri spustení, SQL Server zapíše do denníka chýb servera SQL Server nasledujúce hlásenie:

      Služba maklér Transport je spustená v režime súladu s režimom FIPS.Okrem toho môžete v denníku udalostí systému Windows nájsť nasledovné hlásenie:

      Ak chcete overiť, či je server spustený v režime FIPS, pozrite si tieto správy.

    • V prípade zabezpečenia dialógového okna (medzi službami) používa šifrovanie FIPS certifikovanú inštanciu AES, ak je zapnutý režim FIPS. Ak je režim FIPS zakázaný, šifrovanie používa RC4.

    • Pri konfigurácii koncového bodu služby Broker v režime FIPS musí správca zadať hodnotu AES pre agenta služby. Ak je koncový bod nakonfigurovaný na RC4, SQL Server vygeneruje chybu. Preto sa prepravná vrstva nespustí.

Ako je SQL Server 2012 prevádzkovaný v režime FIPS 140-2-kompatibilný?

  • Keď je režim FIPS vo Windowse zapnutý, vo všetkých oblastiach, v ktorých používateľ nemá na výber, či sa má šifrovať/hash a ako sa má vykonať, sa SQL Server 2012 vykoná v súlade s FIPS 140-2. (SQL Server 2012 použije CryptoAPI vo Windowse a použije iba certifikované inštancie algoritmov.)

  • Keď je režim FIPS vo Windowse zapnutý, vo všetkých oblastiach, kde má používateľ možnosť vybrať, či sa má použiť šifrovanie, SQL Server 2012 povolí iba šifrovanie kompatibilné s normou FIPS 140-2 alebo nepovolí žiadne šifrovanie.

  • Dôležité informácie pre vývojárov softvéruVo všetkých oblastiach, v ktorých vývojár alebo používateľ zapisuje vlastný kód na šifrovanie alebo hash, musí byť poučený, aby používal iba CryptoAPI (a preto iba certifikované inštancie) a určil iba algoritmy, ktoré povoľuje FIPS 140-2. Konkrétne musí špecifikovať len Triple DES (3DES) alebo AES na šifrovanie a len SHA-1 pre hashing.

Aký je vplyv spustenia SQL servera 2012 v režime FIPS 140-2-kompatibilný?

  • Používanie silnejšieho šifrovania môže mať malý vplyv na výkon týchto procesov, pre ktoré je povolené menej silné šifrovanie, keď proces nepracuje ako kompatibilný s FIPS 140-2.

  • Výber šifrovania pre SSIS (UseEncryption = true) vygeneruje chybové hlásenie, ktoré uvádza, že dostupné šifrovanie nie je kompatibilné s dodržiavaním štandardu FIPS a nie je povolené. Inými slovami, nevykonáva sa žiadne šifrovanie procesu správy.

  • Používanie šifrovania spolu so starším DTS nie je v súlade so štandardom FIPS 140-2. Nezabúdajte, že v prípade DTS sa režim FIPS vo Windowse nekontroluje. Preto je na zodpovednosti používateľa možnosť bez šifrovania zostať v súlade.

  • Keďže väčšina procesov šifrovania a hash služieb SQL Server 2012 je už FIPS 140-2 kompatibilná, spustenie pri úplnom dodržiavaní súladu (to znamená, že režim FIPS v systéme Windows je zapnutý) bude mať malý alebo žiadny vplyv na použitie alebo výkon produktu.

Kde získam ďalšie informácie o FIPS 140-2?

Ďalšie informácie o norme FIPS 140-2 a o tom, ako ho stiahnuť, nájdete na nasledujúcej webovej lokalite NIST:

http://csrc.nist.gov/cryptval/140-2.htmNa uľahčenie vyhľadania technickej podpory poskytuje spoločnosť Microsoft kontaktné informácie na iných výrobcov. Tieto kontaktné informácie sa môžu zmeniť bez predchádzajúceho upozornenia. Spoločnosť Microsoft neručí za správnosť týchto kontaktných informácií iných výrobcov.

Facebook LinkedIn E-mail
PRIHLÁSIŤ SA NA ODBER INFORMAČNÝCH KANÁLOV RSS

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Ponuka funkcií Komunita

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Výhody predplatného služby Microsoft 365

Školenie k službe Microsoft 365

Zabezpečenie od spoločnosti Microsoft

Centrum zjednodušenia ovládania

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.

Opýtať sa na lokalite Microsoft Community

Microsoft Tech Community

Insideri pre Windows

Insideri pre Microsoft 365

Boli tieto informácie užitočné?

Aká je podľa vás jazyková kvalita textu?
Čo sa vám páčilo, prípadne čo nie?
Stlačením tlačidla Odoslať sa vaše pripomienky použijú na zlepšenie produktov a služieb spoločnosti Microsoft. Váš správca IT bude môcť tieto údaje zhromažďovať. Vyhlásenie o ochrane osobných údajov.

Ďakujeme za vaše pripomienky!

×